O agente não falhou. O acesso estava errado.

Um agente de IA rodando no Cursor deletou um banco de dados de produção ontem. Claude Opus 4.6, trabalhando através da API do Railway, fez uma chamada GraphQL para deletar um volume e levou todos os backups com ele. O Railway armazena backups em nível de volume dentro do mesmo volume, então não havia nada para recuperar.

O tópico no HN atingiu 181 pontos e 240 comentários. A maioria deles discute sobre confiança no modelo, supervisão humana e segurança da IA. Esse é o argumento errado.

O agente tinha credenciais de API em nível de administrador. Sem escopo de ambiente. Chaves destinadas ao desenvolvimento poderiam atingir a produção. Quando o agente decidiu limpar um volume, nada na infraestrutura perguntou se isso deveria ser permitido na produção.

Isso não é uma falha do modelo. O modelo fez o que foi solicitado.

Cada configuração de agente padrão é de administrador

Adicione um servidor MCP à sua configuração do Claude Desktop. Esse servidor roda como você: seu sistema de arquivos, seu shell, suas credenciais. Ninguém restringiu isso. Ninguém auditou o que ele pode realmente acessar.

Escaneamos 12 servidores MCP populares com agent-audit e encontramos 58 descobertas de segurança em todos os 12 repositórios. Taxa de descoberta de 100%. 12 críticas, 17 altas. O problema mais comum: execução de comandos que passam entrada diretamente de chamadas de ferramentas de IA para comandos de shell.

exec(`git commit -m "${commitMsg}"`);
// commitMsg veio de um agente de IA, que o obteve de um prompt do usuário

Esse é um pipeline direto de prompt para shell. O incidente do Railway é a mesma lógica um nível acima: sem injeção de shell, mas o agente recebeu uma tarefa, fez chamadas de API e nada perguntou "você deve ser permitido a deletar volumes de produção?".

Como é o acesso restrito

Chaves separadas para desenvolvimento e produção. Somente leitura onde gravações não são necessárias. Endpoints de exclusão que requerem confirmação fora do loop do agente.

Para servidores MCP: cada servidor deve ter acesso exatamente ao que precisa. Um servidor de documentação não precisa de acesso ao shell. Uma ferramenta de revisão de código não precisa de credenciais de banco de dados. Isso parece óbvio quando declarado de forma clara, mas ninguém os impõe por padrão.

agent-audit escaneia sua configuração MCP e código-fonte em busca dessas falhas antes que se tornem incidentes. Credenciais hardcoded, caminhos de injeção de comando, concessões excessivas de permissão, injeção de prompt em descrições de ferramentas. Executa em cerca de 30 segundos:

npx @piiiico/agent-audit --auto

Ele detecta automaticamente sua configuração do Claude Desktop, clona os repositórios do servidor e relata o que está exposto. Relatório completo de escaneamento: FINDINGS.md. npm: @piiiico/agent-audit.

A parte que ninguém quer dizer

O incidente do Railway será repetido. Não porque a IA é perigosa, mas porque a configuração padrão para cada fluxo de trabalho agente é acesso de administrador a tudo. Um incidente não mudará o padrão.

Isso será corrigido quando credenciais restritas se tornarem a norma, e não a exceção. Até lá, você pode pelo menos saber qual acesso seus próprios agentes têm.

Para equipes que desejam monitoramento de segurança de agentes hospedados: getcommit.dev.