Voltar para o Blog
Laptop com texto Cyber Security em destaque, simbolizando segurança de agentes de IA
Segurança em IA

Perplexity detalha a segurança do agente de IA Computer

Entenda como a Perplexity desenhou camadas de defesa para o Computer, o agente de IA multi-modelos, com isolamento forte, auditoria e salvaguardas para uso corporativo e pessoal

Danilo Gato

Danilo Gato

Autor

14 de maio de 2026
9 min de leitura

Introdução

Segurança do agente de IA Computer é o ponto que define a adoção em escala. O anúncio e as análises mais recentes mostram que a Perplexity estruturou o Computer com camadas de proteção para executar tarefas complexas, coordenando vários modelos, sem abrir mão de isolamento e controle de risco.

O tema ganhou relevância porque agentes agora pesquisam, codificam, usam ferramentas e automatizam fluxos, o que amplia a superfície de ataque, principalmente com injeções de prompt, acesso a sites e execução de código. A própria Perplexity vem publicando pesquisas e iniciativas dedicadas a segurança de agentes, incluindo um benchmark de ameaças reais e diretrizes para defesa.

Este guia reúne o que está público sobre a arquitetura de segurança do Computer, como isso conversa com padrões do mercado, quais pontos críticos merecem atenção e como equipes técnicas podem aplicar boas práticas em projetos com agentes.

O que é o Computer e por que segurança virou requisito básico

O Computer foi lançado como um orquestrador de agentes e modelos, capaz de pesquisar, criar, codificar e trabalhar de forma autônoma em fluxos com múltiplas etapas e entregáveis. O produto mira desde criadores individuais até departamentos corporativos, com versões pessoal e enterprise. Esse posicionamento exige uma arquitetura que trate privacidade, rastreabilidade e contenção de incidentes como atributos nativos.

Relatos da imprensa especializada destacaram salvaguardas como kill switch para desligamento imediato de sessões e trilhas de auditoria para inspeção posterior, recursos que ajudam a conter comportamentos indesejados e a criar accountability operacional. Embora a experiência de uso ainda esteja evoluindo, a mensagem é clara, segurança deixou de ser opcional em agentes com autonomia ampliada.

No ambiente corporativo, a Perplexity posiciona o Computer como alternativa a pilhas tradicionais de software e a outros agentes. Nessa conversa, isolamento de execução, opções de retenção zero, logs e conformidade aparecem como argumentos centrais para avaliação de risco por parte de segurança da informação.

Os pilares técnicos, isolamento, políticas e visibilidade

  • Isolamento de execução. O mercado converge para microVMs como Firecracker quando a exigência é fronteira de segurança baseada em hardware, diferente de contêineres que compartilham kernel. A literatura técnica e a documentação pública indicam que Firecracker, usado amplamente em serviços serverless, reduz a superfície de ataque com um modelo de dispositivos mínimo e inicialização rápida, equilibrando performance e segurança.
  • Políticas de permissão e minimização de privilégios. Referências atuais para agentes, como as diretrizes divulgadas por grandes provedores, recomendam segmentar capacidades por tarefa e aplicar controles de rede, storage e ferramentas de forma granular. Isso impede que um desvio em uma etapa escale lateralmente para outros recursos.
  • Observabilidade e auditoria. Trilhas de auditoria completas, registro de decisões do agente e de chamadas de ferramentas funcionam como caixa-preta para investigações, sustentam controles SOX, GDPR e requisitos internos e permitem melhorar políticas com base em dados. A imprensa citou esse ponto explicitamente no contexto do Computer.
  • Kill switch e limiares de interrupção. Políticas que interrompem sessões quando ocorre desvio de escopo, comportamento anômalo ou sinais de exfiltração reduzem impacto em incidentes e facilitam resposta. No caso do Computer, o kill switch foi mencionado como salvaguarda nativa.

Esses pilares aparecem alinhados às recomendações que a própria Perplexity encaminhou no debate regulatório e acadêmico sobre segurança de agentes, incluindo lacunas de padronização e a importância de benchmarks adaptativos.

![Diagrama de virtualização, base para entender isolamento por microVM]

A ameaça prática, injeção de prompt e uso seguro do navegador do agente

Quando agentes navegam na web e executam ações por conta do usuário, ataques clássicos da web ganham novas formas. A pesquisa BrowseSafe, publicada por pesquisadores da Perplexity, descreve um benchmark com milhares de cenários reais de ataque e um modelo de detecção para agentes que interagem com a web. A conclusão é direta, defesa eficaz precisa combinar avaliação do conteúdo, isolamento forte e políticas de delegação.

Casos públicos também lembram que produtos de navegação com IA podem falhar em premissas básicas, o que reforça a importância de defesa em profundidade. Matérias investigativas sobre navegadores com recursos de IA em estágio inicial apontaram riscos técnicos e escolhas de implementação frágeis. O ponto não é desqualificar a categoria, e sim reconhecer que controles independentes são necessários, por exemplo sandboxing com microVMs, restrições de rede, validação de instruções e auditoria.

Para quem integra agentes com navegação, três práticas funcionam como rede de segurança, inspeção de DOM para instruções invisíveis ao usuário, desambiguação de intenções antes de executar ações com efeito colateral e mediadores que transformam páginas em representações seguras, retirando scripts, iframes e links não confiáveis. Benchmarks como o BrowseSafe aceleram testes de regressão para esse tipo de ameaça.

