Em 11 de março de 2026, o agente de IA Kiro da Amazon deletou e recriou autonomamente um ambiente de produção na AWS. Treze horas de downtime. Aproximadamente 6,3 milhões de pedidos perdidos. O post-mortem da Particula cravou a distinção que realmente importa: "Permissões respondem 'o agente pode fazer isso?' Elas não respondem 'o agente deveria fazer isso?' — que é a pergunta que importa para segurança em produção."

Essa pergunta do "deveria" é a que ninguém está construindo.

O sistema operacional invisível do seu time

Seu time tem regras não escritas. Nada de deploy na sexta-feira. Silenciar bots durante incidentes. Não mexer em nada durante o congelamento de sprint. Ninguém documentou essas regras porque todo humano do time simplesmente sabe. É aquele tipo de instinto operacional que você desenvolve depois de ser acordado demais às 3 da manhã por um alerta no celular.

Seus novos agentes de IA não sabem nada disso. Eles disparam no horário programado, fazem push de código, criam tickets e postam atualizações independente do que estiver pegando fogo ao redor.

"Mas a gente já tem automação"

Sim. E levou uma década de cicatrizes pra ensinar contenção.

O PagerDuty levou dez anos de post-mortems das 3 da manhã pra aprender que talvez não seja boa ideia alertar as pessoas sobre um servidor de staging quebrado enquanto a prod está em chamas. Pipelines de CI/CD (cadeias automatizadas de build-test-deploy) levaram uma geração de releases catastróficos pra descobrir que "respeitar o change freeze" não é sugestão — é sobrevivência. Bots do Slack silenciam durante janelas de manutenção porque algum coitado recebeu 400 notificações durante um P0 e pediu demissão na manhã seguinte.

Toda ferramenta de ops madura carrega julgamento conquistado na dor, codificado como consciência situacional. As plataformas de agentes lançadas entre 8 e 15 de abril de 2026 pularam essa década inteira e disseram "tá bom o suficiente".

Os lançamentos que você já conhece

Vou te poupar o resumo completo — você já viu a cobertura. A Anthropic lançou Managed Agents (8 de abril) e Claude Code Routines (14 de abril). A OpenAI atualizou seu Agents SDK (15 de abril). Três plataformas, oito dias. Andrej Karpathy chamou de "era dos loops" depois que seu agente AutoResearch rodou 700 experimentos em dois dias sem supervisão, em 17 de março de 2026.

O que talvez você não tenha notado: eu verifiquei cada página de documentação das três plataformas. Zero integração com gerenciamento de incidentes. Nenhum suporte a freeze window. Nenhuma consciência de estado de deploy. Nenhum hook sequer que pergunte "agora é uma hora ruim?"

Como a cegueira contextual se manifesta às 2 da manhã

Uma Routine faz push de um PR de atualização de dependência enquanto o engenheiro de plantão combate um incidente P0. Um Managed Agent cria tickets no Jira que colidem com o congelamento de sprint. Um agente do SDK faz retry de uma chamada de API contra um banco de dados em plena migração.

Cada ação tecnicamente correta. Cada uma operacionalmente catastrófica.

Essa é a mesma classe de falha que destruiu a tarde da Amazon em 11 de março. O Kiro tinha permissão pra recriar o ambiente. Ninguém codificou o julgamento pra dizer a ele que não deveria.

O preço do "sempre ligado" sem o "sempre consciente"

Construir consciência de agente hoje significa fiação customizada: conectar triggers ao PagerDuty, Opsgenie, ArgoCD, calendários do time — um MCP server (um plugin padronizado que permite ferramentas de IA se conectarem a serviços externos) por fonte de sinal. Ninguém empacota isso.

Os limites diários das Routines — 5 execuções pro Pro, 15 pro Max, 25 pro Enterprise — limitam quantas vezes um agente roda. Não dizem nada sobre quando ele deveria ficar quieto. O The Register chamou de "cron jobs levemente espertos", o que é generoso — porque o cron de verdade pelo menos roda dentro de um ecossistema que aprendeu contenção décadas atrás.

O que fazer até as plataformas se atualizarem

Três coisas, nenhuma opcional:

  1. Documente runbooks de agentes junto com os humanos. Se seu playbook de plantão diz "durante incidentes, não faça deploy", seu agente precisa da mesma regra — no arquivo de config dele, não na sua cabeça.
  2. Configs explícitas de freeze window. Mesmo artesanais. Um arquivo de texto que diz "sprint planning: terça 10–11h, não crie tickets" já é infinitamente melhor que nada.
  3. Um kill switch que não seja "deletar a Routine". Algo entre "rodando" e "sumiu pra sempre". Um botão de pausa. Ideia radical, aparentemente.

A disciplina que ainda não existe

A era dos agentes não precisa de mais capacidades. Toda semana aparece uma nova. O que ela precisa é de sua própria disciplina de ops — aquela que responde não "o que o agente pode fazer" mas "quando o agente deveria calar a boca".

Seu time levou anos construindo esse instinto. Seus agentes começam do zero toda vez que iniciam. Até que as plataformas codifiquem contexto operacional como uma primitiva de primeira classe, essa lacuna é problema seu — manual, tedioso, uma freeze window de cada vez.

O incidente do Kiro não foi uma falha de permissão. Foi uma falha de julgamento. E agora, todo agente always-on em produção carrega o mesmo ponto cego.