Agente com ferramenta precisa de regra de produção
O assunto quente não é só qual modelo escreve mais rápido. O ponto de risco agora é o agente que lê contexto, escolhe ferramenta, chama API, executa comando, lembra estado e conversa com outros serviços. Quando isso entra em SaaS com login, pagamento e dado de cliente, a revisão muda de nível.
OWASP MCP Top 10 coloca nomes em riscos que já aparecem no dia a dia: tool poisoning, context spoofing, command injection, permissões amplas, memória insegura e canais indiretos. A Agentic Security Initiative amplia a lente para aplicações autônomas, onde o erro pode virar ação real.
Onde revisar primeiro
- Servidores MCP e ferramentas que o agente pode chamar.
- Segredos, tokens e variáveis disponíveis no ambiente.
- Comandos que mudam banco, deploy, pagamento ou arquivo.
- Memória persistente e contexto recuperado de fontes externas.
- Logs de tool call sem payload sensível.
- Aprovação humana para ação destrutiva ou irreversível.
- Escopo por usuário, tenant, plano e ambiente.
O erro comum do vibe coder
O app funciona, o agente ajuda, o MCP acelera e ninguém desenha a fronteira. Depois a ferramenta que deveria ler um ticket consegue mexer em produção; o contexto vindo de uma página pública influencia uma chamada interna; o log guarda dado pessoal; a automação usa token amplo demais.
O risco não nasce porque IA é mágica. Ele nasce porque permissão demais encontra contexto não confiável.
Como usar OWASP sem virar checklist vazio
Pegue cada ferramenta do agente e responda: quem pode chamar, com quais argumentos, em qual ambiente, com qual aprovação, gerando qual log e com qual rollback. Se a resposta toca cliente, cobrança, upload, admin ou produção, isso merece Risk Review antes de virar rotina.
Fontes usadas
Agente seguro não é agente sem ferramenta. É agente com fronteira, permissão mínima, log limpo e revisão humana quando a ação pode custar dinheiro ou dado.
