EN PT
Fale connosco
DRAFT Este artigo não está publicado no site público.
Líderes de segurança

Governar Atores AIgénicos: Identidade, Confiança e Controlo

Por que o problema de governação não é resolvido por uma melhor verificação — e que arquitetura o responde realmente

Charles Carrington Fundador, Attribit-ID
Charles Carrington
A

A unidade certa de governação é o Ator, não o agente ou o sistema — uma distinção que determina se a responsabilização é recuperável quando algo corre mal.

B

A confiança nos sistemas AIgénicos não é resolvida por uma melhor verificação — é dissolvida pela arquitetura: a topologia restringe o espaço de ação de um Ator antes de qualquer verificação de identidade, avaliação de política ou análise comportamental ocorrer.

C

O Modelo de Herança de Identidade não é uma postura interina — é a ausência de uma decisão de governação, e as organizações que o adotam como ponto de partida constroem um problema de migração, não uma linha de base.

Todos os principais enquadramentos de governação para sistemas AIgénicos estão organizados em torno da verificação: autenticar o agente, monitorizar o seu comportamento, apertar a aplicação de política em tempo de execução. O NIST, a Cloud Security Alliance, o IETF e a Coalition for Secure AI produziram trabalho substancial sobre esta postura. Essa convergência é um sinal de que o problema é real. Não é um sinal de que a postura é completa. O problema de governação nos sistemas AIgénicos não é resolvido verificando atores com maior cuidado. É dissolvido construindo ambientes onde a questão da confiança não se coloca. Executar uma operação de governação, o Ciclo de Vida de Identidade do Ator, torna a responsabilização recuperável quando algo corre mal.

O enquadramento de governação que este artigo apresenta tem três componentes.

O Ciclo de Vida de Identidade do Ator é a disciplina operacional de aprovisionamento, âmbito, delegação, auditoria e revogação aplicada a cada Ator AIgénico no ambiente. Este é o ato de governação. Os controlos são expressões de decisões do ciclo de vida. Não são substitutos para essas decisões.

A governação de identidade não humana aplica plena disciplina IAM a Atores AIgénicos e Agentlets: ciclo de vida, acesso e auditoria, com o mesmo rigor aplicado aos principals humanos. A identidade é o plano de controlo para agentes de IA.

O Padrão de Proxy Semântico é um substrato arquitetural de três camadas que torna a governação do ciclo de vida aplicável na camada de rede, não apenas declarável na camada de política. As três camadas: proxy semântico, isolamento de sub-rede e identidade criptográfica por Ator.

Estes três componentes não são alternativas. Compõem-se: o ciclo de vida define o que a governação exige; o proxy aplica-o; a governação de identidade não humana é o compromisso organizacional que torna ambos sustentáveis à escala.

Qual é a unidade certa de governação: agente, sistema ou Ator?

A Iniciativa de Normas para Agentes de IA do NIST, lançada em fevereiro de 2026, identifica quatro áreas técnicas de foco no seu documento conceptual associado: identificação, autorização, delegação de acesso e registo de auditoria.1 O Agentic Trust Framework da CSA pergunta “quem é você?” como elemento de identidade.2 O rascunho IETF AIGA escala a governação por capacidade do agente.3 Os três tratam o agente como um artefacto de software ou um nível de risco. Nenhum o trata como um principal organizacional com responsabilização anexada.

A unidade certa de governação é o Ator.

A ontologia de Atores da Attribit-ID estabelece um modelo de três classes: Ator Humano, Ator de Aplicação e Ator AIgénico. Os Agentlets são principals de primeira classe dentro da classe de Ator AIgénico. São sub-agentes gerados, análogos a threads ou daemons num sistema concorrente. A questão de governação muda de “em que nível está este agente?” para “quem é este Ator, quem o autorizou, e quem o detém?” Essas são questões institucionais, não de engenharia.

