Quase metade das organizações (47%) já sofreu um incidente de segurança envolvendo agentes de inteligência artificial (IA), e 53% relatam que esses agentes excedem regularmente as permissões pretendidas, operando fora do escopo definido, conforme relatório do Cloud Security Alliance (CSA) publicado em 7 de abril em parceria com a Zenity. O estudo, baseado em respostas de 445 profissionais de TI e segurança das Américas entre setembro e novembro de 2025, aponta uma elevação significativa do risco associado ao uso de agentes autônomos em ambientes corporativos.
Na pesquisa, 43% das organizações relataram que mais da metade dos funcionários usa agentes de IA regularmente. A adoção raramente é centralizada: apenas 5% utilizam uma única plataforma de agentes, enquanto 44% usam de duas a três e 43% usam quatro ou mais. Cada plataforma adicional representa um novo ponto onde a aplicação de políticas pode falhar.
Apenas 21% das organizações mantêm um inventário em tempo real dos agentes de IA ativos, enquanto quase um terço relata não ter nenhum inventário centralizado. A clareza sobre propriedade também é baixa: somente 15% afirmam que 76–100% dos agentes têm proprietário definido – a faixa mais comum é de apenas 26–50% (34%).
Violações de escopo como regra, não exceção
Apenas 8% das organizações relatam que os agentes nunca excedem suas permissões pretendidas. A maioria (53%) indica que isso ocorre ocasionalmente. Os agentes já estão integrados a funções como TI (53%), segurança (37%), atendimento ao cliente (34%) e engenharia (34%).
Incidentes e resposta lenta
Além dos 47% que já experienciaram um incidente envolvendo agente de IA, os tempos de detecção e resposta são preocupantes: 38% indicam de 5 a 24 horas, e 20% relatam um dia ou mais. Apenas 7% conseguem conter um incidente em menos de uma hora. Somente 16% das organizações estão altamente confiantes em suas ferramentas atuais para detectar ameaças específicas de agentes de IA.
Governança e preparação regulatória
Apenas 31% das organizações relatam ter políticas de governança formalmente adotadas para agentes de IA. Os frameworks que mais influenciam as estratégias são HIPAA (43%), NIST AI RMF (37%) e SOC 2/ISO 27001 (34%). Apesar dessa influência, apenas 13% se sentem altamente preparados para as próximas regulamentações relacionadas a IA, enquanto 49% indicam estar pouco ou nada preparados.
Conclusão do relatório
Os autores concluem que “os agentes de IA já estão operando como parte da força de trabalho digital corporativa, mas as práticas de segurança e governança ainda não se adaptaram totalmente à sua natureza autônoma”. A adoção está superando a visibilidade, a propriedade e o controle, criando ambientes onde comportamentos não intencionais estão se tornando operacionalmente normalizados.
