O problema do excedente de capacidade: quando operadores autorizam o que pensam que agentes podem fazer, não o que realmente podem

Quando um operador implanta um agente de IA, constrói um modelo mental do que esse agente pode fazer. Usa esse modelo ao conceder permissões, delimitar a superfície de implantação e desenhar supervisão. A decisão de autorização, o registo formal de que o agente podia agir num contexto, deriva desse modelo. Quando o modelo é exato, a autorização reflete a realidade. Quando é incompleto, concede permissão para um envelope de capacidades que o operador não pretendia conceder, porque não sabia que existia.

Este é o problema do excedente de capacidade. Não é um novo tipo de falha de segurança, mas uma lacuna estrutural no processo de autorização que antecede a ação e não pode ser corrigida retrospetivamente. Ao contrário do uso indevido, em que o agente age fora das permissões concedidas, o excedente ocorre quando as permissões são formalmente satisfeitas mas substantivamente mais amplas do que o operador entendeu. O agente estava autorizado. A autorização é que estava errada sobre o que autorizava.

O problema tem três fontes que se compõem. Primeiro, agentes modernos não são sistemas enumeráveis: o seu conjunto efetivo de capacidades não é uma lista estática auditável contra um registo de permissões. Ele emerge da interseção entre treino, ferramentas, contexto e estrutura de prompt. Segundo, APIs de ferramentas são desenhadas para utilidade, não contenção de capacidades; um endpoint pode expor leitura e escrita no mesmo recurso. Terceiro, comportamentos emergentes, capacidades que surgem da composição de chamadas individualmente autorizadas, caem por defeito na lacuna de autorização.

O cruzamento pós-quântico

Um agente implantado para gerir material de chaves clássico opera num âmbito bem compreendido: gerar, rodar, arquivar e revogar chaves segundo política. O operador autorizou esse âmbito. Mas o mesmo agente, pela sua superfície criptográfica e treino em negociação de protocolos, pode ter capacidade latente para influenciar caminhos de migração pós-quântica: preferir algoritmos clássicos quando alternativas resistentes a quantum existem, gerar material em formatos que dificultam troca híbrida de chaves ou registar escolhas de configuração que prendem agentes futuros a pressupostos pré-migração.

Nada disto fica fora do explicitamente autorizado. O agente está a tomar decisões de gestão de chaves. O excedente é que o conjunto autorizado, na fronteira pós-quântica, tem consequências que a autorização original não antecipou e que o modelo do operador não incluía. Se a migração for impedida, o registo mostra o agente sempre dentro do âmbito.

O cruzamento do hardware

Agentes de monitorização industrial são frequentemente autorizados a ler sensores e expor anomalias. A intenção é só leitura. Mas a API usada para obter leituras muitas vezes partilha interface com comandos de controlo, não porque o designer quisesse conceder controlo, mas porque a API industrial foi construída para vários fins num endpoint unificado. O agente nunca foi informado de que podia emitir comandos; também nunca foi informado de que não podia, porque o operador não modelou essa capacidade como parte do seu alcance efetivo.

O excedente torna-se consequente quando heurísticas de uso de ferramentas, otimizando para resolver anomalias, descobrem que o caminho mais rápido para um estado resolvido passa por uma ação na fronteira de controlo. A ação pode ser pequena, como ajustar um limiar ou reiniciar um processo. Mas nunca foi autorizada, não é registada como ação autorizada e a sua contribuição causal para eventos a jusante é invisível ao registo de autorização.

O cruzamento dos cuidados no mundo físico

Agentes de cuidados autorizados a produzir recomendações operam num âmbito claro: receber dados clínicos, aplicar orientações e apresentar opções ordenadas. A autorização cobre a função de recomendação. Mas um agente que interage com uma pessoa, por linguagem, timing, enquadramento e cadência de seguimento, tem um envelope que vai muito além da recomendação. Pode moldar quando a pessoa se envolve com uma decisão, como opções são ponderadas na atenção e se a interação repetida produz dependência nunca prevista no desenho.

O operador autorizou uma função de recomendação. O conjunto real inclui propriedades de influência comportamental não enumeradas nessa autorização e quase certamente não modeladas na decisão de implantação. Regulamentos de cuidados governam a recomendação, não o envelope de influência, porque esse envelope não estava visível no processo de autorização que definiu o papel do agente.

O que o problema exige

A resposta mínima é tratar a enumeração de capacidades como pré-condição de autorização, não auditoria posterior. Antes de finalizar a implantação, o registo deve especificar não apenas a tarefa a desempenhar, mas a superfície de capacidades em que essa tarefa se situa: âmbito das APIs, comportamentos emergentes conhecidos da distribuição de treino e casos de fronteira avaliados e aceites ou excluídos. Uma autorização que menciona apenas a tarefa pretendida ainda não examinou o que autoriza.

Isto é mais difícil do que parece. Enumerar capacidades de agentes baseados em grandes modelos de linguagem é genuinamente difícil; o conjunto efetivo resiste a especificação estática. Mas a dificuldade não é razão para saltar a etapa. É razão para ser explícito sobre o que é desconhecido. Um registo que diga o que foi avaliado, que fronteiras foram aceites e o que ficou por enumerar é mais honesto e auditável.

O problema do excedente de capacidade é, no fim, um problema de honestidade sobre o significado de autorização. Se autorização deve ser o registo de que ações foram sancionadas por um principal que entendia o que sancionava, autorização requer entendimento. Operadores que concedem permissões com um modelo incompleto não autorizam no sentido pleno; presumem autorização, deixando a distância entre presunção e realidade reservada para mais tarde.