O problema da composição
Um agente individualmente seguro não torna automaticamente segura uma pipeline multiagente.
Quando engenheiros raciocinam sobre a segurança de uma pipeline multiagente, tendem a analisar agentes individuais: este agente tem âmbito correto, credenciais de curta duração e atestação. Raciocinam menos sobre a própria pipeline como uma superfície de confiança distinta. A suposição é que componentes bem governados compõem um todo bem governado. Essa suposição está errada.
A composição introduz modos de falha que nenhum agente individual exibe. Uma cadeia de agentes individualmente limitados pode produzir autoridade emergente que nenhum agente recebeu. Uma pipeline de passos auditáveis pode produzir resultados que nenhuma entrada de log individual descreve. Quando uma pipeline composta causa dano, a pergunta sobre quem é responsável distribui-se pelos componentes de forma que não satisfaz ninguém.
Autoridade emergente
O âmbito é atribuído a agentes, não a pipelines. Um agente orquestrador autorizado a ler registos de pacientes delega uma subtarefa a um segundo agente autorizado a escrever num sistema de mensagens. Nenhum dos agentes recebeu autoridade para enviar uma mensagem ao paciente com base em conteúdo médico, mas a pipeline composta consegue fazê-lo. A autoridade para a ação composta nunca foi concedida; emergiu da intersecção de duas concessões individualmente adequadas.
Isto não é uma configuração patológica. É o que acontece quando agentes com âmbitos complementares são ligados sem raciocínio explícito sobre a intersecção. Modelos de permissões centrados no agente respondem à pergunta “o que este agente pode fazer?”. Não respondem à pergunta “o que esta pipeline pode produzir?”. Só a segunda governa o resultado real.
Cadeias invisíveis de efeitos secundários
Cada agente processa entradas e produz saídas. As saídas tornam-se entradas do agente seguinte. Num sistema corretamente isolado, nenhum agente individual observa as consequências a jusante da sua saída. Mas essas consequências são onde os efeitos reais da pipeline vivem.
Em implantações de hardware, saídas localmente benignas podem tornar-se entradas perigosas. Um agente de leitura de sensores pode produzir valores dentro dos parâmetros normais que um segundo agente, treinado sobre uma linha de base operacional ligeiramente diferente, classifica como anomalia acionável. O comando resultante é produto de duas inferências individualmente corretas que não partilhavam o mesmo quadro de referência.
Em contextos de cuidado, uma saída de triagem passada a um agente de coordenação pode produzir uma recomendação de percurso que nenhum agente isoladamente teria produzido e que nenhum clínico reviu como um todo.
Difusão de responsabilidade
Quando uma pipeline composta produz dano, a cadeia causal é real mas distribuída. O orquestrador invocou o subagente; o subagente agiu segundo instruções razoáveis; a descrição da tarefa foi autorizada por um operador; o dano surgiu na intersecção de todos esses passos, nenhum deles individualmente errado.
Os quadros de responsabilidade existentes não foram desenhados para esta estrutura. Atribuem responsabilidade a agentes ou aos operadores que os implantam. Não atribuem responsabilidade à configuração da pipeline: a decisão de composição que ligou estes agentes nesta sequência e com este fluxo de informação.
A resposta de desenho
Fechar o problema da composição exige tratar pipelines como superfícies de autorização distintas. Uma pipeline composta deve transportar um contrato de composição explícito: que entradas aceita, que saídas produz, que autoridade combinada essas saídas representam e quem autorizou a composição. Esse contrato deve ser assinado no momento da implantação pela autoridade que montou a pipeline.
A atestação enraizada em hardware ajuda porque cada passo pode apresentar identidade atestada e proveniência assinada. Uma execução de ponta a ponta torna-se uma cadeia de registos assinados, não uma coleção de logs independentes.
A segurança não é composicional por defeito. Agentes individuais podem estar corretamente limitados, atestados e governados, e a composição ainda assim ser insegura. Tratar a composição como um ato de autorização é o passo arquitetónico que fecha a lacuna.
Componentes seguros não formam automaticamente uma pipeline segura. A composição cria autoridade emergente, efeitos secundários invisíveis e responsabilidade difusa. A resposta é tratar a composição como ato de autorização, com contratos explícitos, rastreio de ponta a ponta e revisão de âmbito ao nível da pipeline.