A regra nunca foi quebrada

Em 30 de junho de 2026 a equipa de segurança da Microsoft publicou um alerta sobre as ferramentas a que os seus agentes de IA se ligam. O problema não é um vírus nem uma falha por corrigir. É a descrição curta, em linguagem simples, que acompanha cada ferramenta para dizer ao agente o que a ferramenta faz e quando a usar. Um agente lê esse texto e confia nele. Se um atacante o editar, o agente segue a edição.

O exemplo da Microsoft é deliberadamente banal. Pede-se a um agente financeiro que reúna as últimas trinta faturas por pagar e as envie para um servidor. Cada passo individual parece legítimo, por isso nada dispara um alarme. O agente não foi pirateado. Foi instruído, num lugar que ninguém pensou em vigiar.

Já aconteceu

Isto não é um cenário de laboratório. Em setembro de 2025 investigadores encontraram um pacote npm chamado postmark-mcp que tinha replicado uma ferramenta de email legítima ao longo de quinze versões limpas. A versão 1.0.16 introduziu uma única linha que copiava secretamente cada email que o agente enviava para um endereço externo. As equipas que tinham aprovado a ferramenta meses antes ficaram expostas no momento em que atualizaram.

A razão pela qual esta classe de ataque continua a funcionar é que a maioria dos controlos vigia o modelo, não a caixa de ferramentas. Um filtro de prompt lê o que o utilizador escreve. Não volta a ler a descrição de uma ferramenta em que o agente confia há seis meses, que é exatamente onde a instrução agora se esconde.

Trate as suas ferramentas como cadeia de fornecimento

A própria orientação da Microsoft é o enquadramento certo para um dono. Cada ferramenta ligada faz parte da sua cadeia de fornecimento. Mantenha uma lista de editores de ferramentas aprovados, desligue o permitir tudo, e deixe cada agente usar apenas as ferramentas específicas de que precisa. Trate a descrição de uma ferramenta como um prompt de sistema, reveja qualquer alteração a ela como reveria uma alteração de código, e assinale comandos que não têm nada que estar num campo de ajuda.

Nada disto exige um produto novo. Exige saber a que estão ligados os seus agentes, quem o escreveu, e o que mudou desde que o aprovou. A maioria das empresas que estão a implementar agentes em finanças, compras e apoio não consegue responder a estas três perguntas hoje, e essa é a verdadeira exposição.