88% das empresas sofreram incidentes de segurança com AI agents — e quase ninguém estava preparado

88% das empresas sofreram incidentes de segurança com AI agents — e quase ninguém estava preparado

Um survey enterprise divulgado em abril de 2026 com líderes de tecnologia de grandes organizações trouxe um dado que deveria estar na pauta de todo conselho de administração: 88% das empresas reportaram incidentes confirmados ou suspeitos envolvendo AI agents. Não se trata de falhas hipotéticas ou cenários de risco teórico. São incidentes reais — acesso não autorizado a dados, ações não intencionais executadas por agentes, vazamentos de prompt e execução de comandos indevidos. O número é alarmante não pelo volume, mas pelo que revela: a maioria das organizações escalou agentes sem o mínimo de infraestrutura de segurança que exigiria de qualquer funcionário humano.

O cenário: adoção acelerada, controle ausente

Os números de adoção são inequívocos. Sessenta e nove por cento das equipes de analytics já incorporaram processos baseados em IA no dia a dia. Quarenta e quatro por cento operam plataformas construídas sobre agentes autônomos. O Gartner projeta que 40% das aplicações enterprise terão AI agents task-specific até o fim de 2026 — um salto brutal considerando que esse número era inferior a 5% em 2025.

A velocidade de adoção não é o problema. O problema é que a infraestrutura de segurança não acompanhou. Empresas que levariam meses para aprovar o acesso de um novo colaborador a sistemas críticos estão deployando agentes com credenciais amplas, sem inventário de permissões, sem processo de revogação e sem trilha de auditoria. O agente opera em nome da empresa — mas ninguém definiu formalmente em nome de quem, com que autoridade e até que limite.

A analogia mais precisa para o board é esta: imagine contratar centenas de funcionários com acesso irrestrito a todos os sistemas da organização, sem contrato, sem política de acesso, sem registro de o que fazem durante o expediente. Nenhum CISO aprovaria isso para humanos. Mas é exatamente o que está acontecendo com agentes de IA em organizações que se consideram maduras em segurança da informação.

A taxonomia dos incidentes: onde o risco se materializa

Os incidentes reportados no survey seguem um padrão que qualquer profissional de segurança reconhece — são consequência direta de falhas básicas de controle de identidade e acesso. Quatro categorias concentram a maioria dos casos.

Acesso não autorizado a dados. Agentes configurados com permissões excessivas acessaram bases de dados, repositórios e sistemas que estavam fora do escopo de sua função. Em muitos casos, o agente não tinha intenção maliciosa — simplesmente seguiu sua lógica de execução até dados que não deveria alcançar. A ausência de boundaries explícitos transformou um comportamento previsível do agente em um incidente de segurança.

Ações não intencionais. Agentes executaram operações que não estavam no escopo pretendido — aprovações, modificações de registros, disparos de processos. Quando um agente tem capacidade de ação e permissões amplas, a margem entre o que ele deveria fazer e o que ele pode fazer é o território do incidente. E diferentemente de um humano, o agente não para para perguntar se tem certeza antes de executar.

Vazamentos de prompt. Instruções internas, regras de negócio e parâmetros de decisão embutidos nos prompts dos agentes foram expostos — por manipulação direta, por falhas de isolamento ou por engenharia social aplicada ao agente. O prompt de um agente frequentemente contém lógica de negócio proprietária. Tratá-lo como informação pública é um erro de classificação que gera exposição competitiva e regulatória.

Execução de comandos indevidos. Agentes com acesso a APIs e sistemas de execução realizaram operações que violaram políticas internas ou requisitos regulatórios. Desde alterações em configurações de infraestrutura até transações financeiras não autorizadas, a capacidade de execução autônoma sem guardrails adequados produziu resultados que, em contexto humano, seriam classificados como violações de compliance.

O que falta: identidade, escopo e auditoria

A recomendação aqui é direta: todo AI agent que opera em nome da organização precisa ser tratado com o mesmo rigor aplicado a qualquer identidade corporativa. Três pilares são inegociáveis.