Tendências do setor, microVM como padrão de fato e lições de incidentes

A discussão sobre microVMs saiu do nicho. Documentos e blogs de segurança de grandes provedores descrevem princípios para agentes que incluem isolamento por microVM via Firecracker, segmentação de privilégios e monitoração contínua. Em paralelo, pesquisas acadêmicas analisam a superfície microarquitetural desse VMM e suas implicações de segurança em plataformas serverless. A mensagem para times técnicos é pragmática, reduzir a superfície, medir deriva e tratar a rede como limite de confiança explicitamente.

Também surgem relatos sobre falhas e bypasses em ambientes de agente no mercado, como vulnerabilidades que romperam isolamento de rede em sandboxes de agentes, levando a canais encobertos e exposição de credenciais. Ainda que correções aconteçam, o aprendizado é claro, camadas de defesa precisam incluir egress filtering, segmentação e detecção de anomalias, além de revisão contínua de imagens e políticas.

Nos fóruns técnicos, debates práticos comparam contêineres, gVisor e microVMs. O consenso que emerge é que contêiner não é fronteira de segurança suficiente quando há código não confiável, e que gVisor melhora o cenário, porém sem o mesmo limite de hardware, enquanto microVMs entregam isolamento mais forte com sobrecusto gerenciável. Esse tipo de troca operacional ajuda a calibrar decisões de arquitetura para agentes.

Computer na empresa, requisitos de conformidade e governança

A cobertura de imprensa do lançamento corporativo do Computer indica uma ênfase em controles esperados por times de risco, como auditoria, opções de retenção de dados e segregação de ambientes, além de alinhamento com certificações relevantes para adoção empresarial. Para gestores, isso significa reduzir o ciclo de due diligence e facilitar avaliações TPRM.

Governança em agentes começa pelo catálogo de capacidades. Definir o que o Computer pode ou não fazer em cada espaço de trabalho, quais ferramentas externas são permitidas, quais dados sensíveis entram no escopo e quais limites de rede valem para cada fluxo. Em ambientes críticos, aplicar PEPs, como proxies de egress com regras finas, bloqueio de domínios, inspeção TLS e credenciais dinâmicas de curta duração. Diretrizes setoriais recentes reforçam exatamente essa visão de engenharia de risco.

Outro ponto recorrente é a transparência operacional. Trilhas de auditoria tornam cada ação rastreável, desde prompts até chamadas de ferramentas e arquivos manipulados. Em combinação com um kill switch e limites de orçamento por tarefa, a exposição a perdas operacionais e fraudes reduz de forma substancial.

![Imagem conceitual, foco em cibersegurança aplicada a agentes]

Boas práticas para times técnicos, como aplicar as lições do Computer

  • Escolha do ambiente de execução. Para fluxos que envolvem código gerado automaticamente, preferir microVMs com fronteira de hardware, como o modelo popularizado pelo Firecracker, em vez de contêineres padrão. Documentação e análises explicam por que isso reduz a superfície de ataque do host.
  • Segmentação por tarefa. Dividir o trabalho do agente em etapas com permissões distintas, por exemplo leitura web sem gravação local, transformação de dados em ambiente isolado, escrita apenas em diretórios temporários aprovados, egress restrito por domínio. Diretrizes do setor para agentes recomendam essa abordagem.
  • Testes de segurança contínuos. Adotar benchmarks de injeção de prompt e navegação adversária, como o BrowseSafe, em pipelines de QA para agentes, com métricas de bloqueio e de detecção.
  • Observabilidade e auditoria. Padronizar logging detalhado de prompts, raciocínios redigidos, chamadas de ferramentas e diffs de arquivos. Isso acelera resposta a incidentes e dá material para refinar políticas e treinamentos. A imprensa cita esse pilar no caso do Computer.
  • Limites de custo e tempo. Usar orçamentos, quotas e timeouts por tarefa, combinados ao kill switch. Esses limites previnem loops dispendiosos e uso indevido prolongado em caso de comprometimento.

Perspectivas e debates abertos

A Perplexity articulou princípios para segurança de agentes em resposta a consultas de órgãos e na literatura, mapeando lacunas de padronização, inclusive modelos de privilégio, benchmarks adaptativos e diretrizes para sistemas multiagentes. Esse tipo de contribuição ajuda a orientar roadmaps de produto e regulações futuras.

O mercado também discute trade-offs. MicroVMs elevam custo de gestão e latência inicial, o que pede engenharia cuidadosa, por exemplo uso de snapshots, pools quentes e escalonamento inteligente. Em troca, a barreira contra escaladas hostil aumenta de forma relevante para cargas com código não confiável. Documentação técnica e relatos da comunidade ilustram bem essas escolhas.

Por fim, a segurança de agentes não vive só de sandbox. Validação semântica, verificação de intenções, políticas de dados, UX de consentimento e comunicação clara com o usuário definem a eficácia real em produção. Benchmarks, auditoria e kill switch ajudam, porém é a combinação de pessoas, processos e tecnologia que sustenta resiliência de ponta a ponta.

Conclusão

A arquitetura do Computer prioriza isolamento, governança e observabilidade, pilares que dialogam com as melhores práticas vistas no setor. Em um cenário onde agentes navegam, executam código e integram ferramentas, esse conjunto de escolhas técnicas e operacionais serve como referência útil para quem projeta fluxos similares.

Para equipes que avaliam adoção, o caminho prático passa por traduzir esses princípios para o próprio contexto, segmentar capacidades, registrar tudo, testar adversarialmente e tratar a rede e os dados com limites explícitos. O resultado é uma linha do tempo mais segura para colocar agentes em produção, com menos surpresas e mais controle de risco.

Tags

PerplexityAgentes de IAArquitetura de segurança