Agentes AI autónomos em contexto empresarial precisam de controlos robustos. Um guia prático para founders e CTOs sobre o que implementar antes de dar autonomia ao modelo.
Um chatbot que responde perguntas tem risco limitado: no pior caso, dá uma resposta errada. Um agente que executa acções — envia emails, actualiza registos, faz chamadas a APIs externas — tem um perfil de risco completamente diferente.
Em contexto B2B, as consequências de um agente a comportar-se mal incluem: exposição de dados de clientes, acções irreversíveis em sistemas críticos, e violações de compliance regulatório. Não é hype — é engenharia de sistemas.
Este artigo cobre o conjunto mínimo de guardrails que qualquer produto B2B com agentes AI deve implementar antes de ir para produção.
O primeiro guardrail é arquitectural: o agente só deve ter acesso ao que precisa para a sua função. Princípio do mínimo privilégio aplicado a AI.
Na prática: um agente de suporte ao cliente não deve ter permissões de escrita na base de dados de pagamentos. Um agente de análise de contratos não deve conseguir enviar comunicações externas. As permissões definem-se antes do código do agente.
Implementa este controlo a nível de infra (OAuth scopes, API keys com permissões restritas, row-level security) e não apenas como instrução de sistema prompt — instruções podem ser contornadas, controlos de acesso a nível de infra não.
Tudo o que o utilizador envia ao agente deve ser validado antes de entrar no contexto do modelo. Isto inclui:
Um agente pode decidir executar uma tool call — chamar uma API, escrever num ficheiro, enviar uma mensagem. Esta decisão deve ser validada antes de ser executada.
O padrão mais robusto: structured output com schema estrito para tool calls. O agente não pode invocar uma ferramenta que não está no schema definido, nem com argumentos fora dos valores permitidos.
Para acções com efeitos permanentes, implementa uma camada de 'dry run' que valida o que ia acontecer sem executar de facto, e regista a decisão para auditoria.
Define explicitamente quais acções requerem aprovação humana antes de executar. A classificação de risco deve ser do produto, não do modelo.
Um framework simples para classificar:
Em contexto B2B, 'o agente fez isto' não é resposta suficiente para um cliente ou regulador. Precisas de uma trilha completa: que prompt foi usado, que contexto estava disponível, que decisão o modelo tomou, e que acção foi executada.
O mínimo viável de logging para agentes em produção:
Agentes autónomos podem entrar em loops — um bug de lógica, um caso edge inesperado, ou um utilizador malicioso pode levar o agente a executar centenas de acções em segundos.
Implementa limites explícitos: máximo de tool calls por sessão, máximo de chamadas externas por minuto, e um circuit breaker que para o agente e alerta uma pessoa quando um threshold é atingido.
Este controlo é trivial de implementar e evita incidentes de custo e de dados que são difíceis de reverter.
Importante distinguir: instrução no system prompt ('nunca faças X') não é um guardrail — é uma sugestão que o modelo pode ignorar, especialmente sob adversarial input. Guardrails reais são controlos fora do modelo: validação de schema, permissões de acesso, aprovações humanas, rate limiting.
Um sistema seguro não depende de o modelo obedecer a instruções. Depende de a arquitectura tornar acções problemáticas impossíveis de executar, independentemente do que o modelo decida.
Guardrails de input filtram e validam o que o utilizador envia ao agente — bloqueando instruções maliciosas, dados sensíveis expostos, ou pedidos fora do escopo. Guardrails de output validam o que o agente produz antes de ser executado ou apresentado — bloqueando acções destrutivas, dados incorrectos, ou conteúdo inadequado.
Não necessariamente. A chave é definir quais acções precisam de aprovação e quais são seguras para automação total. Acções reversíveis e de baixo risco (ler dados, gerar texto) podem ser totalmente autónomas. Acções com efeitos permanentes (enviar email, executar pagamento, apagar registo) devem ter confirmação humana.
Sim, especialmente em agentes que processam conteúdo de terceiros (emails, PDFs, páginas web). Um atacante pode incluir instruções no conteúdo que o agente vai ler para tentar manipular o seu comportamento. A mitigação passa por separar conteúdo de instruções na arquitectura do prompt e validar os outputs independentemente.
Guardrails AI (Python) é a biblioteca mais madura para validação declarativa de outputs. Para TypeScript, o Vercel AI SDK com Zod schemas cobre a maioria dos casos. A Anthropic oferece também Constitution AI e prefill de outputs como técnicas nativas. Para enterprise, a Azure AI Content Safety e a AWS Bedrock Guardrails são opções managed.
Próximo passo
A construir ou avaliar agentes AI para o vosso produto? A Simmple faz auditorias de arquitectura e ajuda a implementar guardrails adequados ao contexto B2B.
Falar com a Simmple →