A Microsoft lançou o novo relatório Cyber Pulse com o objetivo de oferecer insights e orientações práticas sobre os novos riscos de cibersegurança. Uma das maiores preocupações atualmente é a governança de IA e de agentes autônomos. Os agentes de IA estão se expandindo mais rápido do que muitas empresas conseguem enxergar — e essa falta de visibilidade representa um risco real para o negócio.¹ 

Assim como pessoas, os agentes de IA precisam ser protegidos por meio de observabilidade, governança e segurança robustas, aplicando os princípios de Zero Trust. Como o relatório destaca, as organizações que terão sucesso na próxima fase da adoção de IA serão aquelas que avançarem com agilidade e reunirem as áreas de negócio, TI, segurança e desenvolvimento para observar, governar e proteger sua transformação com IA. 

A criação de agentes não está mais restrita a funções técnicas. Hoje, colaboradores de diferentes áreas criam e utilizam agentes em suas atividades diárias. Atualmente, mais de 80% das empresas da Fortune 500 utilizam agentes de IA ativos criados com ferramentas low-code/no-code.² A IA já é onipresente em diversas operações, e agentes baseados em IA generativa estão integrados a fluxos de trabalho em vendas, finanças, segurança, atendimento ao cliente e inovação de produtos. 

Com a expansão do uso de agentes e o crescimento das oportunidades de transformação, este é o momento certo para estabelecer controles fundamentais. Os agentes de IA devem ser submetidos aos mesmos padrões aplicados a colaboradores ou contas de serviço. Isso significa aplicar, de forma consistente, princípios consolidados de segurança Zero Trust: 

• Acesso restrito: conceder a cada usuário, agente de IA ou sistema apenas o acesso necessário — nada além disso. 

• Verificação explícita: confirmar sempre quem ou o que está solicitando acesso, considerando identidade, integridade do dispositivo, localização e nível de risco. 

• Assumir que uma violação pode ocorrer: projetar sistemas partindo do princípio de que atacantes conseguirão entrar. 

Esses princípios não são novos, e muitas equipes de segurança já implementaram o Zero Trust em suas organizações. O que muda agora é a aplicação desses conceitos a usuários não humanos, operando em escala e velocidade muito maiores. As organizações que incorporarem esses controles desde o início da implantação de agentes de IA conseguirão avançar mais rápido, fortalecendo a confiança no uso da IA.  

A ascensão dos agentes de IA liderados por humanos 

O crescimento dos agentes de IA se estende por diversas regiões  — das Américas à Europa, Oriente Médio e África (EMEA), além da Ásia. 

De acordo com o Cyber Pulse, setores líderes como software e tecnologia (16%), manufatura (13%), instituições financeiras (11%) e varejo (9%) já utilizam agentes para apoiar tarefas cada vez mais complexas — como elaboração de propostas, análise de dados financeiros, triagem de alertas de segurança, automação de processos repetitivos e geração de insights em velocidade de máquina.³ 

Esses agentes podem operar de forma assistida, respondendo a comandos de usuários, ou de maneira autônoma, executando tarefas com mínima intervenção humana. 

Diferentemente dos softwares tradicionais, os agentes são dinâmicos. Eles agem, tomam decisões, acessam dados e, cada vez mais, interagem com outros agentes. 

Isso muda  o perfil de risco. 

O ponto cego: crescimento dos agentes sem observabilidade, governança e segurança 

Apesar da rápida adoção de agentes de IA, muitas organizações ainda têm dificuldade para responder questões  básicas, como: 

• Quantos agentes estão ativos em toda a empresa? 

• Quem é o responsável por eles? 

• Quais dados acessam? 

• Quais agentes são autorizados  e quais não são? 

Essa não é uma preocupação teórica. O Shadow IT existe há décadas, mas o Shadow AI adiciona novas camadas de risco. Os agentes podem herdar permissões, acessar informações sensíveis e gerar resultados em escala — muitas vezes fora da visibilidade das equipes de TI e segurança. Agentes maliciosos podem explorar acessos e privilégios, transformando agentes legítimos em “agentes duplos”. Assim como colaboradores humanos, um agente com acesso a informações privilegiadas — ou instruções inadequadas — pode se tornar uma vulnerabilidade. Quando falta observabilidade no ecossistema de IA, o risco se acumula silenciosamente. 

Segundo o relatório Cyber Pulse, 29% dos colaboradores já recorreram a agentes de IA não autorizados para atividades de trabalho.⁴ Esse dado é relevante, pois mostra que muitas organizações estão adotando capacidades de IA antes de estabelecer controles adequados de gestão de acesso, proteção de dados, conformidade e responsabilização. Em setores regulados — como serviços financeiros, saúde e setor público — esse gap pode gerar impactos ainda mais significativos.

Por que a observabilidade vem primeiro 

Não é possível proteger o que não se enxerga — e não é possível gerenciar o que não se entende. Observabilidade significa ter uma camada de controle em toda a organização (TI, segurança, desenvolvimento e equipes de IA) para compreender: 

• Quais agentes existem 

• Quem é responsável por eles 

• Quais sistemas e dados eles acessam 

• Como eles se comportam 

No relatório Cyber Pulse, são apresentadas cinco capacidades essenciais que as organizações precisam estabelecer para alcançar observabilidade e governança efetivas dos agentes de IA: 

• Registro centralizado: funciona como uma única fonte  para todos os agentes da organização — autorizados, de terceiros e possíveis agentes de Shadow AI. Esse inventário ajuda a evitar a proliferação descontrolada, reforça a responsabilização e facilita a descoberta, permitindo restringir ou isolar agentes não autorizados quando necessário. 

