Sistemas multiagentes prometem autonomia, porém carregam um risco silencioso. Quando um agente delega uma tarefa para outro, o contexto de autorização se perde no caminho. Assim, um agente pode executar comandos que o humano nunca aprovou.
O OWASP Top 10 para Aplicações Agênticas já batizou essa ameaça. Ela atende pelo nome de ASI03: Abuso de Identidade e Privilégios. Basicamente, o problema surge porque a entidade que age deixa de ser o humano e passa a ser a máquina. Portanto, os controles baseados apenas em funções falham durante as transições automatizadas.
Neste artigo, você vai entender como construir limites rígidos com o AWS Cedar. Além disso, vai ver como um pipeline de três camadas interrompe qualquer comando não verificado antes que ele toque os dados de produção.
A brecha que nasce quando um agente delega tarefa para outro
Imagine uma cadeia de delegação com múltiplos saltos. Primeiro, o usuário pede algo ao agente orquestrador. Em seguida, esse agente aciona um agente especializado. Depois, esse segundo agente chama uma ferramenta sensível.
A cada salto, o pedido se afasta do humano que o iniciou. Sem limites absolutos, o escopo original se dissolve. Dessa forma, uma solicitação legítima cascateia para domínios que ninguém autorizou.
O controle de acesso baseado em funções não sustenta esse contexto. Afinal, ele foi desenhado para humanos, não para handoffs entre máquinas. Por isso, a resposta precisa de uma linguagem de autorização feita para agentes.
Tokens criptográficos: onde a identidade do humano precisa sobreviver
Toda implementação em produção começa separando duas coisas. De um lado fica o estabelecimento da identidade. Do outro fica a avaliação das políticas.
Primeiro, um provedor confiável verifica o usuário de origem. O Amazon Cognito com autenticação multifator TOTP cumpre bem esse papel. Então, ele emite um JSON Web Token assinado com declarações específicas, como função, métodos de autenticação e identificadores de sessão.
Depois, o usuário passa esse token e a tarefa para o primeiro agente. Esse cliente do Model Context Protocol embute o contexto de origem em um envelope de metadados. Com isso, o sistema nunca confia em declarações sem prova criptográfica.
O tráfego então segue um pipeline sequencial. Inicialmente, o AWS WAF aplica filtros contra vulnerabilidades comuns, limite de taxa e tamanho de corpo. Em seguida, o Amazon API Gateway verifica a assinatura do token contra chaves públicas e rejeita credenciais expiradas.
Requisições válidas seguem para uma função Lambda em subnets privadas. Essa função aplica o Amazon Bedrock Guardrails para filtrar conteúdo. Ao mesmo tempo, ela mapeia as declarações do token para atributos de contexto do Cedar.
Preservar a identidade entre saltos depende de assinatura. Portanto, o adaptador calcula uma assinatura HMAC com SHA256 sobre o contexto canônico do usuário. A chave vem do AWS Secrets Manager. Assim, cada avaliador seguinte confirma que o contexto permanece intacto.
O OAuth 2.0 Token Exchange ainda restringe o escopo. Quando o orquestrador delega uma tarefa, ele troca o token original por uma versão reduzida. Dessa maneira, o agente seguinte recebe apenas o escopo exato da tarefa delegada.
Três camadas Cedar que barram o comando antes da produção
O coração da defesa mora em uma função Lambda avaliadora. Ela busca as políticas no Amazon Verified Permissions. Então avalia três camadas independentes em sequência. Na primeira negação, a execução para.
A primeira camada controla a chamada de agente para ferramenta. A política exige que o agente tenha um trust score verificado, pertença ao namespace correto e opere no estágio de produção. O avaliador lê esses atributos direto do repositório de entidades. Logo, ele nunca confia em métricas que o próprio agente reporta.
Na prática, um agente com trust score três acessa ferramentas de pagamento de risco médio. Já manipulações de dados de risco alto exigem um trust score quatro.
A segunda camada governa a profundidade da delegação entre agentes. Um orquestrador que aciona um agente de dados precisa respeitar limites predefinidos. Além disso, a arquitetura impõe um teto rígido de cinco saltos para todo o sistema. As tarefas pedidas também precisam bater com as capacidades registradas do agente alvo. Quebrar qualquer restrição encerra a execução.
A terceira camada ancora toda a cadeia de volta ao contexto do usuário. O agente continua como o principal que age. Contudo, a política Cedar inspeciona os atributos do humano que iniciou o pedido.
Por exemplo, apagar registros de banco exige função de administrador e autenticação multifator verificada. Um usuário de suporte que inicia a mesma cadeia recebe negação nessa terceira camada. Ademais, deleções de risco alto respeitam um teto específico de dois saltos.
O teste que separa o suporte do administrador
Vale simular os cenários para enxergar o valor. Considere um usuário de suporte sem multifator pedindo a exclusão de um registro. O sistema permite as interações entre agente e ferramenta e entre agentes. No entanto, ele bloqueia o passo final por falta de privilégio humano.
Agora troque o ator por um administrador com multifator. A mesma cadeia executa com sucesso. Todavia, se a cadeia automatizada passar de cinco saltos, até o pedido do administrador falha na segunda camada.
Auditoria que não perde um único evento de decisão
Governança forte depende de observabilidade contínua. Para cada decisão de acesso, a função avaliadora emite um evento OCSF 99001. Esse registro segue para o Amazon CloudWatch Logs.
Falhas no envio do log seguem direto para uma fila de dead letter no Amazon SQS. Assim, nenhum dado de auditoria se perde durante picos de tráfego. O payload traz o identificador da requisição, a identidade exata, a cadeia completa de saltos, as decisões por camada e as métricas de latência.
Por fim, o padrão escala entre múltiplas contas. Você posiciona o repositório de políticas Cedar em uma conta central de segurança. Depois, usa as service control policies do AWS Organizations para impor governança centralizada.
Onde isso deixa o seu time
Arquiteturas multiagentes vão crescer, e o risco do ASI03 cresce junto. Controles tradicionais simplesmente não seguram o contexto em delegações complexas entre máquinas. Portanto, limites criptográficos e um pipeline Cedar de três camadas entregam o freio que faltava. Com isso, seu time implanta agentes autônomos em produção sem abrir mão do controle.
Acompanhe nosso perfil no Instagram!



