Agentes são power users sem julgamento
Os agentes de IA usarão toda ferramenta que você der a eles se acharem que ajuda a concluir a tarefa. Esse é o seu ponto forte e o seu risco. Um agente com permissão de escrita no seu banco de dados de produção vai modificar dados de produção sem hesitar se decidir que essa é a melhor forma de fazer o que você pediu. Ele não vai parar e pensar "espera, talvez eu deva confirmar com alguém primeiro".
Isso significa que sua arquitetura de permissões precisa ser o guardrail. Você não pode contar com o agente para se autolimitar. Se ele não deve fazer algo, ele não deve ter a capacidade de fazê-lo.
Privilégio mínimo aplicado a agentes
O princípio do menor privilégio não é novo, mas tem um peso diferente com agentes. Um desenvolvedor humano com acesso ao banco de produção usa o bom senso sobre quando realmente executar consultas. Um agente não tem esse filtro. Então o privilégio mínimo para agentes precisa ser mais rígido do que o que você daria a um humano no mesmo papel.
Na prática, isso significa: credenciais de banco de dados somente leitura para agentes que só precisam consultar dados. Tokens de API com escopo restrito que acessam apenas os endpoints de que o agente realmente precisa. Acesso ao sistema de arquivos limitado a diretórios específicos, e não ao disco inteiro. Cada permissão deve mapear para uma capacidade específica que o agente foi projetado para usar.
Modelos de permissão em camadas
Uma boa abordagem é estruturar suas permissões em camadas. A primeira camada é quais servidores MCP o agente pode acessar. A segunda é quais credenciais esses servidores usam. A terceira é o que o serviço subjacente permite com essas credenciais. Cada camada pode restringir de forma independente.
Por exemplo, você pode dar ao agente acesso a um servidor MCP de banco de dados (camada um), configurar esse servidor com um usuário de banco somente leitura (camada dois), e esse usuário ter apenas permissão SELECT em tabelas específicas (camada três). Mesmo que o agente de algum modo contorne a camada um, as camadas dois e três ainda protegem você.
Separação de ambientes
Os ambientes de produção e de desenvolvimento devem usar credenciais completamente separadas para os agentes. Parece óbvio, mas é fácil escorregar quando se está iterando rápido. Um agente configurado com credenciais de produção durante um "teste rápido" e que nunca foi revertido é um padrão comum e perigoso.
Configure configurações MCP separadas para desenvolvimento e produção. Identifique-as claramente. Torne difícil rodar acidentalmente um agente de desenvolvimento com credenciais de produção. O esforço de prevenção de erros se paga na primeira vez que evita um deslize.
Auditando ações dos agentes
Permissões sem logging são metade do quadro. Você precisa saber o que seus agentes realmente fizeram com o acesso que têm. Registre cada chamada de ferramenta, cada requisição de API, cada consulta ao banco. Quando algo dá errado (e em algum momento vai dar), esses logs são como você descobre o que aconteceu e ajusta as permissões de acordo.
Leituras relacionadas
- Por que a qualidade dos servidores MCP varia tanto (e como avaliar)
- O papel dos guardrails em agentes de IA em produção
- Como usar ferramentas de IA de forma responsável em produção
Descubra agentes de IA no Skillful.sh. Pesquise mais de 137.000 ferramentas de IA.