A distinção torna-se concreta no momento da falha. Um agente sem identidade de Ator não pertence a ninguém. As suas ações não podem ser rastreadas a uma decisão de aprovisionamento específica, a uma concessão de autorização específica, ou a um proprietário humano específico. “O fluxo de trabalho fez isto” não é um registo de auditoria. A governação organizada em torno de agentes consegue descrever o que aconteceu. A governação organizada em torno de Atores consegue estabelecer quem foi responsável. Num ambiente regulado, a diferença entre essas duas respostas é a diferença entre responsabilização forense e um encolher de ombros organizacional.

O Agentic Operating Model do Berkeley Haas, publicado em março de 2026, enquadra corretamente a questão de governação: “Em vez de perguntar se os agentes são capazes, o modelo pergunta se são governáveis.”4 A resposta da Attribit-ID exige Atores, não agentes, como unidade de análise. “Governável” é uma propriedade institucional. Está ligada a principals, não a processos.

Por que a verificação comportamental não consegue produzir confiança em atores não-determinísticos?

A confiança baseada em verificação pressupõe que a entidade a ser verificada tem uma identidade estável e determinística. Um humano inicia sessão. Um dispositivo autentica-se. A entidade a apresentar uma credencial hoje é a mesma entidade aprovisionada ontem. Os Atores AIgénicos não têm essa propriedade.

O estado comportamental de um Ator AIgénico em qualquer momento é função da sua janela de contexto atual. Essa janela inclui o prompt de sistema, o histórico da conversa, as saídas de ferramentas ingeridas e qualquer conteúdo semântico encontrado durante a tarefa. O Ator aprovisionado na geração detém a mesma credencial que o Ator a fazer um pedido três chamadas de ferramentas depois. Os seus estados operacionais podem ser fundamentalmente diferentes. Um Ator com injeção de prompt apresenta uma credencial válida enquanto executa instruções do atacante. A credencial é autêntica. O comportamento não é.

O Agentic Trust Framework da CSA aborda isto através do seu elemento de Comportamento, aplicando detecção de anomalias e análise de intenção como mecanismo de confiança.2 A monitorização comportamental é necessária. Não é suficiente. A monitorização é após o facto e probabilística. Deteta o desvio depois de o Ator já ter agido. A verificação probabilística aplicada a atores não-determinísticos produz intervalos de confiança. Os intervalos de confiança não são um registo de auditoria.

Comparação lado a lado de dois modelos de confiança. Painel esquerdo, Baseado em Verificação — Responsabilização: um fluxo de quatro passos começando com Verificação de Identidade onde uma credencial é validada, avançando para Monitorização Comportamental usando detecção de anomalias, depois Avaliação de Política para correspondência de política, concluindo em Ação Permitida ou Negada. Painel direito, Com a Topologia em Primeiro Lugar — Segurança: um fluxo de cinco passos começando com Isolamento de Sub-rede a aplicar saída de negação total, passando por Travessia Obrigatória pelo Proxy a aplicar política de lista de permissões, para Ação Restringida por limite de âmbito, depois Verificação de Identidade para atribuição, concluindo em Atribuição e Auditoria. O caminho com a topologia em primeiro lugar produz segurança antes de qualquer verificação ocorrer; o caminho baseado em verificação produz responsabilização mas depende de detecção probabilística depois de o ator ter agido.

A alternativa arquitetural é o Padrão de Proxy Semântico.5 Um Ator AIgénico a operar dentro de uma sub-rede com saída de negação total e travessia obrigatória pelo proxy não consegue alcançar a infraestrutura de acesso humano independentemente do seu estado de credencial, perfil comportamental ou comprometimento ao nível do modelo. O proxy opera fora de banda, invisível ao Ator primário e inatingível por manipulação ao nível do modelo. Um Ator com injeção de prompt não consegue desactivar o proxy porque não consegue percecionar que o proxy existe. O controlo de segurança opera arquiteturalmente fora da superfície de ataque da entidade a ser atacada.

A identidade criptográfica por Ator, SVIDs emitidos via SPIFFE/SPIRE,6 produz então atribuição em vez de segurança. A segurança é produzida pelo ambiente. A responsabilização é produzida pela identidade. Estas são funções separadas e devem permanecer arquiteturalmente separadas.

