Notas de Engenharia

Contexto É o Novo Perímetro: Por Que Governança de Agentes IA Começa na Janela de Contexto

TV
Thiago Victorino
10 min de leitura

A indústria está debatendo MCP versus CLI. Protocolo versus interface. Padronização versus pragmatismo.

É o debate errado.

A questão que importa não é como o agente se conecta às suas ferramentas. É o que entra na janela de contexto quando ele se conecta — e o que acontece quando esse conteúdo se degrada.

David Cramer, CTO e cofundador da Sentry, publicou uma análise sobre gestão de contexto em sistemas MCP que merece atenção. Não porque esteja completa — não está — mas porque ilumina um problema que a maioria das discussões técnicas ignora: contexto é governança.

Descrições de Ferramentas São Mecanismos de Direcionamento

Cramer apresenta um insight que deveria mudar como organizações pensam sobre servidores MCP. As descrições de ferramentas não são documentação de API. São mecanismos de direcionamento comportamental.

Quando um agente carrega um servidor MCP, ele lê as descrições das ferramentas disponíveis. Essas descrições determinam como o agente interpreta o que pode fazer, quando deve agir e quais restrições seguir. A descrição é, na prática, a política de uso.

Isso tem consequências diretas para governança. Se a descrição de uma ferramenta diz “busca informações de clientes”, o agente trata isso como uma capacidade genérica. Se diz “retorna dados de clientes autenticados, limitado ao escopo do token atual, sem informações financeiras”, o agente opera dentro de fronteiras definidas.

A diferença entre essas duas descrições não é estética. É a diferença entre um agente governado e um agente com liberdade interpretativa sobre dados sensíveis.

A Tenable documentou que a eficácia desse direcionamento varia significativamente por modelo. O que funciona como guardrail em um modelo pode ser ignorado por outro. Isso significa que descrições de ferramentas precisam ser testadas por modelo, não escritas uma única vez como documentação estática.

Degradação de Contexto É Falha de Governança

O fenômeno que Cramer chama de context rot — a degradação da qualidade de raciocínio conforme a janela de contexto enche — é geralmente discutido como problema de performance. Agentes ficam mais lentos. Respostas perdem coerência. A qualidade cai.

Mas há uma dimensão que essa análise de performance não captura: degradação de contexto é degradação de governança.

Considere um agente que opera com 15 ferramentas, cada uma com descrições detalhadas de restrições e políticas de acesso. No início da sessão, o agente respeita essas restrições porque as descrições estão frescas no contexto. Conforme a janela enche com resultados de ferramentas, logs e raciocínio intermediário, as instruções de governança competem por atenção com informações operacionais.

É o equivalente digital de um funcionário que leu o manual de compliance na segunda-feira e na sexta-feira já esqueceu metade das regras. Só que no caso do agente, a “sexta-feira” pode chegar em minutos.

63% das organizações reportam que não conseguem aplicar limitações de propósito em agentes de IA. Parte dessa dificuldade não é falta de política — é context rot corroendo a efetividade das políticas que existem.

A recomendação prática da Anthropic — manter utilização de contexto abaixo de 40% — ganha outro significado nesse enquadramento. Não é apenas uma otimização de performance. É uma margem de segurança para governança.

A Tensão do Progressive Disclosure

Aqui a análise de Cramer fica interessante — e controversa. Ele argumenta contra progressive disclosure: a prática de ocultar ferramentas do agente até que sejam necessárias. Sua posição é que restringir o catálogo de ferramentas degrada a capacidade do agente de raciocinar sobre o que pode fazer.

O argumento tem mérito. Se um agente não sabe que uma ferramenta de auditoria existe, ele não vai considerar auditoria como parte do fluxo. Ocultar capacidades limita raciocínio.

Mas há uma tensão que Cramer não resolve. A própria Anthropic, no padrão Agent Skills documentado para o Claude, usa exatamente progressive disclosure como mecanismo de gestão. Skills são carregados sob demanda, não pré-carregados. E o estudo da Vercel mostrou que essa abordagem tem limitações sérias — em 56% dos casos, agentes nunca invocaram os skills necessários.

Ambos os lados têm evidência. Progressive disclosure reduz poluição de contexto mas cria falhas de ativação. Exposição total preserva capacidade de raciocínio mas acelera degradação de contexto.

A resolução provável não é escolher um lado. É desenhar a fronteira com critério: ferramentas críticas para governança — auditoria, controle de acesso, logging — devem estar sempre visíveis. Ferramentas operacionais podem ser progressivas. A política de visibilidade se torna, ela mesma, uma decisão de governança.

Fronteiras de Subagentes São Fronteiras de Governança

A contribuição mais prática de Cramer é sobre subagentes. A Sentry reduziu a pegada de contexto do seu servidor MCP de aproximadamente 14.000 tokens para cerca de 720 tokens, encapsulando operações em subagentes com escopos restritos.

A redução de 95% no consumo de contexto é significativa. Mas o insight que importa para governança não é a economia de tokens — é o isolamento.

