A propriedade de agentes de IA é o primitivo de confiança
Em 15 de maio de 2026, pesquisadores da Ben-Gurion University of the Negev, Northeastern University e Amrita Vishwa Vidyapeetham definiram atribuição de agentes como o problema de vincular uma interação observada de um agente de IA à conta responsável no fornecedor que hospeda o sistema.1
A frase parece específica. O problema não é. Um agente pode enviar spam para usuários, fazer scraping de sistemas, se passar por um representante de suporte, executar uma tarefa cibernética, chamar ferramentas, gastar dinheiro ou alterar infraestrutura enquanto a parte afetada vê o comportamento, mas não consegue identificar o operador que implantou o agente.1
A propriedade de agentes de IA é o primitivo de confiança que falta. Toda ação autônoma deveria apontar para uma conta responsável, uma sessão, um escopo de autoridade, um proprietário humano ou organizacional e um caminho de interrupção. Logs mostram o que aconteceu. Propriedade mostra quem pode responder por isso.
Resumo rápido
A segurança de agentes não pode parar em permissões de ferramentas, ganchos de ambiente de execução ou evidências da resposta final. Esses controles importam, mas não respondem à pergunta de responsabilização: quem é responsável pelo agente em execução?
O novo artigo sobre atribuição de agentes propõe um protocolo mediado pelo fornecedor que usa canários para conectar uma interação nociva observada a uma sessão e a uma conta do fornecedor.1 A pesquisa mira resposta a abusos e responsabilização legal. Equipes de produto precisam de uma versão menor e cotidiana dentro dos próprios sistemas: toda execução de agente deve carregar um registro de propriedade que conecte conta, sessão, escopo de permissões, atividade de ferramentas, caminho de revisão e mecanismo de interrupção.
Principais pontos
Para equipes de plataformas de agentes: - Trate propriedade como um campo do ambiente de execução, não como um detalhe posterior de cobrança. - Vincule proprietário, conta, sessão, escopo de ferramentas e controles de interrupção a toda execução de agente.
Para equipes de segurança: - Logs sem propriedade atrasam a resposta a incidentes. Propriedade sem logs enfraquece as evidências. - Exija os dois: um rastreamento da ação e um caminho até a conta responsável.
Para equipes de produto: - Mostre aos usuários quem ou o que age em nome deles. - Separe ação delegada de responsabilidade delegada.
Para equipes de política e confiança: - Projete atribuição para resposta autorizada, não para desanonimização casual. - Registre o suficiente para interromper danos, revisar abusos e respeitar o devido processo.
Propriedade não é um nome de perfil
A maioria dos produtos já mostra alguma forma de identidade. Uma janela de chat pode mostrar um workspace, o avatar de um usuário, o nome de um bot, o rótulo de uma chave de API ou uma organização. Essa camada visível ajuda pessoas a se orientar, mas não prova propriedade.
A propriedade de agentes precisa de um contrato mais rigoroso:
| Campo | Pergunta que responde |
|---|---|
| Conta | Qual cliente, workspace ou conta de fornecedor financiou a execução? |
| Sessão | Qual execução concreta produziu a ação? |
| Operador | Qual humano, serviço ou política delegou o trabalho? |
| Escopo de autoridade | Quais ferramentas, chaves, orçamentos e recursos o agente podia usar? |
| Rastreamento da ação | Quais prompts, aprovações, chamadas de ferramentas, saídas e decisões de rede ocorreram? |
| Caminho de interrupção | Quem pode pausar, revogar, limitar ou encerrar a execução? |
| Caminho de revisão | Quem pode investigar depois de uma reclamação ou alerta? |
Essa lista parece operacional porque propriedade é operacional. Um rótulo não ajuda quando um agente envia 2.000 mensagens ruins ou sobrecarrega um endpoint de terceiros. A equipe de resposta precisa da sessão, da conta, do escopo de autoridade e do caminho de interrupção.
