GenAI corporativa deve enfrentar ao menos cinco incidentes de segurança por ano até 2028, em um quarto de todas as aplicações em uso nas empresas. A projeção é do Gartner e mostra a velocidade com que o risco está crescendo: em 2025, essa taxa ainda será de cerca de 9%. Em outras palavras, a adoção acelerada de Inteligência Artificial Generativa no ambiente corporativo vem acompanhada de um aumento proporcional – e previsível – na superfície de ataque.
O avanço da chamada IA Agêntica, apoiada em tecnologias como o Model Context Protocol (MCP), é um dos principais fatores por trás desse cenário. À medida que organizações criam agentes mais autônomos, capazes de interagir com sistemas internos, dados sensíveis e fontes externas, surgem novos vetores de ataque e se expõem fragilidades em processos de segurança que ainda são imaturos. A combinação entre pressa em inovar e falta de governança robusta cria o terreno ideal para incidentes recorrentes.
O MCP, em particular, foi concebido com foco em interoperabilidade, flexibilidade e rapidez de desenvolvimento. Ou seja, ele torna mais fácil conectar agentes de IA a múltiplas ferramentas, APIs e bases de dados. Esse desenho, porém, não prioriza segurança por padrão. Segundo Aaron Lord, diretor analista sênior do Gartner, justamente por essa característica é que falhas tendem a emergir no uso cotidiano, principalmente quando não há supervisão contínua sobre o comportamento desses agentes.
A expectativa do Gartner é que, em um horizonte um pouco mais longo, os problemas deixem de ser apenas “incidentes menores”. A consultoria prevê que, até 2029, aproximadamente 15% de todas as aplicações corporativas de GenAI sofrerão ao menos um grande incidente de segurança por ano – um salto relevante em relação aos 3% estimados para 2025. Isso inclui violações com impacto significativo em dados, operações de negócio e até na reputação da organização.
Com a popularização de estruturas como o MCP, líderes de engenharia de software e de segurança não podem tratar GenAI como apenas “mais uma aplicação”. O conjunto de riscos vai muito além de bugs tradicionais de software. Agentes de IA podem, por exemplo, combinar de maneira inesperada diferentes fontes de informação, ler dados que não deveriam, compartilhar conteúdo sensível com sistemas externos ou interpretar de forma equivocada instruções maliciosas inseridas em prompts ou em dados de contexto.
Um dos pontos mais críticos destacados pelos especialistas é a chamada combinação perigosa de fatores: agentes com acesso a dados sensíveis, que consomem conteúdo não confiável e, ao mesmo tempo, se comunicam com sistemas externos dentro do mesmo fluxo de execução. Quando esses três elementos coexistem em um único caso de uso, a probabilidade de exfiltração de dados e de comportamento inesperado da IA cresce de forma exponencial. Nesses cenários, a recomendação é tratar essas combinações como “zona proibida” ou, no mínimo, sujeita a camadas adicionais e rigorosas de controle.
Para reduzir a exposição, os líderes de engenharia são orientados a estabelecer um processo formal de revisão de segurança específico para casos de uso que envolvam MCP e outros frameworks de IA Agêntica. Essa revisão deve priorizar inicialmente cenários de baixo risco, excluir explicitamente os arranjos de maior risco e, somente depois de amadurecer as práticas de segurança, avançar para usos mais críticos. É um movimento de “cercar” a inovação com governança desde o início, e não tentar remendar falhas depois que o sistema já está em produção.
Outro ponto-chave é que o modelo de autenticação e autorização aplicado aos agentes de IA não pode simplesmente copiar os perfis de usuários humanos. Agentes agem em velocidades diferentes, podem disparar múltiplas ações em paralelo e, em muitos casos, têm acesso a contextos mais amplos do que qualquer colaborador isolado. Por isso, é necessário desenhar permissões sob medida, com limites estritos, granularidade fina e registro detalhado de tudo o que o agente faz. A filosofia deve ser a do “mínimo privilégio” absoluto, revisado de forma contínua.
Além da governança de acesso, é essencial mitigar padrões de ameaça já conhecidos. Ataques de injeção de conteúdo (prompt injection e data injection), por exemplo, exploram justamente o fato de que a GenAI tende a confiar no texto ou nos dados que recebe. Um conteúdo aparentemente inofensivo pode trazer instruções ocultas, que induzem o agente a ignorar políticas, revelar informações ou executar chamadas a sistemas não autorizados. Blindar o fluxo contra esse tipo de manipulação passa por validação rigorosa de entradas, filtros de conteúdo, camadas de checagem e, em alguns casos, por modelos especializados em detecção de anomalias.
