O problema da cadeia de fornecimento: cada ferramenta chamada por um agente de IA é uma decisão de confiança

Quando se implanta um agente de IA, revê-se o próprio agente: o prompt de sistema, o modelo, talvez os pesos atestados em hardware. O que raramente se revê com a mesma profundidade é o conjunto completo de ferramentas que o agente chama em seu nome: endpoints de API, plugins e subagentes. Esses elementos formam a cadeia de fornecimento. A responsabilização em sistemas agentivos é tão forte quanto o elo mais fraco dessa cadeia.

Ataques clássicos, agora à velocidade do raciocínio

Ataques de cadeia de fornecimento não são novos. Software convive há anos com dependências maliciosas, ferramentas de build comprometidas e bibliotecas com backdoor. Em sistemas agentivos, a superfície sobe na pilha, a velocidade aumenta e a cadeia de responsabilização fica mais longa.

Um ataque tradicional opera no momento de execução do código. Um ataque à cadeia de um agente pode operar durante o raciocínio: uma ferramenta que devolve dados subtilmente manipulados, uma API cujas respostas deslocam decisões posteriores, ou um subagente que introduz enviesamento em tarefas específicas. O principal vê apenas a saída, não a manipulação que a produziu.

A lacuna de atestação na fronteira da rede

A atestação enraizada em hardware dá forte garantia sobre o agente que executa no seu ambiente. Certifica pesos, runtime e definições de ferramentas carregadas. Mas não certifica o comportamento em tempo de execução dos endpoints chamados por essas ferramentas.

Quando um agente chama uma API de terceiro, a chamada deixa o ambiente atestado. A resposta vem de um sistema que não foi medido. Os dados podem ser corretos, manipulados, obsoletos ou adversariais, e o envelope de atestação não se estende além da fronteira de rede.

Isto não é uma falha da tecnologia de atestação. É uma propriedade estrutural dos sistemas agentivos ligados em rede. A fronteira do que se pode atestar não coincide com a fronteira do que o agente toca.

Ambientes de cuidado não suportam dívida de confiança

Em ambientes de cuidado no mundo físico, o problema tem consequências diretas. Um agente de coordenação pode chamar sistemas de escala, plataformas de medicação e serviços de comunicação. A quebra de qualquer elo pode produzir dano antes de qualquer revisor perceber.

Esses ambientes também exigem proveniência e integridade dos dados que informam decisões de cuidado. A exigência de responsabilização alcança os dados, não apenas o agente que os processou.

Cadeias pós-quânticas

A transição pós-quântica acrescenta uma preocupação específica: a integridade criptográfica dos endpoints de ferramentas. Durante o período de transição, comunicações protegidas por criptografia clássica podem ser recolhidas hoje e decifradas retroativamente quando houver capacidade quântica suficiente.

Para agentes que usam endpoints externos na tomada de decisão, isso não é só confidencialidade. Respostas recolhidas e depois reproduzidas seletivamente podem fazer o agente raciocinar sobre dados substituídos sem deteção.

O que a responsabilização exige

Governar a cadeia de fornecimento em sistemas agentivos exige estender a fronteira de responsabilização para além do agente. Cada endpoint externo deve ser registado na implantação; suas respostas devem ser registadas ao lado das decisões que informaram; anomalias devem ser detetáveis depois do facto.

Ferramentas e APIs de terceiros precisam de escrutínio semelhante ao dos agentes que as chamam. Atestação na fronteira do agente é necessária, mas não suficiente. É preciso confiar no que se mede, governar o que não se mede e saber exatamente onde a fronteira está.