Chaves de agentes precisam de orçamentos de risco cobre o lado da autoridade: chaves devem conceder capacidades restritas, aplicadas pelo servidor. Propriedade cobre o lado da responsabilização: todo uso dessa autoridade deve apontar de volta para um registro responsável.
O que o artigo sobre atribuição acrescenta
O artigo formaliza uma lacuna que operadores de agentes vão reconhecer rapidamente. A vítima vê o comportamento do agente. O fornecedor vê chamadas de modelo e logs de conta. Nenhuma das partes, sozinha, enxerga as duas perspectivas.1
O protocolo proposto aproxima essas perspectivas com canários. Uma parte autorizada injeta um marcador em conteúdo que o agente suspeito provavelmente vai consumir. Se o agente encaminhar esse conteúdo para uma chamada de modelo hospedada pelo fornecedor, o fornecedor pode pesquisar uma janela estreita de tempo nos logs de sessão, encontrar o canário, recuperar a sessão e conectar a sessão a uma conta.1
O artigo separa casos fáceis e difíceis:
| Cenário | Forma prática do canário | Por que funciona |
|---|---|---|
| Uso indevido não adversarial | Marcador lexical, identificador ou string única | O agente passa conteúdo para o modelo sem filtrar. |
| Abuso adversarial | Canários lexicais ou semânticos com utilidade | Remover o canário também remove conteúdo de que o agente precisa. |
| Resposta do fornecedor | Busca em logs dentro de uma janela curta | O fornecedor pesquisa sessões próximas ao momento da injeção, não todos os logs históricos. |
A ideia de utilidade importa. Um agente de golpe pode precisar de pistas emocionais de um alvo. Um agente web pode precisar do conteúdo visível da página. Um agente cibernético pode precisar de nomes de arquivos e artefatos de resposta. Se o operador filtra agressivamente demais, o agente perde desempenho na tarefa junto com as evidências de atribuição.1
O experimento com agente cibernético torna essa troca concreta. Um adversário ciente do canário reduziu a taxa de resolução do agente de 51% para 9% quando a supressão removeu artefatos relevantes para a tarefa. Nomes de arquivos e identificadores visíveis no corpo ainda preservaram evidências de atribuição em 77% e 70%, respectivamente, enquanto canários semânticos chegaram a pelo menos 98% de taxa de verdadeiros positivos na trilha semântica adversarial.1
Esses números não deveriam virar marketing de produto. O artigo testa agentes, wrappers e famílias de canários específicos. A lição deve permanecer: atribuição funciona melhor quando o sinal viaja no conteúdo de que o agente realmente precisa.
Logs são necessários, mas não suficientes
O post da OpenAI sobre segurança do Codex descreve uma forma madura de controle: execução delimitada, aprovações, política de rede gerenciada, armazenamento de credenciais, regras, configuração gerenciada e telemetria nativa de agentes.2 A parte de telemetria inclui registros OpenTelemetry para prompts de usuários, decisões de aprovação, resultados de execução de ferramentas, uso de servidor MCP e eventos de permissão ou bloqueio do proxy de rede.2
A OpenAI também descreve um fluxo de triagem de segurança que usa logs do Codex para inspecionar a solicitação original, a atividade de ferramentas, as decisões de aprovação, os resultados das ferramentas e as decisões de política de rede em torno de alertas de endpoints suspeitos.2
Essa evidência é necessária. Ela ainda precisa de propriedade.
Um rastreamento de ferramenta pode dizer:
| Evidência do rastreamento | Pergunta de propriedade que falta |
|---|---|
| O agente chamou uma ferramenta de shell | Qual conta autorizou a execução? |
| O agente encontrou um bloqueio de rede | Qual proprietário da política pode revisar o bloqueio? |
| O agente solicitou aprovação | Quem concedeu, negou ou delegou a aprovação? |
| O agente usou um servidor MCP | Qual workspace configurou esse servidor? |
| O agente produziu uma saída | Qual operador assume responsabilidade pelo lançamento? |
Os rastreamentos de execução de agentes são o contrato do ambiente de execução defende que rastreamentos provam o caminho. Propriedade prova a parte responsável por trás desse caminho. Sistemas fortes precisam dos dois registros unidos no nível da sessão.
