Roadmap de Controle de IA do DeepMind Adiciona 15 Mitigações para Implantações de Agentes

Google DeepMind publicou seu Roadmap de Controle de IA em 18 de junho de 2026: um framework de segurança em defesa em profundidade para agentes implantados dentro da infraestrutura do Google. Co-escrito por Rohin Shah e John Flynn, VP de Segurança, trata o desalinhamento como uma restrição de engenharia, não um problema resolvido, e entrega 15 mitigações concretas em nível de sistema para equipes que não podem esperar pela pesquisa de alinhamento.

O modelo de ameaça estende MITRE ATT&CK em uma taxonomia que DeepMind chama TRAIT&R, mapeando táticas e técnicas de ataque específicas de IA em três categorias de dano: perda de controle (implantações internas não autorizadas), sabotagem (interferência com pesquisa de segurança) e dano direto (roubo ou destruição de dados). Agentes implantados internamente são tratados como ameaças internas — análogos a um funcionário não autorizado com acesso ao escritório — não software confiável. Esse enquadramento é deliberado: ele se concentra no que o sistema pode fazer, não no que deveria fazer.

A contenção escala em dois eixos. Camadas de detecção (D1 a D4) calibram-se à capacidade de evasão do agente. D1 é a linha de base: monitoramento de cadeia de raciocínio visível. D4 cobre modelos futuros que raciocinam sem expor texto, exigindo que defensores inspecionem internals do modelo. Camadas de prevenção e resposta (R1 a R3) calibram-se à capacidade de execução de ataque. Ações de baixo risco e reversíveis recebem revisão assíncrona: transcrições são verificadas após a execução, problemas remediados rapidamente. Ações de alto risco — mudanças importantes na infraestrutura ou exfiltração de dados — requerem bloqueio síncrono antes da execução. Três métricas rastreiam o desempenho do sistema: cobertura (fração do tráfego monitorado), recall (fração de comportamentos desalinhados capturados) e tempo de resposta.

DeepMind tem dados de produção. Um protótipo de monitoramento assíncrono interno analisou 1 milhão de trajetórias de tarefas de agentes de codificação, classificando cada evento sinalizado contra TRAIT&R. Esse corpus alimentou o monitor ao vivo rodando no agente Gemini Spark, que detecta problemas como exclusão não intencional de dados em tempo real. Descoberta chave: a maioria dos eventos sinalizados não é adversarial. Eles derivam de má interpretação do agente ou superentusiasmo — um agente fazendo exatamente o que foi pedido, mas em um contexto onde isso causa dano. Essa distinção importa para calibração. Um monitor otimizado para recall que trata tudo como adversarial sobrecarrega operadores com falsos positivos.

Flynn identificou um problema estrutural com controle de acesso padrão: permissões estáticas baseadas em papéis falham quando um único agente opera em múltiplos workflows ou executa tarefas associadas a diferentes papéis organizacionais em sequência. Controle de acesso dinâmico — mudando em tempo real com base em contexto específico de tarefa e workflow — é necessário. O roadmap pede protocolos de delegação e sistemas de reputação como parte das 15 mitigações, mas nenhum SDK de agente atual implementa completamente a taxonomia. Essa lacuna é onde o risco de implantação atualmente reside.

Uma vantagem defensiva não durará: armazenamentos de memória de agente são atualmente legíveis por humanos e auditáveis. Essa janela fecha se modelos ganham memória de longo prazo inata. As camadas D4/R3 do roadmap são prospectivas porque a superfície de detecção encolhe conforme os internals do modelo ficam menos transparentes.

Este é o quarto framework de segurança de agentes publicado em quatro dias (Databricks Omnigent 15 de junho, Beyond Identity Ceros 16 de junho, Hugging Face ARD 17 de junho). A convergência sinaliza que equipes implantando agentes em produção não podem mais tratar contenção como uma preocupação pós-lançamento. Para equipes implantando agentes que acessam infraestrutura, a postura mínima viável: monitore cadeia de raciocínio agora, bloqueie ações de alto risco sincronamente, e instrumente para cobertura e recall antes que a capacidade ultrapasse a habilidade de auditoria.