A OWASP (Open Web Application Security Project) publicou o relatório "State of Agentic AI Security and Governance v2.01", um documento técnico fundamental para equipes de segurança que buscam proteger agentes de inteligência artificial autônomos em produção. O documento, parte da iniciativa de Segurança Agêntica do Projeto de Segurança GenAI da OWASP, redefine a segurança de IA como uma realidade operacional, apoiada por incidentes reais, CVEs e um ecossistema agressivo de ferramentas de código aberto.
O que mudou na segurança de agentes de IA
Em ambientes tradicionais, falhas de segurança (exploração adversarial) e falhas de segurança (sistemas se comportando de forma prejudicial) eram frequentemente tratadas por equipes distintas. No entanto, a IA agêntica colapsa essa fronteira na camada de implantação. Quando um agente pode invocar APIs autonomamente, modificar código e acessar dados de produção, a mesma escolha de design excessivamente permissiva torna-se simultaneamente uma falha de segurança e uma falha de segurança.
O relatório argumenta que a segurança e a segurança da IA não podem mais ser tratadas como disciplinas separadas uma vez que os sistemas ganham autonomia e acesso a ferramentas. Governança, monitoramento e resposta a incidentes devem cobrir ambos os modos de falha, em vez de roteá-los por taxonomias de risco desconectadas.
Taxonomia e classificação de sistemas agênticos
O documento introduz uma taxonomia detalhada para sistemas agênticos, classificando-os por função operacional, como empresarial, de codificação, voltada para o cliente, pessoal e infraestrutura/operações. Além disso, categoriza-os por padrão de implementação e padrão de composição, incluindo frameworks de orquestração, plataformas low-code, sistemas de agente único, sistemas multiagente, cadeias distribuídas e arquiteturas de geração de agentes.
A autonomia é tratada como uma dimensão transversal: agentes supervisionados, agentes semi-autônomos e agentes totalmente autônomos carregam raios de explosão drasticamente diferentes, especialmente quando combinados com memória persistente e permissões amplas de ferramentas. A OWASP insta as organizações a mapearem explicitamente os níveis de autonomia do agente e implementarem disjuntores, interruptores de emergência e ganchos de execução determinística para implantações de alta autonomia.
Ecosistema de projetos de alta velocidade e riscos de supply chain
O relatório fundamenta suas orientações em uma pesquisa de ecossistema de projetos agênticos de alta velocidade, destacando onde as equipes de segurança devem focar o monitoramento e o rastreamento de avisos. O Gravitas, com cerca de 183.000 estrelas no GitHub, é citado como uma plataforma totalmente autônoma que pioneirou loops de agentes autônomos e agora possui mais de 430 contribuidores.
O n8n, também com cerca de 183.000 estrelas, é uma plataforma de orquestração empresarial semi-autônoma com 6 anos de evolução de grau de produção e mais de 570 releases, recentemente adaptada para fluxos de trabalho agênticos. O Dify, com aproximadamente 137.000 estrelas e 462 contribuidores, destaca-se por um dos maiores volumes de pull requests, sinalizando iteração rápida e potencial churn de superfície de ataque.
No front de agentes de codificação, o Claude Code (Anthropic) é descrito como um agente de codificação semi-autônomo com cerca de 110.000 estrelas, enviando aproximadamente um release por dia e já associado a 22 CVEs publicados, tornando-o o CLI de crescimento mais rápido no conjunto de dados. O Gemini CLI do Google, com cerca de 100.000 estrelas, 445 contribuidores e 676 novos issues abertos em uma janela de 90 dias, mostra aceleração similar na adoção de desenvolvedores e pressão de descoberta de vulnerabilidades.
Agentes de infraestrutura e operações como o browser-use (cerca de 80.000 estrelas, automação de navegador totalmente autônoma com densidade de commit extremamente alta) e o Skyvern (cerca de 18.000 estrelas, totalmente autônomo com taxa de merge de PR de 77%) exemplificam categorias de alto risco nas quais os agentes se conectam diretamente a navegadores, nuvem e ambientes CI/CD.
Riscos de cadeia de suprimentos e dados envenenados
Um dos pontos críticos destacados no relatório é o risco de dados de fornecedores envenenados que podem se espalhar através de contextos de agentes de IA compartilhados, criando riscos de cadeia de suprimentos cross-tenant. Isso significa que um ataque a um componente de IA pode comprometer múltiplas organizações que dependem do mesmo modelo ou framework de agente.
Agentes pessoais, como o AgentSeek da Fosowl (cerca de 15.000 estrelas, supervisionado com crescimento de commit de 67% em 90 dias), ilustram como a "IA sombra" pode vazar para empresas através de dispositivos de usuários, contornando a governança tradicional. Para defensores, a mensagem da OWASP é tratar a IA agêntica como um domínio de segurança de primeira classe.
Recomendações para CISOs e governança
Com agentes autônomos agora tocando a infraestrutura de produção, os programas de segurança devem sair de avaliações de modelo pontuais para supervisão contínua de tempo de execução e proveniência da cadeia de suprimentos para componentes de IA. Controles fortes de identidade não humana antes que atacantes e agentes mal comportados definam a superfície de risco são essenciais.
As organizações devem inventariar agentes em todo este ecossistema, rastrear avisos e CVEs em projetos de alta velocidade e alinhar as implantações ao OWASP Top 10 for Agentic Security e ao seu novo modelo de maturidade de governança. A segurança de IA agêntica exige uma mudança de mentalidade de segurança reativa para uma postura de segurança proativa e contínua, onde a autonomia é gerenciada como um risco crítico de infraestrutura.
O que fazer agora
1. Inventariar todos os agentes de IA em uso na organização, incluindo ferramentas de desenvolvimento e automação.
2. Implementar controles de identidade não humana para limitar o acesso de agentes a recursos críticos.
3. Estabelecer monitoramento contínuo para atividades anômalas de agentes, especialmente em ambientes de produção.
4. Revisar a governança de cadeia de suprimentos de IA, garantindo a proveniência de modelos e dados utilizados.
5. Alinhar políticas de segurança com o OWASP Top 10 for Agentic Security e atualizar os planos de resposta a incidentes para incluir cenários de IA agêntica.