O Codex mostra que o problema deixou de ser teórico
O anúncio da OpenAI sobre o Codex em 14 de maio diz que mais de 4 milhões de pessoas usam o Codex semanalmente e descreve um fluxo móvel em que usuários podem revisar saídas, aprovar comandos, trocar modelos, iniciar trabalho e acompanhar capturas de tela, saída de terminal, diffs, resultados de testes e aprovações pelo celular.3 O mesmo anúncio diz que Remote SSH chegou à disponibilidade geral, permitindo que o Codex execute threads dentro de máquinas remotas e ambientes gerenciados.3
Esse formato de produto espalha o trabalho de agentes por dispositivos, máquinas, threads, aprovações, credenciais e ferramentas locais. Uma única execução de agente pode envolver um laptop, uma aprovação pelo celular, um host remoto, um projeto, um plugin, um navegador, um shell e uma operação de controle de versão.
O registro de propriedade precisa viajar com a execução. Caso contrário, o sistema consegue responder “qual comando rodou?”, mas perde a resposta para “quem era responsável pela execução quando o comando rodou?”
Ganchos do Codex tornam a estrutura local real apresentou ganchos, aprovações, custódia de Git, evidências e gosto como uma camada operacional ao redor do trabalho de agentes. Propriedade pertence a essa mesma camada. Um gancho pode bloquear uma ação arriscada. Um rastreamento pode explicar uma ação concluída. Propriedade conecta a execução à conta e ao operador que podem responder pelos dois resultados.
O contrato de propriedade no ambiente de execução
Equipes não precisam do protocolo completo de atribuição por canários para toda tarefa interna. Elas precisam de um contrato de propriedade interno que torne a atribuição rotineira antes de algo dar errado.
Comece com um registro por execução de agente:
| Campo do registro de propriedade | Comportamento mínimo |
|---|---|
run_id |
ID estável para a sessão ou tarefa do agente. |
account_id |
Cliente, workspace, tenant ou organização que possui a execução. |
operator_id |
Humano, serviço, job agendado ou política que iniciou a execução. |
delegation_source |
Clique na UI, chamada de API, regra agendada, aprovação móvel ou token de automação. |
authority_bundle |
Ferramentas, chaves, escopos, orçamentos, raízes graváveis, política de rede e domínios de dados. |
approval_events |
Quem aprovou o quê, quando e sob qual política. |
trace_pointer |
Link para prompts, chamadas de ferramentas, saídas, erros e decisões de rede. |
stop_controls |
Controles para pausar, revogar, limitar, isolar ou encerrar. |
review_owner |
Equipe ou fila que recebe revisões de abuso, segurança, proteção ou qualidade. |
retention_policy |
Por quanto tempo o registro fica disponível e quem pode acessá-lo. |
O registro deve ficar abaixo da transcrição do chat e acima dos logs brutos de infraestrutura. Suporte de produto pode usá-lo. Segurança pode usá-lo. Compliance pode usá-lo. Engenharia pode usá-lo durante rollback.
Os nomes dos campos importam menos que o invariante: nenhuma ação de agente sem um registro de execução responsável.
