Se você entregou qualquer coisa com um agente programador IA — Claude Code, Cursor, Aider, Codex, ferramental interno — você pensou no que acontece quando o agente tem acesso shell *e* suas chaves de API *e* rede sem restrições. "Uma chamada de ferramenta comprometida vaza credenciais para um domínio controlado pelo atacante" não é teórico; é a forma estrutural. Pipelock, um firewall open-source para agentes IA lançado por Joshua Waldrep sob o projeto PipeLab, endereça o buraco com a escolha arquitetural que importa: aplicação *fora* do processo do agente. Apache 2.0, binário Go ~20MB, atualmente na v2.3.0, no GitHub em luckyPipewrench/pipelock.
O split de capacidades é o design que carrega o peso. O processo do agente tem segredos, sem acesso direto à rede. O proxy tem acesso à rede, sem segredos. O tráfego cruza uma fronteira de scanning entre zonas. O isolamento de rede é aplicado no nível de deployment — network namespaces, iptables, Docker, Kubernetes NetworkPolicy — não na camada aplicacional onde o agente poderia desativá-lo. O pipeline de scanner de 11 camadas cobre exfiltração de credenciais (48 padrões cobrindo API keys, tokens, contas financeiras, chaves privadas crypto, com quatro validadores de checksum), prompt injection (25 padrões com seis passadas de normalização), SSRF, path traversal, orçamentos DLP por domínio, e scans do lado resposta para caracteres invisíveis, homoglifos, evasão por leetspeak. A cobertura abrange HTTP forward proxy, túneis CONNECT, frames WebSocket, Model Context Protocol stdio, e o protocolo Agent-to-Agent do Google. Recibos de evidência assinados Ed25519, integração SARIF v2.1.0 no GitHub Code Scanning, mapeamentos de compliance para OWASP MCP Top 10, MITRE ATT&CK, EU AI Act, SOC 2, NIST 800-53.
O framing que Waldrep dá é o argumento arquitetural que o espaço de segurança-de-agentes precisava ouvir: *"A maioria das ferramentas de segurança de agentes ainda precisa que o agente coopere. Esses controles só funcionam enquanto o agente continua chamando-os."* Esse é o split SDK-vs-proxy. Toda abordagem de segurança-via-callback tem a mesma fraqueza estrutural — um agente comprometido ou jailbreakado para de chamar a biblioteca de segurança, e os controles evaporam. A aplicação fora-de-processo não precisa de cooperação; a fronteira de rede é aplicada pelo SO, não pelo agente. Espere que esse padrão vire padrão pra qualquer deployment de agente em produção com credenciais reais no scope. Pipelock não é o único projeto se movendo nessa direção (camadas de execução sandboxed, permissões de ferramenta com mTLS, o sistema de permissões do Claude Code da Anthropic) mas é a articulação open-source mais limpa do shift arquitetural.
Se você roda agentes IA em produção com acesso shell e chamadas de API credenciadas, esse é o tipo de coisa que pertence entre o agente e a rede — não como substituto pros guardrails dentro do agente, como rede de segurança pra quando esses guardrails são contornados. Apache 2.0 + binário Go + cobertura MCP + A2A significa que é deployável hoje. Leia o threat model no README do GitHub antes de integrar; os orçamentos DLP por domínio e as passadas de normalização pra prompt injection precisam de calibração ao seu caso de uso. A integração SARIF significa que os findings se conectam no seu pipeline de segurança existente sem reconstruir telemetria. O movimento maior é estrutural: pare de confiar no agente pra policiar a si mesmo.