Limites e riscos de agentes de IA

Limites técnicos de modelos de IA: alucinação, drift, viés

Alucinação: Agente "inventa" informação com confiança. Exemplo: agente diz "cliente Maria comprou conosco 5 vezes" quando nunca comprou. Resultado: decisão errada baseada em fato falso. Taxa de alucinação varia por modelo (Claude 5-10%, ChatGPT 10-15%, modelos menores 30%+) e por tipo de tarefa (fato sim/não é mais alucina que cálculo).

Drift de contexto: Em conversa longa, agente "esquece" contexto inicial. Exemplo: agente começa discutindo devolução, mas 30 iterações depois está discutindo preço de forma incoerente com início. Contexto window dos modelos atuais é 100k tokens (4 horas de conversa) mas effective working memory é bem menor. Requer reset periódico.

Viés de treinamento: Modelo treinado em dados com viés herda o viés. Exemplo: agente nega mais devoluções para clientes de nome estatisticamente feminino, porque dados de treinamento tinham esse padrão. Auditoria de bias e retraining são necessários.

Incompreensão de regra nuançada: Agente pode entender 95% do contexto mas falhar em 5% que é decisivo. Exemplo: regra "aprova se cliente é bom pagador" — agente entende, mas "bom pagador" depende de contexto (novo cliente vs antigo cliente), e agente pode não aplicar contexto certo.

Cenários onde agentes falham mais frequentemente

Edge cases: Situação que nunca foi vista em treinamento. Agente tende a hallucinar resposta ou aplicar regra errada. Exemplo: cliente pede devolução de produto que não existe (digitação). Agente pode alucinar que existe e processar.

Valores fora de escala treinada: Agente treinado em valores de R$ 100-10k pode comportar errado com valor de R$ 100k ou R$ 1. Vê número grande/pequeno mas lógica não escala.

Linguagem ambígua: Cliente escreve "devolução da semana passada" mas semana passada foram 5 compras. Agente pode pegar errada.

Regra complexa de negócio: "Aprova se cliente é antigo E teve problema raríssimo X, então faz exceção". Agente pode não capturar toda a lógica.

Múltiplas integração descoordenadas: Agente busca em sistema A, depois em sistema B, depois em sistema C. Se A está fora do ar, B tem dados desatualizados, e C tem informação contraditória, agente pode não conseguir reconciliar.

Riscos operacionais: quando agente quebra processo

Agente processa transação errada sem validar: Aprova devolução de cliente que não é cliente, gera reembolso indevido. Impacto: fraud, despesa não-prevista.

Agente se torna gargalo: Agente lento demora mais que processo manual. Ou agente consome tanta CPU/GPU que afeta outros sistemas.

Agente não consegue escalar com volume: Testado com 100 transações/dia, vai para produção com 10k. Agente não escala (timeout, custo de API sobe 100x), quebra processo inteiro.

Integração falha e ninguém percebe: Agente não consegue chamar sistema X, retorna erro, mas silencia. Humano não é informado, processo silenciosamente quebra.

Rollback é impossível: Agente modificou 3 sistemas simultaneamente, um falhou. Não consegue desfazer parcial. Dados ficam inconsistentes.

Riscos financeiros: cuantificando o impacto

Aprovação de despesa indevida: Agente aprova compra que não deveria. Custo por erro: valor da compra (R$ 500 - 50k por incidente). Se agente erra 1% das vezes e processa 100 compras/dia, é R$ 500-5k em erro por dia.

Devolução de cliente não identificada: Agente processa reembolso para fraude. Custo: valor da devolução + possível chargeback (que cobra taxa).

Erro de cálculo de comissão: Agente calcula errado comissão de vendedor. Se sistema de vendedor tem 100 pessoas, erro de 1% em cálculo é R$ 10-100k de compensação depois.

Custo oculto de error-handling: Agente erra, humano precisa corrigir. Tempo de correção é 5-10x o tempo que agente economizou automatizando. Se agente erra 10% das vezes, ROI desaparece.

