InfoCuesta AI Security Check

Biblioteca de Boas Práticas

Riscos e controles resumidos a partir de MITRE ATLAS, OWASP LLM Top 10, OWASP LLMSVS e boas práticas próprias da Infocuesta Sec.

Riscos

Crítico Ação Autônoma sem Validação Humana

Categoria: Segurança

A IA executa ações reais (enviar mensagem, gastar dinheiro, alterar dados) sem que uma pessoa aprove antes.

Exemplo: Um agente de compras autônomo finaliza um pedido errado sem confirmação humana.

Dica prática: Exija aprovação humana para ações críticas e defina limites claros do que a IA pode fazer sozinha.

Fonte: OWASP Top 10 para LLMs / GenAI

Alto Excesso de Permissões em Agente (Excessive Agency)

Categoria: Segurança

Um agente de IA tem acesso a mais ferramentas, dados ou permissões do que realmente precisa para sua função.

Exemplo: Um agente de suporte ao cliente tem permissão para apagar registros do banco de dados, embora só precise consultar.

Dica prática: Aplique o princípio do menor privilégio: dê ao agente apenas as permissões estritamente necessárias.

Fonte: OWASP Top 10 para LLMs / GenAI

Controles

  • Validação Humana antes de Ações Críticas — Toda ação de alto impacto executada por um agente de IA passa por aprovação humana antes de acontecer de verdade.