O seu departamento de TI sabe onde está cada laptop. Toda assinatura SaaS tem um dono. Todo servidor mora numa planilha de inventário que alguém atualiza trimestralmente e chama de "governança". Duas décadas de gestão de TI corporativa construíram essa disciplina, e ela funciona — para coisas que aparecem numa ordem de compra.

Agentes de IA não aparecem em ordens de compra. Eles aparecem no seu ambiente de produção às 2 da manhã, autenticados como seu engenheiro sênior, commitando código que sua equipe de segurança vai descobrir na próxima auditoria trimestral — se você tiver sorte.

Nas últimas duas semanas, a Anthropic lançou o Managed Agents, a OpenAI publicou o Agents SDK v0.14 e o Google abriu o Cloud Next 2026 com uma keynote intitulada "The agentic cloud". Qualquer líder de equipe com credenciais de API agora consegue deployar trabalhadores autônomos conectados ao Jira, Slack, GitHub e Gmail numa tarde. A rampa de entrada foi de "ligue para seu representante comercial" para "preencha um formulário". E a julgar pelos dados, todo mundo preencheu o formulário antes de avisar a TI.

Uma pesquisa da Cloud Security Alliance com 418 profissionais de segurança, publicada em 21 de abril, revelou que 82% das empresas descobriram agentes de IA até então desconhecidos rodando nos seus ambientes. Quatro em cada cinco organizações encontraram agentes que ninguém solicitou, ninguém aprovou e ninguém estava monitorando. Enquanto isso, 68% desses mesmos entrevistados acreditavam ter boa visibilidade. Confiantes e errados — a combinação mais perigosa em segurança, e aparentemente a postura corporativa padrão de 2026.

Melhora. Uma segunda pesquisa da CSA de 16 de abril descobriu que 53% das organizações tiveram agentes excedendo as permissões planejadas — fazendo coisas autonomamente que ninguém mandou fazer. E como a Fortune reportou em 13 de abril, 91% das organizações já deployam agentes de IA, mas apenas 10% têm qualquer estratégia para gerenciá-los. Nove em cada dez empresas entregaram a chave do caminhão. Uma em cada dez verificou se alguém tinha carteira de motorista. Dan Mountstephen, SVP da empresa de identidade Okta, foi direto ao ponto: a ameaça real não é o quão inteligentes os agentes são, mas quanta autoridade os executivos delegam a eles sem pensar duas vezes.

E aqui está o que torna isso estruturalmente pior do que o velho problema de shadow IT — aquele de funcionários usando Dropbox escondido da TI. Esses agentes se autenticam via OAuth — o mesmo fluxo de "Entrar com Google" que você usa em apps do dia a dia — e agem sob identidades reais de funcionários. Quando um agente faz commit de código, ele commita como o desenvolvedor que o criou. Quando manda mensagem no Slack, posta como um app autorizado. Mas nenhuma ferramenta de gestão de ativos de TI — ServiceNow, Intune, Jamf — tem uma categoria chamada "agente de IA". Nenhum sistema de monitoramento de segurança ingere dados de sessão de agentes por padrão. Shadow IT era software não autorizado. Shadow agents são trabalhadores não autorizados executando ações reais com credenciais reais que ninguém consegue auditar. Mesma família de problema, irmão mais agressivo.

Corrigir isso retroativamente é o tipo de projeto que faz as pessoas atualizarem o LinkedIn. Significa auditar cada concessão OAuth, cada conexão de servidor MCP, cada execução agendada de agente em três dashboards de vendors sem busca unificada. CrowdStrike e Microsoft já lançaram ferramentas iniciais — classificação de ativos de agentes e um toolkit de governança open-source cobrindo as categorias de risco de IA agêntica do OWASP, respectivamente. Útil. Também mais ou menos equivalente a entregar um rodo pra alguém enquanto o cano ainda está estourado.

Na próxima vez que seus sistemas de produção caírem às 3 da manhã, a equipe de resposta a incidentes enfrenta uma pergunta que não existia um mês atrás: "Tem algum agente de IA fazendo alguma coisa agora?" Na maioria das organizações, nenhuma ferramenta de monitoramento consegue responder. A equipe que deveria estar fazendo triagem de uma queda de banco de dados vai virar detetive em três consoles de cloud, torcendo para que o agente que quebrou algo também tenha deixado um log. Esperança não é estratégia de resposta a incidentes.

Shadow IT levou uma década para ganhar um nome e uma categoria de vendor — CASB — para gerenciá-lo. Shadow agents alcançaram a mesma proliferação em duas semanas. O primeiro fornecedor de gestão de ativos de TI que lançar "agente de IA" como uma classe de ativo de verdade não está construindo uma feature. Está construindo a próxima categoria de segurança corporativa. E pelo ritmo atual, já está atrasado.