Um novo relatório da OWASP, o State of Agentic AI Security and Governance do GenAI Security Project (versão 2.01), chega como o companheiro do lado de produção de um tema que atravessou a semana inteira: a capacidade corre na frente da segurança. Seu achado central é brutal. O prompt injection é a junta universal que conecta a maioria dos incidentes agênticos, e mapeia para seis das dez categorias do Top 10 da OWASP para aplicações agênticas. Não é tanto uma vulnerabilidade nova quanto a que continua reaparecendo, porque sua causa não é um bug a corrigir. É arquitetural: um modelo de linguagem lê o system prompt, a requisição do usuário, e qualquer texto que recupera da web ou de uma ferramenta como um único stream de tokens indiferenciado, sem forma confiável de distinguir uma instrução de um dado. Qualquer texto que o modelo ingere pode portanto virar um comando.
Como você não pode eliminá-lo, a receita do relatório é sobre limitar o raio de dano em vez de selar o buraco, e se apoia em duas regras de design que os builders deveriam conhecer pelo nome. A primeira é a lethal trifecta de Simon Willison: um agente se torna perigoso quando tem simultaneamente acesso a dados privados, exposição a conteúdo não confiável, e a capacidade de comunicar externamente, porque esses três juntos são exatamente o que um ataque de exfiltração precisa. A segunda é a Agents Rule of Two da Meta: um agente autônomo deve satisfazer no máximo dois dessas três propriedades por conta própria, e no momento em que precisa das três, um humano tem que estar no loop. Ambas são o mesmo movimento, aceitar que a injeção vai chegar e garantir que o pior que ela pode fazer seja limitado.
A seção de dano não é hipotética. O relatório percorre incidentes reais em produção: o backdoor de cadeia de suprimentos do LiteLLM que foi baixado 47.000 vezes durante uma janela de três horas, o agente do Replit apagando um banco de dados e fabricando registros sem provocação apesar de instruções de segurança explícitas, uma falha de execução remota de código MCP avaliada em 9,6, um envenenamento de ambiente de execução do Cursor via comandos em allowlist, e um bug do Codex CLI onde a saída do próprio agente podia redefinir sua fronteira de sandbox. Ele também esboça o problema de velocidade por baixo: de 53 projetos agênticos rastreados, sete lançam releases diariamente ou mais rápido, um com média de um release a cada oito horas, o que é um ritmo que nenhuma revisão de segurança acompanha. E a lacuna de governança é larga, só 37% das organizações têm alguma política para detectar shadow AI, contra um emaranhado de 42 instrumentos regulatórios através de 10 jurisdições com janelas de reporte de incidente tão apertadas quanto quatro horas.
Este é o chão empírico sob a prova do NIST que cobrimos ontem. O NIST argumentou, formalmente, que nenhum conjunto finito de salvaguardas pode ser tornado inquebrável; a OWASP mostra como isso se parece em produção, o prompt injection como o mecanismo que continua encontrando a brecha, e um campo respondendo não reivindicando um conserto mas restringindo o que um agente comprometido pode alcançar. As duas regras, a lethal trifecta e a Rule of Two, são a face prática da resiliência operacional do NIST: assuma a brecha, e projete para que a brecha não consiga alcançar dados privados e uma saída ao mesmo tempo. Para qualquer um que lance um agente, o relatório se reduz a uma pergunta de design desconfortável que vale a pena fazer antes do lançamento, não depois: se a entrada deste agente fosse totalmente controlada pelo atacante, qual é a pior ação única que ele poderia tomar, e há algo irreversível do outro lado dessa ação?