• Controle de acesso: cada agente é governado pelos mesmos controles de identidade e políticas aplicados a usuários humanos e aplicações. Permissões de menor privilégio, aplicadas de forma consistente, garantem que os agentes acessem apenas os dados, sistemas e fluxos necessários — nem mais, nem menos. 

• Visualização: dashboards em tempo real e telemetria fornecem visibilidade sobre como os agentes interagem com pessoas, dados e sistemas. Isso permite entender dependências, monitorar comportamentos e impactos, além de acelerar a detecção de uso indevido, desvios ou riscos emergentes. 

• Interoperabilidade: os agentes operam em plataformas Microsoft, frameworks open source e ecossistemas de terceiros sob um modelo de governança consistente. Essa interoperabilidade permite colaboração entre agentes e pessoas em diferentes fluxos de trabalho, mantendo o controle dentro dos padrões corporativos. 

• Segurança: proteções integradas defendem os agentes contra uso indevido interno e ameaças cibernéticas externas. Sinais de segurança, aplicação de políticas e ferramentas integradas ajudam a identificar agentes comprometidos ou desalinhados de forma precoce, permitindo respostas rápidas antes que o problema se transforme em um risco operacional, regulatório ou reputacional. 

Governança e segurança não são a mesma coisa — e ambas são essenciais 

Um ponto importante destacado pelo Cyber Pulse é que governança e segurança são conceitos relacionados, mas não intercambiáveis: 

• Governança define propriedade, responsabilidade, políticas e supervisão. 

• Segurança aplica controles, protege acessos e detecta ameaças cibernéticas. 

As duas são indispensáveis, e nenhuma funciona isoladamente. 

A governança de IA não pode ficar restrita apenas à área de TI, assim como a segurança de IA não deve ser delegada exclusivamente aos CISOs. Trata-se de uma responsabilidade multifuncional, que envolve jurídico, compliance, recursos humanos, ciência de dados, liderança de negócios e conselho administrativo. 

Quando o risco de IA é tratado como um risco corporativo central — ao lado dos riscos financeiro, operacional e regulatório — as organizações conseguem avançar com mais velocidade e segurança. 

Segurança e governança sólidas não apenas reduzem riscos nas organizações — elas viabilizam transparência. E a transparência está se tornando uma vantagem competitiva cada vez mais relevante. 

De gestão de risco a vantagem competitiva 

Este é um momento empolgante para as Frontier Firms. Muitas organizações já estão aproveitando esse cenário para modernizar sua governança, reduzir o compartilhamento excessivo de dados e estabelecer controles de segurança que viabilizam o uso seguro da IA. Elas demonstram que segurança e inovação não são forças opostas — são complementares. Segurança é um catalisador da inovação. 

De acordo com o Cyber Pulse, os líderes que agirem agora conseguirão mitigar riscos, acelerar a inovação, proteger a confiança dos clientes e construir resiliência no núcleo de suas empresas orientadas por IA. O futuro pertence às organizações que inovam na velocidade das máquinas e observam, governam e protegem com o mesmo nível de precisão. Se fizermos isso da maneira correta — e sabemos que faremos — a IA deixa de ser apenas um avanço tecnológico e se torna um avanço na ambição humana. 

Para saber mais sobre Microsoft Security, visite nosso site. Salve o Microsoft Security blog nos favoritos para acompanhar nossos conteúdos especializados no tema. Siga também a Microsoft Security no LinkedIn (Microsoft Security) e no X (@MSFTSecurity) para receber as últimas novidades sobre cibersegurança. 

¹Microsoft Data Security Index 2026: Unifying Data Protection and AI Innovation, Microsoft Security, 2026. 

²Com base em telemetria proprietária da Microsoft que mede agentes criados com Microsoft Copilot Studio ou Microsoft Agent Builder que estiveram em uso durante os últimos 28 dias de novembro de 2025. 

³As métricas de agentes por indústria e região foram criadas com base em telemetria proprietária da Microsoft que mede agentes criados com Microsoft Copilot Studio ou Microsoft Agent Builder que estiveram em uso durante os últimos 28 dias de novembro de 2025. 

⁴Pesquisa multinacional realizada em julho de 2025 com mais de 1.700 profissionais de segurança de dados, encomendada pela Microsoft ao Hypothesis Group. 

Metodologia: 

As métricas de agentes por indústria e região foram criadas com base em telemetria proprietária da Microsoft que mede agentes criados com Microsoft Copilot Studio ou Microsoft Agent Builder que estiveram em uso durante os últimos 28 dias de novembro de 2025. 

2026 Data Security Index:  

Uma pesquisa online multinacional de 25 minutos foi conduzida entre 16 de julho e 11 de agosto de 2025, com a participação de 1.725 líderes de segurança de dados. 

As perguntas abordaram o cenário de segurança de dados, incidentes de segurança de dados, a proteção do uso de IA generativa por colaboradores e o uso de IA generativa em programas de segurança de dados, destacando comparações com 2024. 

Entrevistas aprofundadas, com duração de uma hora, foram realizadas com 10 líderes de segurança de dados nos Estados Unidos e no Reino Unido para coletar relatos sobre como estão abordando a segurança de dados em suas organizações. 

Definições:  

Agentes ativos são agentes que 1) estão implantados em produção e 2) apresentam alguma “atividade real” associada a eles nos últimos 28 dias.  

“Atividade real” é definida como uma ou mais interações com usuários (no caso de agentes assistivos) OU uma ou mais execuções autônomas (no caso de agentes autônomos).