Visibilidade antes de bloqueio
Sem inventário, a empresa escolhe entre liberar tudo ou proibir no escuro. A abordagem correta começa por descobrir e classificar o que já está em uso.
Agentes de IA · Shadow AI · Segurança
Claude Code, OpenClaw e similares, extensões VS Code, skills, MCPs e scripts de automação podem ler código, rodar comandos, acessar dados e chamar APIs. A dor das empresas é simples: TI, segurança e compliance precisam saber o que existe, quem usa e qual risco cada agente cria.
01 Intenção de busca
Agentes de IA operam dentro do fluxo de trabalho: abrem arquivos, executam comandos, instalam skills, chamam ferramentas e interagem com repositórios. Isso mistura shadow IT, supply chain, AppSec e governança de IA em um só problema.
02 O que entregamos
Sem inventário, a empresa escolhe entre liberar tudo ou proibir no escuro. A abordagem correta começa por descobrir e classificar o que já está em uso.
Skills e extensões funcionam como código de terceiros com acesso ao ambiente do usuário. Elas precisam de origem, versão, escopo, revisão e evidência.
A decisão não fica em uma política esquecida. O painel registra agentes, riscos, aprovações, exceções e eventos para auditoria.
03 Fluxo
Mapeie agentes, extensões VS Code, skills, MCPs, tokens, roots de skills e integrações que aparecem em máquinas, repositórios e rotinas de CI.
Separe ferramentas apenas de leitura de agentes que executam shell, leem credenciais, usam browser, enviam dados externos ou têm autonomia.
Defina o que é permitido, o que exige aprovação, como uma nova skill entra, e qual evidência precisa existir para manter o uso.
Registre varreduras, aprovações, revogações, incidentes e revisões periódicas como evidência de controle vivo.
04 Prova prática
Essa dor conversa diretamente com controles de inventário, acesso, fornecedores, gestão de vulnerabilidades, mudança, logging e governança de IA. Para não ficar só no discurso, a Exponencial abriu o Agent Safe Guard: uma camada pública de hooks nativos, skill instalável e catálogo de regras para governança de agentes de IA.
05 Perguntas frequentes
Sim. Bloqueio puro costuma falhar. Governança de agentes começa por visibilidade e separa usos aceitáveis de agentes com privilégios perigosos.
Porque extensões podem executar código, ler workspace, chamar rede e interagir com ferramentas. Quando uma extensão tem IA ou instala ferramentas, vira parte da superfície de agente.
Sim. A plataforma já trabalha com agentes escopados, evidências, riscos, Sec-AI e ISO 27001. O próximo passo natural é ampliar a coleta para inventário e governança de agentes/skills/extensões.