Esta é a distinção precisa entre Confiança Zero e um padrão de conceção arquitetural com a topologia em primeiro lugar. A Confiança Zero é uma postura de verificação: nunca confiar, verificar sempre. Torna a questão de verificação mais rigorosa e contínua. Um padrão de conceção arquitetural com a topologia em primeiro lugar torna a questão de verificação estruturalmente irrelevante para o resultado de segurança. Dentro de um ambiente topologicamente delimitado, se se deve confiar num Ator AIgénico não determina o que ele consegue alcançar. A topologia determina isso. A verificação determina a atribuição e a auditoria.

Os quatro principais enquadramentos permanecem no paradigma de verificação. A CSA ATF acrescenta monitorização comportamental.2 O IETF AIGA acrescenta portas de aprovação em escada.3 O NIST NCCoE aborda identificação, autorização, delegação de acesso e auditoria para agentes.7 O CoSAI acrescenta rotação de credenciais e revisões de acesso.8 Cada um torna a verificação mais rigorosa. Nenhum sai do paradigma de verificação. O isolamento de sub-rede não é um mecanismo de verificação. É uma restrição de existência: o Ator não falha na verificação; simplesmente não tem para onde ir.

O que significa governar Atores AIgénicos como uma operação?

Os enquadramentos existentes são taxonómicos. Descrevem o problema de governação com precisão. Não prescrevem o ato de governação.

O IETF AIGA propõe um Modelo de Governação Baseado em Risco em Escada e uma Arquitetura de Núcleo Imutável.3 A CSA ATF oferece um modelo de maturidade onde a autonomia é conquistada, não concedida por defeito.2 A especificação de abril de 2026 do CoSAI apela a direitos específicos por finalidade, rotação de credenciais e revisões de acesso.8 Estes são controlos. Os controlos são expressões de decisões de governação. Não são substitutos para a própria decisão.

A governação é o Ciclo de Vida de Identidade do Ator executado como operação organizacional: aprovisionamento, âmbito, delegação, auditoria e revogação. Aplica-se a cada Ator AIgénico no ambiente, incluindo Agentlets. O ciclo de vida responde a questões que os controlos não conseguem. O que autorizou este Ator a existir? Que âmbito foi concedido, e por quem? Em que Cadeia de Confiança Delegada participa? Quando expira a sua autorização, e quem a revoga?

A objeção de escalabilidade é legítima e vale a pena abordar diretamente. Em implementações agénticas em produção, os Agentlets são gerados e terminam em segundos. A gestão do ciclo de vida por instância não é praticável a essa velocidade. A resolução é a governação do ciclo de vida ao nível da classe de Ator, não ao nível da instância. A classe de Agentlet é governada na definição: que tipos têm permissão para existir, que âmbito podem herdar, qual é o seu tempo de vida máximo. As instâncias são governadas por aplicação criptográfica dessas restrições ao nível da classe: tempo de vida do SVID, tokens com âmbito, e colocação em sub-rede. A decisão de governação é tomada uma vez, na definição da classe. A aplicação é automatizada em tempo de execução. Não é necessária nenhuma ação do ciclo de vida por geração.

A topologia reforça isto diretamente. Os Agentlets nascidos dentro de uma sub-rede com saída de negação total operam dentro de uma restrição ao nível da classe que é aplicada antes de qualquer decisão por instância ser necessária. O problema de escalabilidade é resolvido automatizando a aplicação de decisões de governação ao nível da classe, não abandonando a responsabilização por Ator.

A especificação do CoSAI é o paralelo externo mais próximo: organiza-se em torno de direitos específicos por finalidade e revisões de acesso.8 Enquadra-os como controlos de acesso em vez de como o Ciclo de Vida de Identidade do Ator enquanto disciplina. A diferença é operacional. Os controlos aplicados sem um enquadramento de ciclo de vida serão aplicados de forma inconsistente, não serão revogados no prazo, e acumular-se-ão como autorizações órfãs à medida que a implementação cresce. A governação de identidade não humana não é um projeto de remediação único. É um compromisso operacional permanente, e o Ciclo de Vida de Identidade do Ator é o que torna esse compromisso executável.