Propriedade precisa de limites de privacidade
Atribuição pode se tornar abusiva se equipes a tratarem como permissão para desmascarar todo mundo por padrão. O artigo sobre propriedade nomeia esse risco diretamente e enquadra o protocolo em torno de autoridades autorizadas e auditáveis, amparo em política e processo legal.1
Equipes de produto deveriam copiar essa contenção.
| Limite | Regra de produto |
|---|---|
| Acesso | Apenas revisores autorizados podem inspecionar registros de propriedade. |
| Finalidade | Somente abuso, segurança de IA, segurança, suporte, compliance ou resposta a incidentes. |
| Divulgação | Divulgação externa exige política, processo ou base legal. |
| Minimização | Armazene o suficiente para interromper danos e revisar a execução, não todo detalhe privado para sempre. |
| Auditoria | Registre toda consulta de propriedade e toda divulgação. |
Propriedade não deve virar vigilância casual. Atribuição forte dá a vítimas, plataformas, fornecedores e operadores um caminho de resposta. Governança fraca transforma o mesmo primitivo em outro problema de confiança.
O princípio de design é simples: torne todo agente responsável perante o sistema e torne toda consulta de propriedade responsável perante a política.
Onde a propriedade se encaixa nos controles de agentes existentes
Propriedade não substitui o restante da stack.
O anúncio da OpenAI sobre o Agents SDK aponta para a mesma estrutura em camadas. O SDK dá aos agentes workspaces controlados, inspeção de arquivos e ferramentas, MCP, skills, AGENTS.md, shell, aplicação de patches, execução isolada e workspaces baseados em manifesto.4 O AgentTrust apresenta um argumento de segurança complementar: inspecionar chamadas de ferramentas antes da execução e retornar vereditos estruturados como permitir, avisar, bloquear ou revisar.5
Esses sistemas decidem o que o agente pode fazer em seguida. Propriedade decide quem responde pela execução.
| Controle | Função | O que a propriedade acrescenta |
|---|---|---|
| Chaves com escopo | Limitar o que o agente pode fazer | Qual conta e operador concederam esse escopo |
| Ganchos de ambiente de execução | Interceptar ações arriscadas | Qual execução acionou o gancho |
| Barreiras de aprovação | Adicionar julgamento humano | Quem aprovou qual expansão de autoridade |
| Rastreamentos de execução | Mostrar o que aconteceu | Quem possui o rastreamento e quem pode agir sobre ele |
| Pacotes de revisão | Empacotar evidências | Qual proprietário aceita o resultado |
| Ferramentas de modelo | Produzir estimativas tipadas | Qual sistema delegou autoridade ao modelo |
Agentes de IA deveriam chamar modelos argumenta que agentes deveriam chamar modelos treinados em vez de inventar estimativas. Propriedade estende a mesma disciplina à autoridade. O sistema deve saber se uma ação veio de um clique humano, de uma sessão de agente, de uma ferramenta de modelo, de uma automação agendada ou de uma política delegada.
Essa distinção protege usuários. Um usuário não deveria ter que adivinhar se uma ação veio dele, de um assistente agindo sob sua conta, de uma política da organização ou de uma automação comprometida.
Agentes precisam de superfícies de supervisão cobre o lado visível desse problema para o usuário. Propriedade fornece o registro por baixo da superfície. Pacotes de revisão são a nova resposta final cobre o artefato de conclusão. Propriedade fornece a parte que pode aceitar, rejeitar ou revogar esse artefato.
A regra de decisão
Antes de implantar um agente que possa afetar outras pessoas ou sistemas externos, faça uma pergunta:
Se alguém reclamar desse agente amanhã, conseguimos identificar a execução, a conta, o escopo de autoridade, o evento de aprovação e a pessoa ou equipe que pode interrompê-lo?
Se a resposta for não, o agente não está pronto para produção.
O produto talvez já tenha logs. Talvez já tenha permissões. Talvez já tenha prompts que dizem ao modelo para se comportar bem. Essas peças não equivalem a propriedade até se juntarem em um único registro responsável.
A propriedade de agentes deveria se tornar tão normal quanto IDs de requisição, logs de auditoria e chaves de API. O trabalho pode parecer burocrático, mas a alternativa é pior: sistemas autônomos que conseguem agir enquanto ninguém consegue responder pela ação.
