Seu time colocou agentes de IA no Notion, Jira e GitHub nas últimas duas semanas. O onboarding foi quase ofensivamente fácil — uma API key (uma senha que permite que softwares conversem entre si), uns cliques, talvez um cafezinho. O agente lê seus tickets, faz push de código, posta no Slack. Você sentiu que o futuro finalmente tinha chegado.

Aí o piloto acabou. Ou seu time de segurança acordou. Ou você trocou de fornecedor. E agora precisa responder uma pergunta que ninguém pensou em fazer: como é que você desliga um agente?

A pesquisa da Cloud Security Alliance, divulgada ontem, 21 de abril, coloca um número no buraco: apenas 21% das empresas têm algum processo formal de descomissionamento de agentes de IA. Enquanto isso, 65% já tiveram incidentes de segurança relacionados a agentes no último ano. A Anthropic lançou o Managed Agents em 8 de abril, a OpenAI atualizou seu Agents SDK em 15 de abril, e o Google apresentou sua plataforma de agentes no Cloud Next em 22 de abril — três lançamentos de nível produção em uma janela de duas semanas. Cada plataforma publicou guias detalhados de onboarding. Nenhuma — literalmente zero — publicou um guia de offboarding.

O que "desligar" um agente realmente significa

Descomissionar um agente não é apertar um botão. É mais como demitir um funcionário que tem a chave de todas as salas, lembra de cada conversa e configurou uma dúzia de automações que ninguém mais entende.

Aqui vai o checklist real que ninguém escreveu:

  • Revogar tokens OAuth — OAuth é o sistema que permite que um agente acesse suas ferramentas (GitHub, Jira, Slack) em seu nome. Quando você "conecta" um agente a uma ferramenta, você concede um token — um passe digital. Esse passe não expira quando você para de pagar pelo agente. Ele simplesmente fica lá, válido e esquecido.
  • Limpar memory stores — Agentes agora têm memória persistente: eles lembram conversas passadas, decisões e seus dados. A Memory Stores API da Anthropic permite deletar memórias uma por uma, mas não oferece endpoint de exclusão em massa. Quer apagar tudo? Enumere cada memória individual e delete uma por uma. Divertido.
  • Cancelar ações agendadas — Agentes podem rodar em cron schedules (tarefas recorrentes automatizadas, tipo "checar este repo toda manhã às 9h"). Esses agendamentos persistem sob a identidade do usuário que os criou. O usuário sai da empresa, o cron continua rodando.
  • Reatribuir trabalho aberto — Se o agente tinha pull requests abertos, tickets atribuídos ou reviews pendentes, agora tudo isso pertence a um fantasma.
  • Notificar agentes dependentes — Em setups multi-agente, outros agentes podem chamar o aposentado. Vão falhar silenciosamente ou, pior, travar pra sempre.

Nenhuma plataforma automatiza nada disso.

Os números são piores do que você imagina

Segundo Itamar Apelblat, CEO da Token Security, entrevistado em 9 de abril: 65,4% dos chatbots agênticos nunca foram usados desde a criação, mas mantêm credenciais de acesso ativas. Mais da metade das ações de agentes externos dependem de credenciais hardcoded em vez de OAuth — o que significa que você não consegue nem revogar pelo gerenciamento de identidade padrão.

"Muitas organizações ainda tratam agentes de IA mais como experimentos descartáveis de produtividade do que como identidades governadas", disse Apelblat ao Help Net Security.

Ele está sendo educado. O que ele quis dizer é: você configurou um bot com acesso de leitura ao seu banco de dados de produção, enjoou, e deixou rodando com a chave na ignição.

A ameaça real: credenciais zumbi

O perigo não é o agente zumbi em si. Um agente morto que não consegue rodar é inofensivo. O perigo são as credenciais zumbi — os tokens OAuth, API keys e permissões de service account que sobrevivem ao agente.

Um agente autorizado a ler seu Jira, fazer push no seu GitHub e postar no seu Slack não perde essas permissões quando você para de pagar a Anthropic ou a OpenAI. Essas concessões vivem no seu identity provider, nos seus apps SaaS, no seu cloud IAM (Identity and Access Management — o sistema que controla quem pode acessar o quê). A plataforma do agente nem sabe que elas existem, porque nunca foi ela quem as concedeu.

A Microsoft reconheceu o problema três semanas atrás quando abriu o código do seu Agent Governance Toolkit em 2 de abril — sete pacotes cobrindo todos os 10 riscos OWASP de IA Agêntica (OWASP é o catálogo padrão de ameaças de segurança de aplicações), com um "kill switch" de emergência e um modelo de "trust decay" que reduz permissões do agente ao longo do tempo. Parece ótimo. Mas leia a documentação com atenção: eles cobrem segurança em runtime — o que acontece enquanto o agente está vivo. Não cobrem descomissionamento nem limpeza de credenciais. O toolkit ajuda a vigiar o agente. Não ajuda a enterrar.

Hillary Baron, AVP de Pesquisa da CSA, resumiu em 21 de abril: "A segurança e governança de agentes de IA abrangem um sistema interconectado que envolve visibilidade, gestão do ciclo de vida, políticas e monitoramento." Traduzindo: você precisa ver cada agente, gerenciar toda a vida dele do nascimento à morte, definir regras e vigiar tudo. Empresas atualmente fazem aproximadamente nada disso.

Você já passou por isso antes

Offboarding de funcionário — o processo formal de revogar acesso quando alguém sai da empresa — levou cerca de 20 anos para as empresas codificarem em padrões como SCIM (um protocolo para gerenciar contas de usuário automaticamente entre serviços) e provisionamento JML (Joiners, Movers, Leavers — o fluxo de trabalho do RH para TI). Vinte anos, e a maioria das empresas ainda erra.

Offboarding de agentes está no dia zero. Mas empresas deployam agentes mais rápido do que jamais contrataram humanos. A pesquisa da CSA encontrou 51% de shadow agents — agentes que ninguém aprovou oficialmente — surgindo de automação e scripting internos. Seus desenvolvedores sobem agentes do mesmo jeito que subiam instâncias EC2 em 2012: rápido, barato e sem pensar em quem vai limpar a bagunça.

A plataforma que entregar gestão de ciclo de vida de agentes — um fluxo completo de deploy até descomissionamento com cascata de credenciais, purge de memória e notificação de dependências — ganha o procurement enterprise. Até lá, todo agente aposentado é uma porta que você esqueceu de trancar. E você tem um monte de portas.