Para mais informação sobre o colapso estrutural da camada aplicacional que torna a governação ao nível do Ator necessária em primeiro lugar, ver A Crise de Identidade no Coração dos Sistemas AIgénicos.

Qual é o custo do Modelo de Herança de Identidade, e por que é o padrão?

O Modelo de Herança de Identidade não é uma má escolha de implementação. É a ausência de uma escolha, feita por defeito. Quando um Ator AIgénico executa sob a identidade do seu principal humano orquestrador, herda as permissões desse principal sem qualquer decisão de aprovisionamento explícita. O modelo não requer trabalho de implementação. É por isso que é universal em todas as principais plataformas de orquestração. Acarreta custos compostos que se tornam visíveis apenas depois de a população de Atores não governados atingir uma escala que a organização não planeou.

Dados atuais sobre essa escala: apenas 23% das organizações têm uma estratégia formal e transversal à empresa para a gestão de identidade de agentes. Apenas 18% expressam alta confiança em que o seu IAM atual consegue lidar com identidades de agentes.9 As identidades não humanas já ultrapassam as identidades humanas em rácios de 45 para 1 a 144 para 1 em ambientes empresariais, com medições a aumentar ano após ano.10 A Gartner prevê que até 2028, pelo menos 15% das decisões de trabalho diárias serão tomadas autonomamente pelo que a empresa designa de “IA agéntica.”11 As organizações que constroem sobre o modelo de herança hoje não estão a estabelecer uma linha de base. Estão a construir um problema de migração.

A estrutura de custos é específica. A identidade herdada significa ausência de revogabilidade sem revogar o acesso do principal humano, ausência de registo de auditoria atribuído às ações específicas do Ator, e ausência de limite de âmbito entre a autorização do Ator e a do humano. Quando um Ator comprometido age, o registo mostra a identidade do humano. O raio de impacto é limitado pelas permissões do humano, não pela tarefa do Ator. Numa Cadeia de Confiança Delegada através de múltiplos níveis de Agentlets, esse raio de impacto compõe-se em cada nível.

Um Ator AIgénico não governado não é um mal configurado. É um Ator que a governação ainda não alcançou. Esse enquadramento importa porque define onde a governação começa: não com uma passagem de remediação sobre uma população existente, mas com a decisão de aprovisionamento para o primeiro Ator implementado. As organizações que adiam essa decisão constroem custos de adaptação que se compõem com cada Ator adicionado ao ambiente.

O argumento de governação é prospetivo, não retrospetivo. O modelo de herança pode ser proporcional para as implementações de âmbito estreito de hoje. Não degrada graciosamente à medida que a autonomia e o âmbito aumentam. Não existe ponto de verificação natural onde a identidade herdada se torna inadequada e a governação automaticamente se ativa. Essa transição deve ser concebida. As organizações que não a concebem descobrirão que precisavam dela depois de algo correr mal.

Os quatro principais enquadramentos (NIST NCCoE, CSA ATF, IETF AIGA e CoSAI) são sinais de convergência. Confirmam que o problema é real, que a indústria está a organizar-se em torno dele, e que as normas estão a formar-se. O documento conceptual do NIST NCCoE completou o seu período de comentário público em 2 de abril de 2026; não foi emitida orientação final.7 O IETF AIGA é um rascunho individual sem estatuto formal de grupo de trabalho IETF.3 A CSA ATF não tem programa de certificação operacional à data de publicação.2 A especificação do CoSAI foi aprovada pelo seu Comité de Direção Técnica em 20 de março de 2026.8 Nenhum responde à questão do profissional: dado o que está em produção hoje, o que faz primeiro o responsável de segurança?

Três pontos de partida operacionais decorrem do enquadramento que este artigo apresenta. Primeiro, inventarie os seus Atores AIgénicos, especificamente os seus Atores em vez de apenas as suas implementações de agentes. Quem detém cada um? Quem o autorizou a existir, e com que âmbito? Se essas questões não têm respostas num registo de governação, o Ator está a operar sob o Modelo de Herança de Identidade por defeito. Segundo, decida onde se aplica o isolamento de sub-rede. A decisão de topologia é tomada na implementação, não adaptada retrospetivamente em produção. Cada nova implementação de Ator AIgénico é uma oportunidade para construir dentro de um ambiente delimitado; cada decisão adiada é um item de migração futuro. Terceiro, defina uma classe de Ator com governação completa do ciclo de vida (aprovisionamento, âmbito, delegação, auditoria, revogação) e use-a como modelo para todas as classes subsequentes. A disciplina de governação constrói-se através da repetição de um processo correto, não através de enquadramentos taxonómicos que descrevem o problema sem prescrever a operação.

