← Voltar a todos os artigos
Desafios

(3/3) Como eu daria a cada agente de IA uma identidade responsável e privada

Por Marc Molas·25 de junho de 2026·8 min de leitura

Os dois primeiros posts desta série terminaram no mesmo nó. Os agentes partem a stack de identidade porque já não há um humano ao teclado, e a melhor investigação que existe sobre o problema dá nome à parte mais difícil e deixa-a por resolver: para tornar um agente responsável, atas-lhe uma identidade real, e no instante em que o fazes construíste vigilância. Responsabilização ou privacidade. Escolhe uma.

Não me parece que isto seja uma lei da natureza. Parece-me, sim, que andamos a pegar no problema pelo lado errado. Com este post quero dar-te uma ideia, a alto nível, de como eu o viraria do avesso — e um esboço, também a alto nível, da abordagem em que ando de facto a trabalhar nos últimos dias.

Quero ser honesto, já à partida, sobre o que isto é, porque a retórica nesta área aquece depressa. Trata-se de um conceito em que confio, não de uma coisa acabada. Há partes que tocam terreno regulado — guardar dinheiro em nome de outra pessoa não é algo que se despache com um gesto de mão — e vou assinalar os limites à medida que avanço, e não no fim. A credibilidade em identidade não se ganha com afirmações vazias.

O erro é estarmos sequer a atar a identidade ao agente

Eis o gesto que toda a gente faz, porque é o óbvio. Tens um agente. Queres que seja responsável. Por isso atas-lhe uma identidade real e conhecida ao próprio agente — cada acção que executa remonta a um humano com nome. O buraco negro fecha-se. E, ao fechá-lo, crias uma ligação permanente e consultável entre uma pessoa e tudo o que a sua frota de agentes faz, o dia inteiro, em cada serviço. Resolveste a responsabilização gastando privacidade, e gastaste-a por agente, para sempre.

Agora inverte. Faz a verificação uma só vez, sobre o humano — e deixa que apenas o facto dessa verificação flua para cada agente que ele implante, nunca a identidade que está por trás.

No KYC clássico, identificas-te perante a parte com quem estás a lidar. Na versão invertida, um humano faz KYC uma única vez com um emissor e, a partir daí, cunha tantas credenciais de agente quantas quiser — uma por agente —, cada uma capaz de provar uma afirmação e nada mais: «Sou operado por um humano real, verificado por KYC e responsabilizável, com grau de verificação ≥ G, a agir dentro do âmbito S, e não estou revogado.» Não qual humano. Apenas que existe um, que é real e responsabilizável, e que responde por este agente. O agente prova que tem alguém por trás. Nunca prova identidade, porque nunca a detém.

O conhecimento zero é a dobradiça para que o paper apontou

É exactamente esta a porta que o paper da OpenID assinalou e não atravessou: divulgação selectiva com provas de conhecimento zero e credenciais anónimas, «um caminho em frente». Toda a abordagem vive ou morre na capacidade de tornar isto concreto.

O agente apresenta uma prova criptográfica curta que responde só aos predicados de que uma contraparte realmente precisa — com humano por trás: sim; verificado no grau A2 ou superior: sim; autorizado a iniciar pagamentos: sim; activo e não revogado: sim — e nada mais revela. Nenhum nome. Nenhum documento. Nenhuma ligação entre dois agentes que a mesma pessoa opera, de modo que uma contraparte não possa, em silêncio, correlacionar uma frota inteira de volta a um perfil. A verificação que o humano fez uma só vez é reutilizável por todos os seus agentes e ilegível para todos os serviços com que esses agentes falam.

São três as propriedades que mantêm isto de pé, e eu trataria-as como invariantes — as coisas que nunca te é permitido quebrar por conveniência:

  • Que há alguém por trás é demonstrável; a identidade não. Um verificador consegue confirmar que existe um humano real e responsabilizável por trás do agente, mas não consegue saber quem é.
  • Os agentes de um mesmo operador são impossíveis de ligar entre si. Dois agentes do mesmo titular não podem ser atados um ao outro por quem lida com eles.
  • O único fio que regressa à pessoa vive em escrow, e só se abre sob o devido processo legal. Não num token, não num canal, não num registo que uma fuga de dados possa despejar.

Responsabilização que se cobra, e não só que se prova

Provar que existe um humano responsabilizável é necessário e, por si só, não chega para comércio a sério. Aprendi-o a ver como os litígios se resolvem de facto: uma contraparte lesada não quer um nome meses depois de um processo judicial transfronteiriço. Quer o seu dinheiro de volta, depressa. Uma responsabilização que é demonstrável mas não cobrável não desbloqueia nada de alto valor.

Por isso, o respaldo tem de estar financiado. A par da prova de humano-verificado, um agente pode transportar a prova de que há por trás de si um montante de recurso real e limitado — capital que o titular depositou, demonstrável por escalões («há pelo menos esta quantia recuperável») sem nunca expor o saldo exacto nem a conta. Esta é a versão pré-financiada e preservadora da privacidade daquilo que o mercado já anda a tactear com os tokens de pagamento «Know Your Agent» — com a diferença de que aqui o dinheiro é real e o humano fica por expor.

Isto transforma a responsabilização numa escada, em vez de num único precipício. A maior parte dos litígios resolve-se no degrau de baixo: uma reclamação fundamentada é paga a partir do recurso depositado, segundo um processo publicado, o titular é debitado e notificado, e nenhuma identidade é revelada a ninguém. Só os casos genuínos de último recurso — dano para além dos fundos depositados, alegação de fraude, imposição legal — escalam até desmascarar de facto o humano, sob o devido processo. A responsabilização financiada acaba por proteger mais a pessoa, não menos, porque resolve os casos correntes com dinheiro em vez de com um nome.

