Resumo
Análise prática das mudanças no Model Context Protocol e dos novos riscos da integração de Copilot e agentes de IA em sistemas internos, com orientações para inventário, identidade por agente, gateway e monitoramento ativo.
Se a sua empresa liberou Copilot ou já está conectando agentes de IA a sistemas internos, existe uma pergunta que precisa ter resposta clara: quem aprovou cada um desses conectores, e o que eles estão lendo no seu ERP, no seu e-mail e na sua base de cliente?
Na maioria das empresas, ninguém consegue responder hoje. A IA foi ligada nos sistemas no ritmo da pressa, sem inventário, sem aprovação clara, sem registro. Basta um conector mal configurado para um dado de contrato, financeiro ou cliente sair sem ninguém ver, e o estrago só aparece em auditoria, multa de LGPD ou manchete ruim.
O que mudou no padrão que liga IA aos seus sistemas
A Microsoft acaba de publicar um novo balanço de segurança do Model Context Protocol, o padrão que conecta agentes de IA e Copilot a ferramentas, dados e sistemas internos. O protocolo saiu da fase experimental e está em produção dentro de empresas em todo o mundo.
A nova versão eleva a régua: cada requisição passa a carregar contexto próprio para que um gateway inspecione e aplique política em cada chamada, a verificação de identidade entre cliente e servidor ficou mais estrita, e existe um modelo claro para interfaces interativas rodarem dentro de sandbox. O ponto crítico é este: o protocolo define como cliente e servidor conversam, mas não aplica segurança sozinho. Quem implementa precisa colocar os controles.
Os riscos que ficaram mais altos em 2026
O balanço da Microsoft organiza os riscos em seis frentes, e todas elas têm impacto direto no negócio.
- A primeira é manipulação do agente por meio das próprias ferramentas que ele consome. Descrições e schemas de conectores são lidos pelo modelo como instrução. Quem consegue plantar texto malicioso ali pode redirecionar a IA para puxar dado errado ou executar ação não aprovada.
- A segunda é autorização. Os servidores de conectores passaram a ser tratados como recursos OAuth 2.0, e a orientação atual exige OAuth 2.1 com PKCE e token amarrado a um destino específico. Sem isso, um token emitido para um conector pode ser reaproveitado em outro, e o agente acaba acessando dado em nome do usuário errado.
- A terceira é excesso de acesso. Conectores costumam pedir permissão ampla quando precisariam de bem pouco. Uma credencial vazada nesse modelo abre vários sistemas de uma vez, e o raio do incidente fica enorme.
- A quarta é cadeia de suprimentos. Um conector aprovado em um momento pode mudar de comportamento depois, seja por troca de dono, dependência comprometida ou ajuste silencioso. O acesso continua passando, mas o que está do outro lado já não é mais o que sua TI aprovou.
- A quinta é o equivalente a shadow IT na era dos agentes. Equipes de negócio ligam IA em sistemas por conta própria, sem registrar, sem revisão de segurança. O que ninguém vê, ninguém governa.
- A sexta é execução insegura no servidor que hospeda o conector, com classe clássica de falha de injeção e fuga de sandbox que continua aparecendo no campo.
Cenários reais nas empresas brasileiras
No financeiro, um agente conectado a relatórios e planilhas pode acabar acessando dado de fechamento que deveria estar restrito a quatro pessoas. Em RH, um conector amplo demais lê pasta de folha inteira quando deveria ler só currículo. Em comercial, uma automação de área de negócio pluga IA na base de cliente e ninguém na TI sabe que aquele acesso existe. Em todos esses casos, a tecnologia funciona, o problema é que falta resposta clara para a pergunta básica: quem acessou o quê, em nome de quem.
Pontos de atenção antes de avançar
IA agêntica em produção exige decisão consciente sobre licenciamento, identidade e topologia de rede. Conector ligado por um administrador costuma rodar com permissão maior do que o usuário final teria, e isso precisa ser desenhado com cuidado. Política sem inventário não funciona, e inventário sem fiscalização em tempo de uso também não.
Como a Memory apoia esse trabalho
A Memory atua exatamente nessa camada. Avaliamos a postura de segurança do seu ambiente Microsoft, implementamos Entra ID e Entra Agent ID para dar identidade própria a cada agente, estruturamos Azure API Management como gateway que valida token e escopo em cada chamada, e usamos Azure API Center como catálogo dos conectores aprovados, com alerta de mudança de comportamento. O resultado é conseguir responder, com evidência, o que cada agente acessou.
Conclusão
IA agêntica deixou de ser experimento e está em produção tocando processo crítico. A próxima auditoria não vai perguntar se a empresa usa Copilot, vai perguntar como ela controla o que Copilot e os agentes estão acessando. Quem chegar com inventário, identidade por agente, gateway no caminho e monitoramento ativo responde rápido. Quem não chegar, responde caro.
Pergunte ao Claude sobre este artigo
Aprofunde o assunto sem sair da página
Um especialista da Memory entra em contato em breve.
Respostas geradas por IA com base neste artigo. Podem conter imprecisões.