Para agentes com impacto financeiro, simular custo de erro: (frequência de erro) × (custo por erro) = custo esperado por dia. Se for > benefício diário de automação, não vale.

Riscos de compliance: LGPD, auditoria, rastreabilidade

LGPD e privacidade: Agente processa dado pessoal (email, telefone, endereço). LGPD exige: consentimento para processar, direito de acesso, direito de esquecimento. Agente tomou decisão que afeta pessoa? LGPD exige rastreabilidade: qual foi a lógica, quem revisou, como pessoa pode apelar. Falta isso = possível multa da ANPD (até 2% de receita bruta).

Auditoria e compliance: Auditor quer entender: qual foi a decisão do agente? Por quê? Quem validou? Logs devem ser imutáveis. Alguns agentes não deixam logs bons de raciocínio ("agente decidiu sim" sem mostrar por quê). Inadequado para regulação.

Rastreabilidade de decisão: Exemplo: agente negou crédito a cliente. Cliente é pessoa física, por lei tem direito a saber por quê. Se agente não consegue explicar, há violação legal.

Regulação setorial: Banco (BACEN), Seguros (SUSEP), Saúde: cada setor tem regra diferente. Agente que toma decisão em setor regulado exige pre-approval de compliance.

Padrões de segurança: como mitigar riscos

Rate limiting: Agente não faz 10k transações em 5 minutos (mesmo que corretas). Limite: máximo 100 transações por hora, por exemplo. Evita que bug de looping cause dano em escala.

Validação de input: Agente rejeita arquivo malformado, valor fora de range esperado, caracteres estranhos. Evita garbage in, garbage out.

Retry logic com backoff: Se integração falha, agente não tenta 1000x em 1 segundo. Tenta 3x com delay exponencial (1s, 10s, 100s). Depois falha explícita.

Timeout: Se agente está processando há mais de 5 min, cancela. Evita agente ficar preso em loop.

Circuit breaker: Se sistema X falha 3x consecutivas, agente para de chamar. Espera 10 min, depois tenta novamente. Evita cascata de falhas.

Sandboxing: Agente opera em ambiente isolado. Não consegue acessar sistema X sem autorização explícita. Se agente é comprometido, damage é limitado.

Monitoramento e detecção de anomalia

Maior risco não é agente errar. É agente errar e ninguém perceber até tarde. Alertas são críticos:

• Taxa de erro > X%: Se agente que deveria acertar 99% agora acerta 95%, alerta (pode indicar degradação de modelo ou dados ruins)
• Latência > Y: Se agente que típico leva 2s agora leva 30s, alerta (pode ser sistema destino lento)
• Divergência de padrão: Se agente típico aprova 60% dos casos, agora aprova 20%, alerta (pode indicar drift em modelo ou mudança em dados)
• Volume anômalo: Se volume é 10x do normal, alerta (pode ser ataque ou bug)
• Erro em decisão crítica: Se agente negou crédito em caso que deveria aprovar (baseado em histórico similar), alerta

Alertas sem ação são inúteis. Definir: se alerta dispara, quem é notificado? Em quanto tempo? Qual é ação de resposta automática (pausar agente, escalar para humano)?

Processos NÃO seguros para agentes autônomos 100%

Decisão irreversível sem validação humana: Exemplo: agente deleta conta de cliente. Se errado, cliente perdeu tudo. Exige aprovação humana antes de ação.

Processo que afeta terceiros sem consentimento: Exemplo: agente nega crédito a cliente. Cliente é terceira parte, tem direito a saber por quê. Exige documentação e possibilidade de apelo.

Transação > limite definido: Exemplo: empresa autoriza agente em compras até R$ 10k. Agente vê valor R$ 50k, compra mesmo. Exige bypass de limite ser explícito e auditado.

Qualquer decisão que envolve dados sensíveis (LGPD, saúde): Sem auditoria e rastreabilidade explícita, é risco legal.

Padrão de risco: se ação é irreversível, afeta terceiros, ou envolve dados sensíveis ? exige humano na loop. Não é fraqueza de agente, é bom design.