Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A tecnologia Agentic AI é marcada pela falta de divulgação sobre os riscos.
- Alguns sistemas são piores que outros.
- Os desenvolvedores de IA precisam intensificar e assumir responsabilidades.
A tecnologia Agentic está se aproximando totalmente da inteligência synthetic com o anúncio esta semana de que a OpenAI contratou Peter Steinberg, o criador da estrutura de software program de código aberto OpenClaw.
O software program OpenClaw atraiu muita atenção no mês passado, não apenas por permitir recursos selvagens – agentes que podem, por exemplo, enviar e receber e-mails em seu nome – mas também por suas dramáticas falhas de segurança, incluindo a capacidade de sequestrar completamente seu computador pessoal.
Também: Do Clawdbot ao OpenClaw: este agente viral de IA está evoluindo rapidamente – e é o combustível do pesadelo para os profissionais de segurança
Dado o fascínio pelos agentes e o quão pouco ainda se sabe sobre os seus prós e contras, é importante que os investigadores do MIT e das instituições colaboradoras tenham acabado de publicar uma pesquisa massiva de 30 dos sistemas de IA de agentes mais comuns.
Os resultados deixam claro que a IA agente é uma espécie de pesadelo de segurança neste momento, uma disciplina marcada pela falta de divulgação, falta de transparência e uma notável falta de protocolos básicos sobre como os agentes devem operar.
Também: OpenClaw é um pesadelo de segurança – 5 sinais de alerta que você não deve ignorar (antes que seja tarde demais)
Falta de transparência
A maior revelação do relatório é o quão difícil é identificar todas as coisas que podem dar errado com a IA de agência. Isso é principalmente o resultado da falta de divulgação por parte dos desenvolvedores.
“Identificamos limitações persistentes nos relatórios sobre características ecossistêmicas e relacionadas à segurança dos sistemas agentes”, escreveu o autor principal Leon Staufer, da Universidade de Cambridge e colaboradores do MIT, Universidade de Washington, Universidade de Harvard, Universidade de Stanford, Universidade da Pensilvânia e Universidade Hebraica de Jerusalém.
Em oito categorias diferentes de divulgação, os autores salientaram que a maioria dos sistemas de agentes não oferece qualquer informação para a maioria das categorias. As omissões vão desde a falta de divulgação sobre riscos potenciais até a falta de divulgação sobre testes de terceiros, se houver.
Uma tabela apresentando todas as omissões de divulgação dos sistemas de agentes em vermelho.
Universidade de Cambridge et al.
O relatório de 39 páginas, “The 2025 AI Index: Documenting Sociotechnical Options of Deployed Agentic AI Techniques”, que pode ser baixado aquiestá repleto de joias sobre o quão pouco pode ser rastreado, rastreado, monitorado e controlado na tecnologia de IA de agência atual.
Por exemplo, “Para muitos agentes empresariais, não está claro, a partir das informações disponíveis publicamente, se existe monitoramento de rastreamentos de execução individuais”, o que significa que não há uma capacidade clara de rastrear exatamente o que um programa de IA de agência está fazendo.
Também: Agentes de IA já estão causando desastres – e essa ameaça oculta pode atrapalhar sua implementação segura
“Doze em cada trinta agentes não fornecem monitoramento de uso ou apenas notificam quando os usuários atingem o limite de taxa”, observaram os autores. Isso significa que você não consegue nem acompanhar quanto a IA agente está consumindo de um determinado recurso de computação – uma preocupação importante para empresas que precisam fazer um orçamento para esse tipo de coisa.
A maioria desses agentes também não sinaliza ao mundo actual que são IA, então não há como saber se você está lidando com um humano ou um bot.
“A maioria dos agentes não divulga sua natureza de IA aos usuários finais ou terceiros por padrão”, observaram. A divulgação, neste caso, incluiria coisas como colocar uma marca d’água em um arquivo de imagem gerado para que ficasse claro quando uma imagem foi feita by way of IA, ou responder ao arquivo “robots dot txt” de um website para identificar o agente do website como uma automação em vez de um visitante humano.
Algumas dessas ferramentas de software program não oferecem nenhuma maneira de impedir a execução de um determinado agente.
O MobileAgent da Alibaba, o Breeze da HubSpot, o watsonx da IBM e as automações criadas pela n8n, fabricante de software program com sede em Berlim, na Alemanha, “não possuem opções de parada documentadas, apesar da execução autônoma”, disseram Staufer e equipe.
“Para plataformas empresariais, às vezes existe apenas a opção de interromper todos os agentes ou retirar a implantação.”
Descobrir que não é possível impedir algo que está fazendo a coisa errada deve ser um dos piores cenários possíveis para uma grande organização, onde os resultados prejudiciais superam os benefícios da automação.
Os autores esperam que estas questões, questões de transparência e controlo, persistam com os agentes e até se tornem mais proeminentes. “Os desafios de governação aqui documentados (fragmentação do ecossistema, tensões de conduta na net, ausência de avaliações específicas dos agentes) ganharão importância à medida que as capacidades dos agentes aumentam”, escreveram.
Staufer e sua equipe também disseram que tentaram obter suggestions das empresas cujo software program foi coberto durante quatro semanas. Cerca de um quarto dos contatados responderam, “mas apenas 3/3 com comentários substantivos”. Esses comentários foram incorporados ao relatório, escreveram os autores. Eles também possuem um formulário fornecido às empresas para correções contínuas.
