O conceito de Agentic AI está sendo vendido como o próximo salto, como sistemas que não apenas respondem, mas agem. Executam tarefas, acessam sistemas, tomam decisões encadeadas. A promessa é autonomia. O problema é que estamos empilhando essa autonomia sobre uma base que ainda é, por natureza, probabilística e opaca. E isso abre uma superfície de risco que muita gente está subestimando.

A primeira fragilidade é a delegação excessiva de controle. Quando um agente decide qual ferramenta usar, que dados consultar e que ação executar, você não está apenas automatizando, mas terceirizando decisões para um sistema que não tem uma noção confiável e consistente de contexto, intenção ou consequência.

Na prática, isso significa que erros deixam de ser pontuais e passam a ser sistêmicos. Um agente com acesso a e-mail e calendário, diante de um prompt ambíguo como “reorganize minha semana e priorize o cliente X”, pode, sem salvaguardas adequadas, cancelar reuniões críticas, expor informações sensíveis ou enviar mensagens indevidas. Não há “bom senso” embutido, apenas inferência estatística.

Outra fragilidade é mais sutil. A injeção de prompt como vetor de ataque. Em sistemas agentic, o modelo interage com múltiplas fontes externas como documentos, APIs, páginas web, criando um cenário onde dados de entrada podem conter instruções maliciosas. Não é um bug clássico, mas uma consequência estrutural de sistemas baseados em instruções via linguagem. O input passa a influenciar o comportamento como se fosse código.

E o uso difuso de permissões? O acesso continua sendo controlado por sistemas, mas o uso desse acesso passa a ser mediado por linguagem. Um agente pode consultar dados corretamente e ainda assim gerar respostas inadequadas por interpretação equivocada de contexto.

Outro ponto crítico é a memória. Em muitos sistemas, agentes utilizam memória de longo prazo para melhorar performance. Isso é útil, mas até o momento em que dados sensíveis são armazenados sem governança clara.

Há também o problema da cadeia de decisões. Em arquiteturas multi-agente, rastrear a origem de um erro não é trivial. Logs ajudam, mas não resolvem a opacidade do processo.

E, claro, existe o fator econômico e estrutural. Cada chamada adicional amplia a superfície de ataque e a complexidade operacional. A arquitetura que promete autonomia também expande o perímetro de risco.

No meio disso tudo, surge a ilusão de que adicionar guardrails resolve o problema. Não resolve estruturalmente. Ajuda, mas não elimina o risco e pode criar uma falsa sensação de segurança.

No fim, Agentic AI não é apenas uma evolução técnica, mas uma mudança de modelo de risco. Antes, protegíamos sistemas que executavam código previsível. Agora, precisamos proteger sistemas que interpretam linguagem e tomam decisões. E isso exige um alto nível de disciplina.

Portanto, a questão não é o que esses agentes conseguem fazer. É o que eles podem fazer quando interpretam algo errado e você nem percebe.