A identidade é o plano de controlo para agentes de IA. O Ciclo de Vida de Identidade do Ator é o que operar esse plano de controlo parece na prática.

Perguntas frequentes

Qual é a diferença entre um agente de IA e um Ator AIgénico?

Um agente de IA é um artefacto de software: um modelo, um processo, uma função automatizada. Um Ator AIgénico é um principal organizacional com responsabilização a ele anexada. A distinção determina se a governação é possível: os agentes podem ser descritos e monitorizados; os Atores podem ser detidos, autorizados, auditados e revogados. A ontologia de Atores da Attribit-ID define três classes: Ator Humano, Ator de Aplicação e Ator AIgénico, com Agentlets como sub-tipo de primeira classe da classe de Ator AIgénico responsável por operações geradas com âmbito de tarefa.

Por que a Confiança Zero não é suficiente para ambientes AIgénicos?

A Confiança Zero é uma postura de verificação: nunca confiar, verificar sempre. Pressupõe uma entidade estável e determinística do outro lado da verificação de credencial. Os Atores AIgénicos são não-determinísticos. O seu estado operacional muda com a sua janela de contexto, tornando a verificação comportamental probabilística em vez de definitiva. Um padrão de conceção arquitetural com a topologia em primeiro lugar restringe o espaço de ação de um Ator na camada de rede antes de qualquer verificação ocorrer, eliminando a dependência de verificações probabilísticas para produzir segurança. A governação com a Confiança Zero e com a topologia em primeiro lugar não são alternativas. A abordagem com a topologia em primeiro lugar torna a garantia de segurança estrutural. A Confiança Zero torna o registo de atribuição rigoroso. O responsável de segurança precisa de ambas.

O que é o Ciclo de Vida de Identidade do Ator?

O Ciclo de Vida de Identidade do Ator é a disciplina operacional de governação para Atores AIgénicos: aprovisionamento (quem autorizou este Ator a existir e com que âmbito), âmbito (o que está autorizado a alcançar), delegação (em que Cadeia de Confiança Delegada participa), auditoria (que registo das suas ações existe) e revogação (como a autorização termina sem afetar o principal humano). É o equivalente de governação de identidade não humana ao ciclo de vida de identidade humana que o IAM gere há décadas, aplicado à velocidade da máquina e à escala de Agentlets.

O que é o Modelo de Herança de Identidade e por que é um risco de governação?

O Modelo de Herança de Identidade é o comportamento por defeito em todas as principais plataformas de orquestração: um Ator AIgénico executa sob a identidade do seu principal humano e herda as permissões desse principal sem qualquer decisão de aprovisionamento explícita. Não requer trabalho de implementação, o que explica a sua universalidade. O custo é específico: sem revogabilidade específica por Ator, sem registo de auditoria atribuído ao Ator, sem limite de âmbito entre a autorização do Ator e a do humano. Numa Cadeia de Confiança Delegada, o raio de impacto de um Ator comprometido compõe-se em cada nível. Não é uma má escolha. É a ausência de uma escolha, feita automaticamente por todas as plataformas que não implementaram governação explícita do Ciclo de Vida de Identidade do Ator.

O que é o Padrão de Proxy Semântico?

O Padrão de Proxy Semântico é um padrão de conceção arquitetural de referência de três camadas para autorização de Atores AIgénicos. A camada um é um proxy semântico obrigatório que avalia cada ação do Ator face à política de lista de permissões antes de alcançar a rede. Opera fora de banda, invisível ao Ator, e falha fechado por conceção. A camada dois é o isolamento de sub-rede que torna a travessia pelo proxy topologicamente obrigatória, limitando o raio de impacto na camada do hipervisor. A camada três é a identidade criptográfica por Ator que permite atribuição ao nível da instância, política específica por função e revogação granular. Em conjunto, a identidade é o plano de controlo para agentes de IA: a topologia produz segurança; a identidade produz responsabilização. As duas funções devem permanecer arquiteturalmente separadas para permanecerem fiáveis.

