Quando um agente age, quem assina o recibo?

Um empregado que reserva um voo com um cartão da empresa é rastreável. A reserva é atribuída, a autoridade está documentada e, se algo correr mal, há um registo claro de quem delegou o quê a quem. Isto não é burocracia por si mesma; é a infraestrutura básica da responsabilização institucional. Toda a ação consequente num sistema governado deixa um recibo.

Os agentes de IA já reservam voos. Também encaminham pagamentos, inscrevem doentes, rejeitam pedidos e assinam em nome de instituições que ainda não pensaram cuidadosamente no que “assinar” significa neste contexto. Os recibos, quando existem, são logs, não assinaturas. A diferença importa mais do que parece.

Uma entrada de log diz “isto aconteceu a esta hora”. Um recibo assinado diz “esta entidade, com esta autoridade, fez isto acontecer e está criptograficamente vinculada a essa afirmação”. O primeiro é um registo. O segundo é responsabilização. Ambientes regulados, instituições contraparte e auditores futuros precisam do segundo tipo. O que recebem, em larga medida, é o primeiro.

O problema da cadeia de delegação

Quando um humano delega num agente, cria-se uma cadeia de autoridade. O principal humano autoriza o agente a agir dentro de um âmbito definido. O agente age. Sistemas, pessoas ou instituições a jusante são afetados. Para que essa cadeia seja auditável, cada elo precisa de ser atribuível: quem autorizou quem, a fazer o quê, dentro de que limites e em que momento.

Hoje, essa cadeia normalmente quebra na fronteira do agente. O sistema pode registar que “a IA sugeriu esta ação” ou “a automação concluiu este passo”, mas o registo raramente transporta uma estrutura formal de delegação: quem delimitou a autoridade, quais eram os limites e se o agente agiu dentro deles. Quando algo corre mal, a resposta a “quem assinou o recibo” é, estruturalmente, ninguém.

Isto não é um novo tipo de problema. É o problema clássico de agência, agora a operar à velocidade e escala do software. O que é novo é que o modo de falha, um agente a agir fora do âmbito autorizado sem trilho atribuível, é rápido, barato e provavelmente comum.

A identidade é a primitiva em falta

A conversa sobre segurança de agentes tem-se concentrado sobretudo em alinhamento: fazer com que agentes façam o que humanos pretendem. Isto é necessário. Não é suficiente. O alinhamento responde ao que o agente fará. A atribuição responde a quem assume responsabilidade quando ele o faz.

Para que a atribuição funcione tecnicamente, agentes precisam de identidades persistentes e delimitadas. Não contas. Não chaves de API. Identidades que transportem proveniência de delegação, rastreáveis até ao principal humano ou institucional que as criou, com o âmbito e os limites de autoridade incorporados na credencial. Um agente deve apresentar uma declaração assinada que diga, em efeito: estou autorizado a agir em nome da Entidade X, dentro do âmbito Y, até à condição Z, e esta declaração é assinada por X de forma que X não possa repudiá-la depois.

Isto é uma estrutura criptográfica. E implica uma arquitetura de gestão de chaves e assinaturas que a maioria das implantações atuais de agentes não tem, porque a maioria foi desenhada para produzir resultados, não recibos de grau institucional.

Porque a escala torna isto urgente

A pressão para auditar ações de agentes cresce com a escala e a consequência dessas ações. Um único agente a reservar um voo é tratável com revisão manual. Mil agentes a agir continuamente em domínios regulados, pagamentos, saúde, execução jurídica, exigem infraestrutura institucional de recibos, não revisão manual.

As organizações que constroem implantações de agentes agora definirão a arquitetura que opera nessa escala. Se essa arquitetura não incluir identidade, cadeias de delegação e recibos assinados, terá de ser retrofitada mais tarde, sob pressão regulatória, após incidentes e a custo muito superior ao de a construir desde o início. A camada de assinatura não é o gargalo da capacidade dos agentes. É a condição sob a qual essa capacidade ganha o direito de operar em domínios consequentes.

A camada de recibos é a camada de confiança

A economia de agentes será construída sobre aquilo que os agentes podem ser confiados a fazer sem um humano a observar cada passo. Essa confiança não é concedida por benchmarks de capacidade. É conquistada pelo registo: uma acumulação de ações assinadas, atribuídas e auditáveis que instituições, reguladores e contrapartes podem inspecionar.

Construir esse registo exige a mesma infraestrutura que qualquer instituição responsável usa para provar que agiu dentro de âmbito autorizado: identidade, delegação, assinatura e auditoria. Não apenas porque os reguladores acabarão por o exigir, embora o façam, mas porque a alternativa é uma economia de agentes assente em ação sem responsabilização. E ação sem responsabilização, em escala, não é progresso. É responsabilidade civil vestida de capacidade.

A camada de recibos é a forma como a economia de agentes paga pelo seu direito de agir no mundo.