Um cenário em expansão de IA agente
A inteligência synthetic agente é um ramo do aprendizado de máquina que surgiu nos últimos três anos para aprimorar as capacidades de grandes modelos de linguagem e chatbots.
Em vez de simplesmente serem atribuídos a uma única tarefa ditada por um immediate de texto, os agentes são programas de IA que foram conectados a recursos externos, como bancos de dados, e aos quais foi concedida uma medida de “autonomia” para perseguir objetivos além do escopo de um diálogo baseado em texto.
Também: A verdadeira IA agente ainda está a anos de distância – veja por que e como chegamos lá
Essa autonomia pode incluir a realização de diversas etapas de um fluxo de trabalho corporativo, como receber um pedido de compra por e-mail, inseri-lo em um banco de dados e consultar um sistema de estoque para disponibilidade. Os agentes também têm sido usados para automatizar vários turnos de uma interação de atendimento ao cliente, a fim de substituir algumas das consultas básicas de telefone ou e-mail, ou de texto que um representante humano do cliente tradicionalmente teria atendido.
Os autores selecionaram IA agente em três categorias: chatbots que possuem recursos extras, como a ferramenta Claude Code da Anthropic; extensões de navegador da net ou navegadores de IA dedicados, como o navegador Atlas da OpenAI; e ofertas de software program empresarial, como o Workplace 365 Copilot da Microsoft. Isso é apenas uma amostra: outros estudos, observaram, cobriram centenas de ofertas de tecnologia de agentes.
(Divulgação: Ziff Davis, empresa controladora da ZDNET, entrou com uma ação judicial em abril de 2025 contra a OpenAI, alegando que ela violou os direitos autorais de Ziff Davis no treinamento e operação de seus sistemas de IA.)
A maioria dos agentes, no entanto, “depende de um pequeno conjunto de modelos de fronteira de código fechado”, disseram Staufer e equipe. O GPT da OpenAI, o Claude da Anthropic e o Gemini do Google são os fundamentos da maioria desses agentes.
O bom e o ruim dos agentes
O estudo não se baseia no teste direto das ferramentas de agente; baseia-se na “anotação” da documentação fornecida por desenvolvedores e fornecedores. Isso inclui “apenas informações públicas de documentação, websites, demonstrações, artigos publicados e documentos de governança”, disseram. No entanto, eles estabeleceram contas de usuário com alguns dos sistemas agentes para verificar novamente o funcionamento actual do software program.
Os autores ofereceram três exemplos anedóticos que se aprofundam. Um exemplo positivo, escreveram eles, é o agente ChatGPT da OpenAI, que pode interagir com websites quando um usuário solicita no immediate que ele execute uma tarefa baseada na net. O agente é positivamente distinguido como o único dos sistemas de agente que eles examinaram que fornece um meio de rastrear o comportamento ao “assinar criptograficamente” as solicitações do navegador que ele faz.
Por outro lado, o navegador Comet da Perplexity parece um desastre de segurança. O programa, descobriram Staufer e sua equipe, “não tem avaliações de segurança específicas do agente, testes de terceiros ou divulgações de desempenho de referência” e “Perplexidade […] não documentou metodologia ou resultados de avaliação de segurança para o Comet”, acrescentando: “Nenhuma abordagem de sandbox ou contenção além das mitigações de injeção imediata foi documentada.”
Além disso: o Gartner incentiva as empresas a ‘bloquear todos os navegadores de IA’ – o que está por trás do terrível aviso
Os autores observaram que a Amazon processou a Perplexity, dizendo que o navegador Comet apresenta erroneamente suas ações a um servidor como se fosse um humano e não um bot, um exemplo da falta de identificação que discutem.
O terceiro exemplo é o conjunto de agentes Breeze do fornecedor de software program empresarial HubSpot. São automações que podem interagir com sistemas de registro, como “gerenciamento de relacionamento com o cliente”. As ferramentas Breeze são uma mistura de boas e más, descobriram eles. Por um lado, eles são certificados para diversas medidas de conformidade corporativa, como conformidade com SOC2, GDPR e HIPAA.
Por outro lado, o HubSpot não oferece nada quando se trata de testes de segurança. Ele afirma que os agentes Breeze foram avaliados pela empresa de segurança terceirizada PacketLabs, “mas não fornece metodologia, resultados ou detalhes da entidade de teste”.
A prática de demonstrar aprovação de conformidade, mas não divulgar avaliações reais de segurança, é “típica de plataformas corporativas”, observaram Staufer e sua equipe.
É hora dos desenvolvedores assumirem a responsabilidade
O que o relatório não examina são incidentes em estado selvagem, casos em que a tecnologia de agentes realmente produziu comportamentos inesperados ou indesejados que resultaram em resultados indesejáveis. Isso significa que ainda não sabemos o impacto complete das deficiências identificadas pelos autores.
Uma coisa é absolutamente clara: a Agentic AI é um produto de equipes de desenvolvimento que fazem escolhas específicas. Esses agentes são ferramentas criadas e distribuídas por humanos.
Como tal, a responsabilidade de documentar o software program, de auditar programas quanto a questões de segurança e de fornecer medidas de controle cabe diretamente à OpenAI, Anthropic, Google, Perplexity e outras organizações. Cabe a eles tomar medidas para remediar as graves lacunas identificadas ou então enfrentarão regulamentação no futuro.
