Five Eyes publicam primeiro guia conjunto de segurança para IA agêntica: cinco categorias de risco e a receita do menor privilégio

Aliança Five Eyes publica em maio de 2026 o primeiro guia conjunto sobre IA agêntica: cinco categorias de risco, superfície de ataque interconectada e adoção ‘lenta e cuidadosa’.

five-eyes-agentic-security

Resumo: Em 1º de maio de 2026, a aliança Five Eyes — CISA (EUA), NSA (EUA), ASD ACSC (Austrália), Canadian Centre for Cyber Security, NCSC-NZ e NCSC-UK — publicou “Careful Adoption of Agentic AI Services”, o primeiro guia conjunto sobre segurança em IA agêntica. O documento sinaliza que a adoção deve ser “lenta e cuidadosa”, classifica riscos em cinco categorias (privilégio, design/configuração, comportamental, estrutural e de cadeia de fornecimento) e recomenda que agentes recebam apenas as permissões mínimas necessárias, com expiração e revisão periódica. Em julho, o guia ganhou tração após dois incidentes públicos com prompt injection em AI browsers.

O que exatamente foi publicado

O guia é curto (24 páginas) e explicitamente operacional: destina-se a organizações que já estão implantando ou prestes a implantar agentes capazes de executar ações reais — enviar e-mails, alterar arquivos, chamar APIs, provisionar acessos, e encadear essas ações sem aprovação humana passo a passo. Não é um paper acadêmico. As agências dizem, em linguagem incomum para documentos oficiais: os agentes “vão se comportar mal” e vão “amplificar as fragilidades existentes” da organização.

As cinco categorias de risco

  • Privilégio: agentes recebendo acesso amplo demais a sistemas críticos.
  • Design/configuração: prompts de sistema mal escritos, ferramentas conectadas sem sandbox, secrets em plaintext.
  • Comportamental: alucinação, loops de raciocínio, sycophancy e desvio de objetivo.
  • Estrutural: cadeias multi-agente sem observabilidade e sem circuit breakers.
  • Cadeia de fornecimento: ferramentas MCP, plugins e modelos base cujo código-fonte ou treinamento é opaco.

A recomendação central é least-privilege by default: cada agente recebe apenas as permissões estritamente necessárias para uma tarefa, com escopo temporário e revalidação. É a versão IA do princípio zero-trust — mas com uma diferença crítica: no zero-trust tradicional, o “sujeito” é um humano ou um serviço estável. Em agentes, o sujeito é um modelo probabilístico que pode ser induzido a agir contra o próprio operador via prompt injection.

Por que importa

O documento cristaliza o que a comunidade de segurança discutia em fóruns desde 2024: a arquitetura de agentes cria uma “superfície de ataque interconectada”. Um único e-mail malicioso, um PDF adulterado, um site com prompt injection embutido — qualquer entrada de dado externo é potencialmente um vetor de execução remota, porque agentes lêem, decidem e agem numa mesma fronteira semântica. Guardrails baseados em prompt não bastam; é preciso arquitetura defensiva.

Status no Brasil

A ANPD ainda não publicou orientação equivalente, mas o sandbox regulatório em vigor desde março (com Metatext, Synapse AI e Prevvine) já incorpora informalmente três dos cinco pilares do guia Five Eyes. O PL 2338/2023, próximo a votação no plenário, tem em seu artigo 27 dispositivo que exige “controle humano significativo” para sistemas de alto risco — linguagem compatível com o princípio do menor privilégio. Empresas brasileiras que operem em serviços financeiros, saúde e infraestrutura crítica devem tratar o guia Five Eyes como de facto baseline, sob risco de responsabilização civil em caso de incidente.

Riscos e limitações

O guia é fraco em três pontos: (1) não define métrica objetiva para “menor privilégio suficiente”; (2) não trata a delicada questão de agentes com aprendizado online, que mudam de comportamento após o deploy; (3) omite orientação sobre criptografia de comunicação inter-agente, deixando a arquitetura MCP como um ponto cego. Para times de segurança, o documento serve como checklist gerencial — mas não substitui pentests, red-teaming automatizado e observabilidade fina.

SWOT econômica

.pn-swot{display:grid;grid-template-columns:1fr 1fr;gap:12px;margin:22px 0}
.pn-swot .box{padding:14px 16px;border-radius:10px;color:#fff;font-size:.95em}
.pn-swot .box h4{margin:0 0 8px;font-size:1.05em;color:#fff}
.pn-swot .f{background:#1b7a3e}
.pn-swot .fr{background:#c86a1e}
.pn-swot .o{background:#1e5aa8}
.pn-swot .a{background:#a83232}
.pn-swot ul{margin:0;padding-left:18px}
.pn-swot li{margin:4px 0;line-height:1.35}

Forças

  • Consenso inédito entre CISA, NSA, ASD, CCCS, NCSC-NZ e NCSC-UK
  • Cinco categorias operacionais claras para governança
  • Alinhamento com frameworks NIST/OWASP LLM Top 10

Fraquezas

  • Documento não vincula juridicamente empresas privadas
  • Baixo nível de detalhe técnico para engenharia real
  • Vocabulário ‘agentic’ ainda incons­istente entre agências

Oportunidades

  • Base para regulação nacional (ANPD, EU AI Act, RD-CoP)
  • Selo de conformidade para vendors de agentes
  • Puxa demanda por Trusted Identity Registry para agentes

Ameaças

  • Empresas apressadas em adoção sem baseline mínimo
  • Fornecedores que ignoram guidance viram fornecedores de risco
  • Ataques em cadeia via ferramentas MCP mal-permissionadas

Cenário e indicativo de futuro

Nos próximos 6 a 12 meses três movimentos são prováveis:

  1. Vendors de MCP adotarão selos de conformidade Five Eyes — Cloudflare, Anthropic, Elastic e AWS já sinalizaram atualização de documentação.
  2. Trusted Identity Registry para agentes: nomes como Radiant Logic e Okta trabalham em cadastros centralizados onde cada agente tem identidade verificável e cadeia de custódia.
  3. Contratos B2B com “cláusula Five Eyes”: empresas passarão a exigir declaração formal de aderência do fornecedor.

Conclusão prática

Se sua organização já rodam agentes com acesso a e-mail, calendário, Jira, ERP ou banco de dados de produção, monte imediatamente um inventário: quais agentes existem, quais permissões têm, quais dados leem e escrevem, quem aprovou. Feito o inventário, aplique corte de privilégio: qualquer permissão que não é usada em 30 dias, revogue. Instale logging de todas as chamadas de ferramenta, com alerta em ações irreversíveis (deletar, transferir, publicar). Este é o mínimo que o guia Five Eyes está pedindo — e é o mínimo que um adversário está esperando você fazer.

Fonte: Australian Cyber Security Centre — Five Eyes Cyber Security Agencies Statement