Há uma premissa pouco questionada por trás do entusiasmo atual com agentes de IA: a ideia de que, se a IA consegue escrever código, basta conectá-la ao ambiente de desenvolvimento e colher os ganhos de produtividade.

Mas, vejo que estamos subestimando um detalhe importante. Quanto mais autonomia damos a esses sistemas, maior se torna a superfície de influência sobre eles.

Um desenvolvedor sabe distinguir, pelo menos em teoria, entre instruções, comentários, logs, documentação, mensagens de commit, tickets e código executável. Um agente de IA não necessariamente enxerga essas fronteiras da mesma forma. Tudo pode se tornar contexto. Tudo pode influenciar uma decisão.

Isso muda a natureza do problema. Durante décadas, a segurança de software concentrou-se em proteger sistemas contra entradas maliciosas capazes de comprometer aplicações. Agora começamos a entrar em um cenário diferente: a própria interpretação do contexto passa a ser alvo de manipulação.

Já existe até um nome para parte desse fenômeno: prompt injection. Instruções ocultas em documentos, tickets, páginas web, bases RAG ou comentários de código podem influenciar o comportamento de agentes de maneiras difíceis de prever.

Não é difícil imaginar o que acontece quando agentes passam a consumir automaticamente documentação, repositórios, logs, wikis corporativas e dezenas de outras fontes de informação.

O desafio deixa de ser apenas “o código está correto?” e passa a ser “podemos confiar em tudo que influenciou a geração desse código?”. E essa é uma pergunta muito mais difícil.

O que me chama atenção é que boa parte da narrativa atual sobre produtividade assume ambientes quase perfeitos, com dados confiáveis, documentação atualizada, processos organizados e usuários bem-intencionados.

Mas empresas reais raramente operam nessas condições. Repositórios acumulam anos de dívida técnica. Documentação fica desatualizada. Processos mudam. Pessoas cometem erros. E, em alguns casos, existem agentes maliciosos tentando explorar exatamente essas fragilidades.

O risco nem sempre vem de um ataque sofisticado. Muitas vezes ele vem simplesmente de informações incorretas que passam a ser tratadas como verdade pelo agente.

Quanto mais dependemos de IA para tomar decisões dentro desse ambiente, mais precisamos investir em governança, observabilidade, validação e mecanismos capazes de diferenciar fontes mais confiáveis de fontes menos confiáveis.

Isso não significa que a programação assistida por IA deixará de funcionar. Significa apenas que a discussão está amadurecendo.

O futuro da engenharia de software não é simplesmente adicionar mais agentes. É construir agentes que saibam em quem confiar. Porque gerar código está se tornando cada vez mais fácil. Difícil continua sendo decidir quais informações merecem influenciar esse código.