Vou ser franco quanto às arestas duras, porque é esta a parte regulada. Guardar fundos de terceiros implica um custodiante licenciado e caucionado, contas segregadas, verificações de branqueamento de capitais sobre a origem dos fundos, e um tratamento honesto da reversibilidade — dinheiro depositado por um instrumento de pagamento corrente pode ser estornado durante meses, por isso o recurso que ele respalda não pode ser tratado como definitivo já no primeiro dia. Qualquer forma de baixo atrito de integrar um humano à pressa é, por definição, de baixa garantia, e tem de ser classificada como tal, e não maquilhada para parecer mais. Nada disto é razão para não se poder construir. É a razão pela qual tem de se construir com cuidado, com o enquadramento jurídico a par do protocolo e não a reboque dele.

Só funciona se ninguém for dono da raiz

Há uma restrição do segundo post que não vou ceder, porque é a que exclui o dinheiro fácil: isto não se pode tornar um jardim murado. A versão bem capitalizada desta ideia é um serviço centralizado de identidade de agentes que alugas a um único fornecedor, e, para uma economia de agentes aberta e entre organizações, isso é um beco sem saída. Uma contraparte noutra empresa, noutra stack, tem de conseguir verificar a prova sem telefonar à API privada do emissor e sem ter de confiar que uma só corporação não vai extrair renda, censurar nem sofrer uma fuga de dados.

Isso empurra a âncora de confiança para uma raiz neutra de que nenhuma das partes é dona — um sítio onde um verificador possa confirmar, contra o estado actual do emissor, que uma credencial é real e não está revogada, sem qualquer visibilidade sobre quem está por trás. Uma raiz neutra dá-te ainda duas coisas que o paper assinalou como por resolver: revogação rápida e global — um sinal de estado actualizado com frequência, para que uma credencial cancelada deixe de verificar em segundos, em todo o lado — e um botão de emergência por agente, para que um único agente comprometido possa ser eliminado sem derrubar o titular nem os seus irmãos.

A propriedade que faz isto escalar é quase aborrecida, e é a que mais importa: um agente é só mais um portador de credenciais. Não há nenhum registo por agente assente nalgum repositório central, à espera de ser enumerado, sofrer uma fuga ou inchar. A camada de confiança guarda um punhado de raízes de estado de emissores, renovadas em cadência curta; os agentes — e o dinheiro por trás deles — vivem à parte, demonstrados contra essas raízes, nunca inscritos nelas. É isto que permite ao desenho esticar-se até uma população de agentes maior do que a humana, sem a explosão de estado que mata toda e qualquer abordagem do tipo «regista cada agente num registo central».

O fio condutor

Tira-lhe a criptografia e a restrição é simples, e é a mesma à volta da qual ando desde o primeiro post: o agente é autónomo, mas a responsabilização não pode ser. Por trás de cada frota há um humano real e responsabilizável, e o jogo inteiro está em provar esse facto a quem precise dele e, ao mesmo tempo, não expor a pessoa a ninguém. Verifica o humano uma só vez. Deixa que a responsabilização — financiada, revogável e privada — viaje para tudo o que ele implante. Mantém o único fio que regressa à sua identidade trancado atrás do devido processo, onde uma fuga de dados não lhe chega e um vendedor de publicidade não o pode comprar.

Enquadrei toda esta série à volta da necessidade técnica de propósito, porque a necessidade é real quer a minha resposta concreta seja a certa quer não, e prefiro que julgues o problema antes de te mostrar a ferramenta. Essa parte vem a seguir, já fora desta série: ando a construir isto, não apenas a esboçá-lo, e em breve mostro-te o aspecto que tem de facto.

Se andas neste momento a braços com a identidade ou a responsabilização de agentes dentro dos teus próprios sistemas e queres um segundo par de olhos de quem constrói isto para viver, fala com um CTO. O mapa é difícil. É bastante menos difícil acompanhado.

Artigos Relacionados

(2/3) O melhor mapa que temos do problema da identidade agênticaDesafios

(2/3) O melhor mapa que temos do problema da identidade agêntica

O Identity Management for Agentic AI da OpenID Foundation é o levantamento mais honesto que li sobre identidade de agentes — claro sobre o que já funciona e ainda mais claro sobre o que ninguém resolveu. Uma leitura atenta, da cadeira de quem constrói.

23 de junho de 2026·9 min de leitura
(1/3) Já não há ninguém ao tecladoDesafios

(1/3) Já não há ninguém ao teclado

Todos os sistemas de identidade que construímos nas últimas três décadas dão como certo que há uma pessoa que inicia sessão, vê um ecrã de consentimento e carrega em «aceitar». Os agentes quebram esse pressuposto logo no primeiro dia, e levam com eles todo o modelo de responsabilização.

21 de junho de 2026·9 min de leitura
Agentes de IA em 2026: MCP, Limites de Memória e o Muro da InteroperabilidadeDesafios

Agentes de IA em 2026: MCP, Limites de Memória e o Muro da Interoperabilidade

A review 2026 de Stanford nomeia os quatro limites que constrangem os agentes em produção: memória, fiabilidade, interoperabilidade, eficiência. O MCP está a resolver um deles. Os outros três continuam a ser teu problema.

26 de abril de 2026·9 min de leitura

Pronto para construir a sua equipa de engenharia?

Fale com um parceiro técnico e implemente desenvolvedores validados por CTOs em 72 horas.

Começar →