Tríade letal para agentes. Conceito apresentado por Martin Fowler.
Ele descreve três propriedades que, quando combinadas em um sistema agêntico, aumentam significativamente o risco de falhas de segurança.
Primeiro: acesso a informações sensíveis. No contexto de e-mail corporativo, isso significa principalmente dados particulares e histórico de conversa com clientes. Negociações, decisões estratégicas, detalhes financeiros, informações contratuais, contexto relacional acumulado ao longo do tempo. Um agente com acesso amplo à caixa de entrada passa a ter visibilidade sobre ativos que são, na prática, patrimônio informacional da empresa.
Segundo: exposição a conteúdo não confiável. A caixa de entrada recebe mensagens de múltiplas origens, inclusive fontes maliciosas. Um agente que processa automaticamente essas mensagens pode ser induzido por instruções embutidas no próprio conteúdo, caracterizando ataques como prompt injection. O problema não é apenas spam, mas manipulação contextual.
Terceiro: capacidade de comunicação ou ação externa. Se o agente pode responder e-mails, clicar em links ou acionar APIs, ele não apenas interpreta informações, mas executa ações em nome do usuário ou da organização.
Esses fatores não são novos na segurança da informação. Sistemas tradicionais sempre lidaram com dados sensíveis, entrada hostil e mecanismos de saída. O que muda em sistemas agênticos baseados em LLMs é que o componente central opera de forma não determinística. Ele interpreta contexto de maneira probabilística, o que dificulta prever exatamente como reagirá a estímulos maliciosos cuidadosamente construídos.
O risco maior, portanto, não está apenas na presença isolada de cada elemento, mas na combinação dos três em um ambiente cujo mecanismo de decisão não é estritamente determinístico. Quando dados sensíveis, entrada não confiável e poder de ação coexistem, a superfície de ataque se torna mais difícil de modelar e controlar.
No meu caso, Márcia, minha agente construída com OpenClaw, opera com restrições deliberadas. O acesso a informações sensíveis é limitado por escopo e permissões específicas. Além disso, não há comunicação externa autônoma. Ao eliminar dois dos três elementos da tríade, o sistema reduz significativamente o risco estrutural.
Sistemas agênticos exigem decisões arquiteturais conscientes. A discussão não é sobre evitar agentes, mas sobre compreender as propriedades do sistema que está sendo construído e assumir responsabilidade pelas suas implicações.