O problema TOCTOU: quando a autorização expira antes de o agente agir

Tempo de verificação para tempo de uso, ou TOCTOU, é uma das vulnerabilidades mais antigas da segurança informática. O padrão é simples: um sistema verifica uma condição; algum tempo passa; depois o sistema age assumindo que a condição continua verdadeira. Entre verificação e uso, o mundo mudou. O sistema agiu sobre uma fotografia desatualizada.

Na segurança clássica de sistemas operativos, TOCTOU aparece em limites de agendamento: um programa verifica permissões de ficheiro, ocorre uma mudança de contexto, outro processo move o ficheiro e o programa escreve no local errado com permissões que já não se aplicam. A janela mede-se em microssegundos e as consequências são normalmente recuperáveis.

Agentes de IA tornam o problema estruturalmente mais grave em duas dimensões. O intervalo entre verificação e uso não é de microssegundos, mas de minutos, horas ou a duração completa de um workflow com vários passos. Quando esses workflows encontram o mundo físico, as consequências não são recuperáveis. Esta combinação é um problema de arquitetura de responsabilização, não algo que hardware mais rápido resolva.

Anatomia de uma falha TOCTOU agentiva

Um agente recebe a tarefa de gerir o plano de medicação de residentes numa instituição de cuidados. Às 8:00, valida a autorização: o médico responsável aprovou o plano atual, a farmácia confirmou fornecimento e a equipa da manhã assinou a ronda. O agente começa o workflow.

Às 9:45, noventa minutos depois, o agente prepara-se para enviar um lembrete de medicação programado. Age com base na autorização validada às 8:00. O que não sabe é que às 9:20 o médico atualizou a ordem para suspender toda a medicação programada enquanto aguardava resultados de diagnóstico. A atualização entrou pelo canal clínico correto. A autorização do agente expirou há oitenta e cinco minutos.

Isto não é uma falha de permissões: o agente estava corretamente autorizado no momento da verificação. Não é erro do operador: o médico seguiu o processo definido. É uma falha TOCTOU. A autorização foi verificada num momento e executada noutro, sem mecanismo para detetar que o estado de autorização mudou entretanto.

A irreversibilidade física remove a rede de segurança

Falhas TOCTOU em software costumam ter consequências recuperáveis. Um ficheiro escrito no sítio errado pode ser movido; uma transação baseada em estado antigo pode ser revertida. Há custo e inconsistência, mas raramente dano duradouro.

Agentes de IA no mundo físico removem essa rede. Uma intervenção de cuidados executada não pode ser desexecutada. Uma porta aberta com base em acesso obsoleto não pode ser fechada retroativamente durante os segundos em que esteve aberta. Um lembrete de medicação enviado a um residente entrou na sua consciência e não pode ser retirado da memória humana.

A combinação de latência agentiva e irreversibilidade física significa que estas falhas não são inconvenientes operacionais. São eventos de responsabilização: algo aconteceu no mundo físico sem autorização válida no momento da ação, ainda que estivesse autorizado quando o agente começou.

O hardware estreita a janela mas não a fecha

Atestação de hardware, ambientes baseados em TPM e enclaves seguros respondem à pergunta sobre se o agente correto está a correr. Não respondem à pergunta sobre se a autorização que esse agente detém ainda é válida. Um agente num ambiente totalmente verificado pode agir com uma permissão revogada três minutos antes. O hardware diz quem age; nada diz sobre se o direito de agir ainda existe.

A resposta óbvia é revalidar autorização imediatamente antes de cada ação consequente. Em princípio, isto é correto, mas enfrenta obstáculos estruturais. Primeiro, agentes em ambientes físicos com conectividade intermitente podem não alcançar o serviço de autorização no momento necessário. Segundo, mesmo com conectividade fiável, a revalidação cria uma nova janela: a verificação termina, uma revogação é processada duzentos milissegundos depois e a ação executa-se quatrocentos milissegundos depois. Reduzir a janela reduz risco; não elimina a vulnerabilidade.

A dimensão pós-quântica aumenta a latência

Operações criptográficas pós-quânticas carregam mais custo computacional do que as clássicas. Verificar assinaturas pós-quânticas demora mais do que verificar assinaturas de curva elíptica. Para agentes que revalidam autorização antes de muitas ações por minuto, em várias instâncias concorrentes, esse custo alarga cada janela TOCTOU pelo tempo da ronda de revalidação.

Uma resposta é usar tokens de autorização de vida curta, verificáveis localmente contra chaves em cache, limitando o custo a renovações periódicas. Mas isso reintroduz exposição em cada fronteira de renovação: o momento entre o fim de um token e a emissão do próximo é precisamente quando uma revogação mais precisa de propagar, e precisamente quando o agente pode estar a agir assumindo que o token atual continua válido.

Autorização como propriedade contínua

A lição de desenho é que autorização não pode ser tratada como uma precondição verificada uma vez no início do workflow. Deve ser uma propriedade contínua do estado de execução do agente, capaz de mudar a qualquer momento e de ser recebida e aplicada pelo agente durante o trabalho em curso.

Operacionalmente, isto exige infraestrutura de revogação em fluxo: capacidade de empurrar sinais de revogação para agentes já em execução, não apenas marcar permissões como expiradas para verificações futuras. O agente deve tratar esses sinais como restrições imediatas de execução: pausar, escalar ou parar, em vez de concluir o workflow com uma autorização que era válida no início e já não é.

A autorização válida no tempo de verificação não é a que importa. A autorização válida no tempo de uso é a que o agente deve deter. Fechar a distância entre esses momentos não é otimização de desempenho; é uma precondição para confiar em agentes de IA que agem no mundo físico.