FAQ
O que é propriedade de agentes de IA?
Propriedade de agentes de IA é o registro do ambiente de execução que conecta uma ação de agente à conta, sessão, operador, escopo de autoridade, rastreamento e caminho de interrupção responsáveis pela execução.
Como a propriedade de agentes difere da atribuição de agentes?
Propriedade de agentes é um contrato de produto interno. O sistema registra propriedade antes e durante uma execução. Atribuição de agentes resolve o problema mais difícil, depois do fato: vincular comportamento nocivo observado a uma conta de fornecedor responsável quando a parte afetada ainda não sabe quem é o proprietário.1
Por que apenas logs falham?
Logs podem mostrar comandos, chamadas de ferramentas, aprovações e decisões de rede. Eles falham quando não conseguem responder quem delegou a execução, quem era dono do escopo de autoridade e quem pode interromper ou revisar o agente.
Fornecedores deveriam revelar proprietários de agentes a qualquer pessoa que pedir?
Não. Consultas de propriedade devem exigir acesso autorizado, amparo em política e auditoria. Divulgação externa deve exigir processo apropriado. Atribuição só protege a confiança quando o próprio caminho de consulta tem governança.1
Qual é o requisito mínimo para produção?
Toda execução de agente que possa afetar sistemas externos deve ter um ID de execução, ID de conta, ID de operador, pacote de autoridade, registro de aprovação, ponteiro de rastreamento, controle de interrupção, proprietário da revisão e política de retenção.
Referências
-
Ruben Chocron, Doron Jonathan Ben Chayim, Eyal Lenga, Gilad Gressel, Alina Oprea e Yisroel Mirsky, “Who Owns This Agent? Tracing AI Agents Back to Their Owners,” arXiv:2605.16035v1, submetido em 15 de maio de 2026. Fonte para a definição de atribuição de agentes, o modelo de ameaça com LLM hospedado por fornecedor, o protocolo de atribuição baseado em canários, a taxonomia de canários lexicais e semânticos, a troca entre utilidade e evasão, os números da avaliação com agente cibernético, a propriedade de busca em janela limitada, as limitações e o enquadramento ético em torno de autoridades autorizadas e auditáveis. ↩↩↩↩↩↩↩↩↩↩
-
OpenAI, “Running Codex safely at OpenAI,” OpenAI, 8 de maio de 2026. Fonte para o isolamento de execução do Codex, aprovações, política de rede gerenciada, controles de identidade e credenciais, configuração gerenciada, eventos OpenTelemetry, logs da Compliance Platform e uso de logs do Codex pela OpenAI em triagem de segurança. ↩↩↩
-
OpenAI, “Work with Codex from anywhere,” OpenAI, 14 de maio de 2026. Fonte para uso semanal do Codex, controle móvel, conexão com máquina remota, estado ao vivo entre threads e aprovações, capturas de tela, saída de terminal, diffs, resultados de testes, disponibilidade geral do Remote SSH, disponibilidade geral de ganchos e tokens de acesso programático. ↩↩
-
OpenAI, “The next evolution of the Agents SDK,” OpenAI, 15 de abril de 2026. Fonte para o loop de agente nativo de modelo do Agents SDK, workspaces controlados, inspeção de arquivos e ferramentas, MCP, skills, AGENTS.md, shell, apply_patch, execução nativa isolada, abstração por manifesto e separação entre orquestração de agentes e ambientes de computação. ↩
-
Chenglin Yang, “AgentTrust: Runtime Safety Evaluation and Interception for AI Agent Tool Use,” arXiv:2605.04785v1, submetido em 6 de maio de 2026. Fonte para interceptação de chamadas de ferramentas antes da execução, vereditos permitir/avisar/bloquear/revisar, desofuscação de shell, detecção RiskChain, escopo de benchmark e integração com servidor MCP. ↩