Arcjet Guards: A Segurança que os Agentes de IA Precisam – Dentro do Código, Não no Perímetro
O ataque não chega mais por HTTP. Ele chega por um argumento de função, uma mensagem de fila ou um loop de agente. Arcjet Guards coloca a segurança onde o perigo realmente está: dentro do código.
O fim do perímetro
Durante décadas, a segurança de aplicações se apoiou em firewalls, WAFs e proxies. Tudo funcionava enquanto o invasor precisava enviar um pacote malicioso. Mas os agentes de IA mudaram o jogo.
Hoje, o adversário sussurra um comando oculto dentro de um argumento de função ou envenena uma mensagem de fila. O perímetro se torna irrelevante. A entrada não confiável chega por canais que as ferramentas tradicionais nunca enxergam.
“WAFs e proxies tradicionais ficam cegos. É como trancar a porta da frente enquanto o ladrão entra pela janela do código.”
Arcjet Guards é um SDK de segurança runtime que coloca a proteção exatamente onde o input malicioso entra: dentro dos handlers de ferramentas, consumidores de fila e etapas de workflow.
O problema que ninguém via
Sistemas agentivos não têm uma “porta da frente” HTTP monolítica. A arquitetura é distribuída, assíncrona e orientada a funções. Um agente pode:
- Receber um argumento de função contendo um prompt injection.
- Processar uma mensagem de fila com PII que vaza para um modelo de terceiros.
- Entrar em um loop infinito de chamadas que consome orçamento de tokens em segundos.
WAFs e proxies tradicionais examinam cabeçalhos HTTP, mas não inspecionam chamadas de função internas, mensagens de fila ou memória compartilhada entre agentes. O resultado? Uma superfície de ataque invisível e crescente.
O que é Arcjet Guards?
Guards é uma camada de segurança em tempo de execução que vive dentro do código — não como proxy externo, não como gateway HTTP. Instalado via SDK (JavaScript e Python), ele aplica políticas de segurança nos pontos de entrada de dados não confiáveis.
Três casos de uso principais
- Detecção de injeção de prompt: Analisa os resultados das tools antes que retornem ao contexto do modelo. Se um dado externo contiver instruções adversarial, o guard bloqueia a reentrada.
- Bloqueio de PII: Varre argumentos de funções e mensagens de fila em busca de dados sensíveis (CPF, e-mail, cartão de crédito) — impedindo que cheguem a modelos de terceiros ou logs.
- Controle de tokens por usuário: Impõe limites de orçamento dentro de loops de agente. Se um agente começar a consumir tokens em excesso (por bug ou ataque), o guard interrompe o ciclo.
Instalação via prompt: Você instrui o próprio agente de codificação (Claude Code, Codex) a integrar a segurança durante a geração do código. A segurança entra no mesmo PR que adiciona a funcionalidade.
Implicações técnicas
Arcjet Guards não é mais um gateway adaptado para IA. É uma redefinição do modelo de segurança para sistemas agentivos. Veja os detalhes:
- Roda como SDK dentro da aplicação, não como proxy externo — latência mínima e inspeção total do dado.
- Detecta injeção de prompt nos resultados das ferramentas antes de reentrar no contexto do modelo.
- Bloqueia PII em entradas de ferramentas e mensagens de fila antes que dados sensíveis atinjam modelos de terceiros.
- Impõe limite de tokens por usuário dentro de loops de agente, prevenindo custos explosivos.
- Suporta pipelines multi-agente mantendo contexto de sessão — essencial para workflows complexos.
- Instalação via prompt para coding agents, reduzindo o atrito de adoção.
- Disponível nos SDKs JavaScript e Python da Arcjet — cobertura inicial para os ecossistemas mais comuns de agentes.
Arcjet vs. Gateways Tradicionais
Concorrentes como Cloudflare AI Gateway e Salesforce ainda operam como proxies HTTP. Eles são “agent-friendly” — funcionam com agentes, mas não foram projetados para a arquitetura interna deles. Arcjet é “agent-first”: a segurança nasce no ponto de execução, não no perímetro.
| Característica | Gateways Tradicionais | Arcjet Guards |
|---|---|---|
| Local da segurança | Perímetro (proxy HTTP) | Runtime (dentro do código) |
| Inspeção de funções | Não | Sim |
| Controle de tokens por usuário | Não | Sim |
| Suporte a pipelines multi-agente | Limitado | Nativo |
| Instalação via prompt | Não | Sim |
“Desenvolvedores podem integrar segurança no mesmo PR que adiciona a funcionalidade.” — alinhando DevSecOps com a prática real dos times de IA.
Riscos e limitações
Nenhuma solução é bala de prata. Arcjet Guards ainda é um produto novo em um mercado emergente. Pontos de atenção:
- Suporte inicial apenas para JavaScript e Python. Ecossistemas como Rust, Go ou Java podem ficar de fora (pelo menos por enquanto).
- Depende da correta definição de regras pelo desenvolvedor. Erro humano continua sendo possível — uma política mal configurada pode falhar ou gerar falsos positivos.
- Maturidade e eficácia a longo prazo ainda não comprovadas. O mercado de segurança para agentes é incipiente; a eficácia contra técnicas avançadas de injeção de prompt precisará de validação contínua.
- Detecção de injeção de prompt pode ter falsos positivos/negativos, especialmente em conteúdos complexos ou multilíngues.
- Requer integração via SDK, o que pode ser um obstáculo para times sem familiaridade com a ferramenta — embora a instalação via prompt amenize isso.
Visão Metatron
Arcjet Guards representa um ponto de inflexão na segurança de sistemas de IA. Até hoje, a indústria tentou esticar o modelo de segurança de perímetro para um mundo que não tem mais porta da frente. O ataque não chega mais por HTTP — chega por funções, filas, memória.
A abordagem “agent-first” da Arcjet é uma evolução inevitável. Em um futuro próximo, todo agente de IA em produção terá guards de runtime embutidos, da mesma forma que toda aplicação web tem um WAF. A segurança será uma propriedade do código, não da borda da rede.
Resumo prático: O próximo passo será a padronização (talvez com a Open Agent Security Initiative) e a expansão para mais linguagens e frameworks. Quem dominar esse novo paradigma agora estará na posição de liderança quando a adoção de agentes explodir.Arcjet Guards é o primeiro tijolo de uma nova fundação. O perímetro morreu. Longa vida ao runtime.