Agentes de IA · Shadow AI · Segurança

Que agente de IA está rodando dentro da sua empresa?

Claude Code, OpenClaw e similares, extensões VS Code, skills, MCPs e scripts de automação podem ler código, rodar comandos, acessar dados e chamar APIs. A dor das empresas é simples: TI, segurança e compliance precisam saber o que existe, quem usa e qual risco cada agente cria.

01 Intenção de busca

A nova superfície de risco não é só chatbot.

Agentes de IA operam dentro do fluxo de trabalho: abrem arquivos, executam comandos, instalam skills, chamam ferramentas e interagem com repositórios. Isso mistura shadow IT, supply chain, AppSec e governança de IA em um só problema.

  • Inventário de agentes, skills, MCPs, extensões VS Code e automações locais.
  • Classificação por privilégio: leitura de código, shell, rede, credenciais, browser e APIs.
  • Evidências para ISO 27001, ISO 42001, LGPD e auditoria interna.
  • Política de uso, aprovação, exceções e revisão periódica dos agentes permitidos.

02 O que entregamos

Visibilidade antes de bloqueio

Sem inventário, a empresa escolhe entre liberar tudo ou proibir no escuro. A abordagem correta começa por descobrir e classificar o que já está em uso.

Skills como supply chain

Skills e extensões funcionam como código de terceiros com acesso ao ambiente do usuário. Elas precisam de origem, versão, escopo, revisão e evidência.

Governança operacional

A decisão não fica em uma política esquecida. O painel registra agentes, riscos, aprovações, exceções e eventos para auditoria.

03 Fluxo

Da intenção à evidência.

  1. 01

    Descobrir o que existe

    Mapeie agentes, extensões VS Code, skills, MCPs, tokens, roots de skills e integrações que aparecem em máquinas, repositórios e rotinas de CI.

  2. 02

    Classificar privilégio e risco

    Separe ferramentas apenas de leitura de agentes que executam shell, leem credenciais, usam browser, enviam dados externos ou têm autonomia.

  3. 03

    Criar política e exceções

    Defina o que é permitido, o que exige aprovação, como uma nova skill entra, e qual evidência precisa existir para manter o uso.

  4. 04

    Monitorar e evidenciar

    Registre varreduras, aprovações, revogações, incidentes e revisões periódicas como evidência de controle vivo.

04 Prova prática

Como isso se alinha a ISO, segurança e agentes reais.

Essa dor conversa diretamente com controles de inventário, acesso, fornecedores, gestão de vulnerabilidades, mudança, logging e governança de IA. Para não ficar só no discurso, a Exponencial abriu o Agent Safe Guard: uma camada pública de hooks nativos, skill instalável e catálogo de regras para governança de agentes de IA.

  • ISO 27001: ativos, acessos, fornecedores, mudanças, vulnerabilidades e logging.
  • ISO 42001: inventário de usos de IA, papéis, risco, monitoramento e melhoria.
  • Agent Safe Guard: bloqueio de comandos destrutivos, proteção contra leitura de segredos, filtros de saída, repo map e evidência operacional.

05 Perguntas frequentes

Respostas diretas antes da conversa.

Isso é diferente de bloquear IA generativa?

Sim. Bloqueio puro costuma falhar. Governança de agentes começa por visibilidade e separa usos aceitáveis de agentes com privilégios perigosos.

Por que extensões VS Code entram no escopo?

Porque extensões podem executar código, ler workspace, chamar rede e interagir com ferramentas. Quando uma extensão tem IA ou instala ferramentas, vira parte da superfície de agente.

A Exponencial já tem uma base para resolver isso?

Sim. A plataforma já trabalha com agentes escopados, evidências, riscos, Sec-AI e ISO 27001. O próximo passo natural é ampliar a coleta para inventário e governança de agentes/skills/extensões.