Identidade. Cada agente precisa de uma identidade única, registrada e gerenciada. Não é aceitável que agentes operem com credenciais compartilhadas, tokens genéricos ou acessos herdados de desenvolvedores. A identidade do agente é o que permite rastrear, auditar e responsabilizar. Sem ela, o incidente não tem dono.

Escopo de permissão. O princípio do menor privilégio, que a indústria aplica a humanos há décadas, precisa ser estendido a agentes com o mesmo rigor. Um agente de atendimento ao cliente não precisa de acesso ao sistema financeiro. Um agente de análise de dados não precisa de permissão de escrita em produção. O escopo precisa ser definido antes do deploy, não depois do incidente.

Trilha de auditoria. Toda ação executada por um agente precisa ser registrada, timestamped e auditável. Não apenas o resultado final, mas a cadeia de decisão: que objetivo recebeu, que dados consultou, que ações executou, que sistemas acessou. Sem essa trilha, a organização não consegue investigar incidentes, demonstrar compliance ao regulador ou aprender com falhas.

O mercado começa a responder a essa lacuna. A Okta anunciou o “Okta for AI Agents”, disponível a partir de 30 de abril de 2026, com um blueprint desenhado para enterprise agentico seguro — gestão de identidade, autenticação, autorização e auditoria aplicadas especificamente a agentes de IA. É um sinal de que o problema de identidade de agentes está sendo reconhecido como categoria de produto, não apenas como boa prática. Outros fornecedores seguirão.

Conexão Brasil: LGPD e o risco de notificação à ANPD

Para organizações que operam no Brasil, o risco regulatório tem nome e sobrenome: LGPD. Um agente de IA que acessa dados pessoais sem controle adequado de finalidade, necessidade e consentimento não é um problema técnico — é um incidente de proteção de dados que pode exigir notificação à Autoridade Nacional de Proteção de Dados.

A LGPD não distingue entre humano e máquina no tratamento de dados pessoais. Se um agente acessa uma base de clientes para otimizar um processo e, no caminho, processa dados sensíveis sem base legal adequada, a organização responde. E a ANPD tem demonstrado disposição crescente para aplicar sanções.

A recomendação para empresas brasileiras é tratar o inventário de agentes como extensão do mapeamento de dados pessoais exigido pela LGPD. Cada agente que toca dado pessoal precisa estar documentado no ROPA (Registro das Operações de Tratamento), com finalidade, base legal, medidas de segurança e responsável claramente definidos.

Recomendações práticas para o C-level

O board que deseja evitar estar entre os 88% no próximo ciclo de pesquisa precisa de ação em três frentes imediatas.

  • Inventário de agentes. Mapear todos os agentes em operação, seus acessos, permissões e owners de negócio. Se a organização não sabe quantos agentes operam e onde, qualquer outra medida é cosmética.
  • Framework de identidade e acesso para agentes. Aplicar o mesmo rigor de IAM (Identity and Access Management) que existe para colaboradores humanos. Identidade única, menor privilégio, revisão periódica de acessos, revogação automatizada.
  • Auditoria contínua e resposta a incidentes. Implementar observabilidade sobre a cadeia de decisão dos agentes e incluir incidentes com agentes no playbook de resposta a incidentes de segurança. O SOC precisa saber que agentes existem e como monitorá-los.

O que está em jogo

O dado de 88% não é uma estatística sobre tecnologia. É uma estatística sobre governança — ou, mais precisamente, sobre a ausência dela. Organizações trataram AI agents como ferramentas de produtividade quando, na realidade, são atores autônomos que operam sistemas, acessam dados e executam decisões em nome da empresa.

A janela para corrigir essa postura está aberta, mas se estreita a cada trimestre de adoção acelerada sem controle proporcional. O custo de implementar identidade, escopo e auditoria para agentes é uma fração do custo de um incidente regulatório, uma violação de dados ou uma ação não autorizada que atinge o P&L.

A pergunta que todo líder precisa fazer ao seu CISO esta semana: quantos agentes operam na nossa organização, com que permissões, e quem responde quando um deles age fora do escopo? Se a resposta não vier rápida e precisa, a organização já está exposta.