Pesquisadores recomendam tratar agentes de IA como sistemas não confiáveis para segurança em criptomoedas

Seu assistente de IA favorito pode ser inteligente, mas pesquisadores agora argumentam que ele deve ser tratado com a mesma suspeita que seu computador tem em relação a um programa baixado aleatoriamente. Um artigo de maio de 2026 publicado no arXiv defende que agentes de IA, especialmente aqueles que lidam com transações financeiras, precisam ser arquitetados como componentes fundamentalmente não confiáveis dentro de sistemas maiores.

O artigo, intitulado “Agent Security is a Systems Problem” (arXiv:2605.18991), chega em um momento em que a indústria de criptomoedas está apostando fortemente em agentes de IA autônomos para gerenciar tudo, desde negociações DeFi até operações de carteira. O CEO da Circle, Jeremy Allaire, projetou que bilhões de agentes de IA realizarão independentemente atividades econômicas usando stablecoins nos próximos três a cinco anos.

Sistemas operacionais modernos não confiam em processos individuais. Cada aplicativo é executado em um ambiente isolado com permissões limitadas, só pode acessar arquivos aos quais foi explicitamente autorizado e é encerrado se tentar ultrapassar seus limites. Os pesquisadores querem que a mesma filosofia seja aplicada aos agentes de IA.

O artigo defende três medidas específicas. Primeiro, aplicar invariantes de segurança no nível do sistema, ou seja, regras rígidas que não possam ser ignoradas pela própria IA. Segundo, implementar sandboxing com privilégios mínimos, onde os agentes têm acesso apenas aos recursos mínimos necessários para sua tarefa específica. Terceiro, garantir uma separação eficaz entre instruções e dados, o que aborda um dos vetores de ataque mais perigosos nos sistemas de IA hoje.

Esse último ponto é mais importante do que pode parecer. Ataques de injeção de prompt funcionam precisamente porque agentes de IA frequentemente não conseguem distinguir entre instruções legítimas e dados maliciosos que contêm comandos ocultos. Quando um agente processa uma memória de transação que secretamente contém instruções para redirecionar fundos, a falta de separação se torna um problema de US$ 500.000.

Esse número não é hipotético. Um incidente em abril de 2026 resultou exatamente nessa quantia sendo retirada de uma carteira de criptomoeda devido a falhas na infraestrutura de IA e chamadas maliciosas de ferramentas. O ataque explorou a tipo de vulnerabilidade que os pesquisadores estão alertando: um agente de IA com acesso excessivo, verificação insuficiente das ferramentas que estava chamando e sem proteções em nível de sistema para detectar a anomalia antes que os fundos saíssem da carteira.

A natureza autônoma desses agentes aumenta o risco. Um trader humano que recebe um e-mail de phishing pode pausar e refletir. Um agente de IA que recebe uma injeção de prompt cuidadosamente elaborada a executa à velocidade da máquina, potencialmente esgotando ativos antes que qualquer sistema de monitoramento possa reagir.

Algumas empresas já estão se movendo na direção recomendada pelo artigo. A Ledger delineou um plano de segurança para 2026 que inclui iniciativas de segurança de hardware especificamente projetadas para ambientes de agentes de IA. A lógica é simples: se você não puder confiar plenamente na camada de software, ancore operações críticas em hardware que forneça garantias criptográficas independentes do comportamento da IA.

A recomendação do artigo de tratar isso como um “problema de sistema” em vez de um “problema de modelo” é uma distinção significativa. Ela transfere a responsabilidade dos desenvolvedores de IA apenas para o ecossistema mais amplo de provedores de infraestrutura, projetistas de protocolos e operadores de plataformas.

Fique atento a protocolos que implementam computação verificável para ações de agentes de IA, atestações on-chain do comportamento do agente e controles de acesso obrigatórios com privilégio mínimo. Esses recursos provavelmente se tornarão requisitos básicos para plataformas de agentes de IA de nível institucional nos próximos 12 a 18 meses.