Footnotes

  1. NIST, “Announcing the AI Agent Standards Initiative for Interoperable and Secure AI Agents,” February 2026. https://www.nist.gov/news-events/news/2026/02/announcing-ai-agent-standards-initiative-interoperable-and-secure As quatro áreas técnicas (identificação, autorização, delegação de acesso, registo de auditoria) são elaboradas no Documento Conceptual sobre Identidade e Autorização de Agentes de IA do NIST, e não no anúncio de lançamento em si.

  2. Cloud Security Alliance, “The Agentic Trust Framework: Zero Trust Governance for AI Agents,” February 2026. https://cloudsecurityalliance.org/blog/2026/02/02/the-agentic-trust-framework-zero-trust-governance-for-ai-agents 2 3 4 5

  3. IETF, draft-aylward-aiga-2-00, “AI Governance and Accountability Protocol (AIGA),” Individual Internet-Draft submission. Sem grupo de trabalho IETF formal nem estatuto de norma. https://datatracker.ietf.org/doc/draft-aylward-aiga-2/00/ 2 3 4

  4. Sandeep Saini, “Governing the Agentic Enterprise: A New Operating Model for Autonomous AI at Scale,” California Management Review, March 20, 2026. https://cmr.berkeley.edu/2026/03/governing-the-agentic-enterprise-a-new-operating-model-for-autonomous-ai-at-scale/

  5. Charles Carrington, “The Semantic Proxy Pattern: A Defense-in-Depth Architecture for Enterprise AI Agent Authorization,” Attribit-ID, April 2026. https://attribit-id.com/writing/semantic-proxy-pattern

  6. SPIFFE (Secure Production Identity Framework for Everyone) e SPIRE (SPIFFE Runtime Environment) são projetos graduados do CNCF. Os SVIDs (SPIFFE Verifiable Identity Documents) estão definidos na especificação SPIFFE. https://spiffe.io

  7. NCCoE, “Accelerating the Adoption of Software and Artificial Intelligence Agent Identity and Authorization,” concept paper, February 2026. O período de comentário público encerrou em 2 de abril de 2026; não foi emitida orientação final. https://www.nccoe.nist.gov/projects/software-and-ai-agent-identity-and-authorization 2

  8. Coalition for Secure AI (CoSAI), “Agentic Identity and Access Management,” aprovado pelo Comité de Direção Técnica em 20 de março de 2026. https://www.coalitionforsecureai.org/wp-content/uploads/2026/04/agentic-identity-and-access-control.pdf 2 3 4

  9. Strata Identity, “Securing Autonomous AI Agents,” Cloud Security Alliance, 2025. Inquérito a 285 profissionais de TI e segurança, realizado em setembro-outubro de 2025. https://www.strata.io/blog/agentic-identity/the-ai-agent-identity-crisis-new-research-reveals-a-governance-gap/

  10. Cloud Security Alliance, “Securing Non-Human Identities in the Age of AI Agents,” RSAC 2025. https://cloudsecurityalliance.org/artifacts/securing-non-human-identities-in-the-age-of-ai-agents-rsac-2025 (limite inferior de 45 para 1). Entro Labs, “NHI & Secrets Risk Report H1 2025,” enterprise data collected January–June 2025. https://23579664.fs1.hubspotusercontent-na1.net/hubfs/23579664/Assets/EL-The-NHI-Secrets-Risk-Report-H1-2025.pdf (limite superior de 144 para 1, face a 92 para 1 no primeiro semestre de 2024).

  11. Gartner, “Top Strategic Technology Trends 2025,” 2024. Amplamente citado nas comunicações públicas da Gartner; o relatório original é de acesso exclusivo a clientes.

Charles Carrington

Written by

Charles Carrington

Founder, Attribit-ID  ·  LinkedIn