A cadeia de suprimentos de IA é outro alvo sensível. Organizações dependem, muitas vezes, de modelos de terceiros, bibliotecas abertas, plugins, conectores e componentes MCP mantidos por comunidades ou fornecedores externos. Qualquer vulnerabilidade em um desses elementos pode se propagar para toda a arquitetura de GenAI corporativa. Revisões de código, homologação de componentes, análise de dependências e políticas claras de atualização passam a ser tão importantes quanto as práticas tradicionais de segurança de software.
Para lidar com esse mosaico de riscos, o Gartner recomenda que as empresas adotem uma lógica de “propriedade orientada por domínio” para servidores MCP e componentes críticos de agentes. Em vez de tratar tudo como uma infraestrutura homogênea, a ideia é atribuir a times de cada domínio de negócio a responsabilidade por definir barreiras específicas: que dados o agente pode ver, que ações pode executar, que exceções são aceitáveis e quais gatilhos obrigam a intervenção humana. Essa proximidade com o contexto de negócio ajuda a desenhar proteções mais realistas e eficazes.
Na prática, isso significa que um agente usado em finanças, por exemplo, deve obedecer a regras diferentes de um agente voltado a marketing. O primeiro pode lidar com dados altamente sensíveis, exigindo forte segregação, logs extensivos, criptografia ponta a ponta e, muitas vezes, revisão humana obrigatória antes de qualquer transação. Já o segundo pode se concentrar em dados menos críticos, mas precisará de filtros rigorosos para evitar vazamento de informações estratégicas ou uso indevido de dados pessoais em campanhas.
Outro elemento que precisa entrar no radar dos CISOs e líderes de tecnologia é o impacto organizacional da IA Agêntica. Conforme esses agentes assumem tarefas operacionais, tomam decisões de baixo impacto ou sugerem caminhos para decisões de alto impacto, a linha entre “erro de usuário” e “falha de sistema” fica mais difusa. Uma decisão equivocada tomada por um agente mal configurado pode gerar violações de compliance, descumprimento de contratos ou comprometimento de obrigações regulatórias, mesmo que, tecnicamente, o sistema não tenha sido “invadido”.
Esse contexto torna indispensável a criação de políticas claras de uso da GenAI, envolvendo desde critérios de projeto e testes até treinamentos para quem interage com os agentes. Usuários precisam entender que prompts, dados de entrada e escolhas de contexto influenciam diretamente no risco. Desenvolvedores, por sua vez, devem ser capacitados a reconhecer antipadrões de segurança específicos de IA, como dependência excessiva do modelo, ausência de validações externas ou permissões amplas demais concedidas “temporariamente” aos agentes – algo que tende a nunca ser revisado depois.
Um caminho promissor é integrar desde cedo as práticas de segurança tradicionais – como DevSecOps – às particularidades da GenAI. Isso inclui criar pipelines de desenvolvimento que testem não apenas a aplicação, mas também o comportamento dos agentes frente a cenários hostis, inputs maliciosos, dados corrompidos e respostas inesperadas. Simulações de ataque (red teaming) adaptadas para IA podem revelar brechas difíceis de identificar em revisões estáticas de código.
Também é importante reconhecer que o próprio uso de IA pode apoiar a defesa. Ferramentas baseadas em machine learning podem monitorar padrões de uso dos agentes, detectar desvios de comportamento, alertar sobre exfiltrações atípicas de dados e sugerir ajustes de configuração. Contudo, confiar cegamente em sistemas defensivos automatizados é tão perigoso quanto depender exclusivamente de agentes para tarefas críticas de negócio; a supervisão humana especializada continua indispensável.
Finalmente, à medida que a complexidade da IA Agêntica cresce, aumenta também o desafio de gerenciar acessos, garantir conformidade regulatória e explicar decisões tomadas com apoio de modelos generativos. Isso coloca pressão adicional sobre as áreas de governança, risco e compliance, que precisarão atualizar frameworks, políticas internas e critérios de auditoria para contemplar esse novo tipo de sistema. Organizações que começarem desde já a estruturar essa governança estarão em posição muito mais favorável quando, inevitavelmente, os incidentes se tornarem mais frequentes e mais graves.
Em resumo, o cenário desenhado até 2029 não é um alerta contra o uso de GenAI, mas um aviso claro de que a fase experimental acabou. Empresas que desejam colher os benefícios de agentes inteligentes em escala terão de investir na mesma medida em processos, arquiteturas e práticas de segurança sob medida para esse novo paradigma. Ignorar essa realidade significará conviver com uma média anual de incidentes que, de menores, terão apenas o nome.