A stack de governança de agentes de IA do Google Cloud: “gerencie agentes como uma organização de engenharia”

A stack de governança do Gemini Enterprise Agent Platform, anunciada pelo Google Cloud no Cloud Next 26, apresenta um framework sistemático para a gestão de segurança de agentes de IA. A filosofia central é simples: trate a frota de agentes como uma organização de engenharia. Dê identidades, controle permissões de acesso, imponha políticas, monitore comportamentos e audite tudo.

Contexto

• Ferramentas SaaS mal configuradas expõem dados de forma passiva, mas agentes de IA mal configurados executam ações incorretas de forma ativa. O Google Cloud alerta que o problema de shadow IT (uso não autorizado de TI fora do controle da organização), conhecido desde 2015, agora está se repetindo no universo dos agentes de IA.

Resumo da stack de governança em 5 camadas

• Camada 1 - Identidade do agente (Agent Identity): atribui um ID criptográfico exclusivo a cada agente. Isso corrige a estrutura anterior, em que todos os agentes operavam com uma única service account, o que impossibilitava rastrear problemas. Aplica o princípio do menor privilégio (Principle of Least Privilege), permitindo definir com granularidade quais tabelas, buckets e endpoints de API cada agente pode acessar.
• Camada 2 - Registro de agentes (Agent Registry): é um catálogo centralizado para gerenciar todos os agentes, ferramentas MCP e endpoints da organização. O conceito é semelhante a um repositório npm interno da empresa, permitindo que apenas ferramentas aprovadas pela equipe de plataforma sejam usadas por agentes em produção. Inclui metadados como escopo de acesso a dados da ferramenta, permissões necessárias e lista de agentes em uso, permitindo identificar imediatamente o raio de impacto ao corrigir uma vulnerabilidade.
• Camada 3 - Gateway de agentes (Agent Gateway): é o ponto central de execução onde políticas de segurança escritas em linguagem natural passam a valer imediatamente para todos os agentes que atravessam o gateway. Em vez de alterar 50 agentes individualmente, uma única política pode ser aplicada à frota inteira. Integra o Model Armor para também se defender contra prompt injection (injeção de comandos maliciosos) e vazamento de dados sensíveis.
• Camada 4 - Detecção de anomalias e ameaças (Anomaly & Threat Detection): usa modelos estatísticos para estabelecer uma linha de base do comportamento normal de cada agente e emitir alertas em caso de desvio. Um LLM separado atua como juiz (judge), detectando saltos lógicos ou decisões fora de escopo no processo de raciocínio do agente. A camada de detecção de ameaças monitora ataques intencionais, como reverse shell, conexão com IP malicioso e tentativas de escalonamento de privilégios.
• Camada 5 - Dashboard de segurança de agentes (Agent Security Dashboard): com base no Security Command Center, visualiza de forma integrada as informações das quatro camadas acima. Oferece em uma única tela recursos como mapeamento das relações entre agentes e modelos, descoberta automática de ativos, varredura de vulnerabilidades e análise correlacionada de sinais entre camadas.

Diferenciais

• Chama atenção o fato de relacionar agentes ao modelo mental familiar de “operar uma organização de engenharia”, sistematizando a governança de segurança em cinco camadas. Em especial, a criação de políticas em linguagem natural com aplicação global imediata e a auditoria de raciocínio no formato LLM-as-a-judge diferenciam a proposta das abordagens tradicionais de segurança em nuvem.

Implicações

• Organizações que construírem essa stack de governança no início da implantação de agentes poderão obter um efeito composto em que o custo marginal converge para quase zero à medida que o número de agentes cresce. Em contrapartida, organizações que ampliarem o uso de agentes sem gestão podem enfrentar o aumento da superfície de ataque e da complexidade de auditoria, como ocorreu na era do shadow IT. Em setores regulados, como finanças e saúde, identidade exclusiva por agente e trilha de auditoria são, na prática, requisitos regulatórios, o que indica que a pressão para adotar esse framework deve ser sentida primeiro nesses segmentos.