Cada subagente opera com seu próprio modelo, suas próprias ferramentas disponíveis e seu próprio contexto. Isso cria fronteiras naturais de governança:

Isolamento de modelo. Um subagente que processa dados financeiros pode usar um modelo com configurações de segurança diferentes de um subagente que gera relatórios. A política de modelo se torna granular.

Restrição de ferramentas. O subagente de relatórios não tem acesso às ferramentas de escrita em banco de dados. Não por configuração em runtime — por arquitetura. A ferramenta simplesmente não existe no contexto daquele agente.

Contenção de contexto. Se o subagente que processa logs tem seu contexto degradado, a degradação não contamina o subagente que gerencia permissões. O context rot é contido dentro de uma fronteira.

Para empresas operando sob LGPD, GDPR ou regulações setoriais, essas fronteiras não são conveniência técnica. São requisitos de compliance. Segregação de dados por propósito, limitação de acesso por escopo, auditabilidade por operação — tudo isso mapeia para a arquitetura de subagentes.

O Custo Que Ninguém Menciona

Há um trade-off que a análise de Cramer reconhece mas não aprofunda: latência. A Sentry reportou que o tempo de resposta foi de 11 para 24 segundos — mais que o dobro. Cada chamada de subagente é uma chamada de inferência adicional.

Para um desenvolvedor usando um agente interativamente, 24 segundos é aceitável. Para um pipeline de produção processando milhares de requisições, o custo computacional se multiplica. E não é apenas latência — é custo financeiro de inferência dupla.

Subagentes também introduzem complexidade operacional. Monitoramento de múltiplos agentes, correlação de logs entre fronteiras, debugging de cadeias de delegação. A arquitetura que resolve governança de contexto cria novos desafios de observabilidade.

A decisão não é binária. É uma calibração: quanta latência e complexidade operacional sua organização aceita em troca de quanta governança precisa.

A Dimensão de Segurança Que o Debate Ignora

Enquanto a indústria discute protocolos e design patterns, uma superfície de ataque cresce sem supervisão adequada.

Pesquisadores documentaram 1.862 servidores MCP sem mecanismos de autenticação. Ataques de tool poisoning — onde descrições de ferramentas são manipuladas para alterar o comportamento do agente — têm taxa de sucesso de 72,8% contra modelos avançados.

Releia esse número: quase três em cada quatro tentativas de manipular um agente através de descrições de ferramentas envenenadas são bem-sucedidas.

Isso conecta diretamente com o insight de Cramer sobre steering. Se descrições de ferramentas são mecanismos de direcionamento comportamental, então descrições de ferramentas comprometidas são mecanismos de sequestro comportamental. O mesmo canal que governa o agente pode ser usado para subvertê-lo.

Para organizações, isso significa que a cadeia de suprimentos de servidores MCP precisa do mesmo escrutínio que qualquer dependência de software. Verificação de integridade de descrições, monitoramento de alterações, e — criticamente — autenticação de servidores.

A segurança de contexto não é uma preocupação futura. É uma vulnerabilidade presente.

O Que Isso Significa Para Governança Empresarial

Se você é responsável por governança de IA em uma organização, três conclusões emergem desse debate.

Contexto é superfície de controle, não detalhe de implementação. O que entra na janela de contexto determina o que o agente pode saber, fazer e — potencialmente — vazar. Políticas de governança que não endereçam gestão de contexto são políticas incompletas. Descrições de ferramentas, limites de utilização de contexto e fronteiras de subagentes são decisões de governança, não decisões de engenharia.

Degradação é previsível e precisa ser gerenciada. Context rot não é um bug. É uma propriedade emergente de sistemas com janelas de contexto finitas. Toda sessão de agente que ultrapassa certo limite de utilização opera com governança degradada. Monitorar utilização de contexto é tão importante quanto monitorar acesso a dados.

Fronteiras de subagentes são o novo perímetro. Assim como microsserviços criaram fronteiras de segurança em arquiteturas distribuídas, subagentes criam fronteiras de governança em sistemas agênticos. O desenho dessas fronteiras — quais ferramentas cada subagente vê, qual modelo usa, que dados pode acessar — é o equivalente em IA do que segmentação de rede é em infraestrutura.

A indústria vai continuar debatendo MCP versus CLI, padronização versus flexibilidade, ferramentas nativas versus protocolo aberto. Esses debates têm valor técnico.

Mas para quem precisa colocar agentes em produção com responsabilidade, a pergunta que importa é mais simples e mais difícil: quem controla o que o agente vê, e o que acontece quando esse controle se degrada?

Responder a essa pergunta é onde governança de agentes começa.

Fontes

  • David Cramer. “Context Management and MCP.” Fevereiro 2026.
  • Anthropic. “Effective Context Engineering for AI Agents.” Setembro 2025.
  • Vercel. Estudo sobre contexto passivo em agentes de IA: taxas de aprovação 100% (AGENTS.md) vs 53% (skills). Janeiro 2026.
  • Sentry. Benchmarks MCP: redução de ~14.000 para ~720 tokens; latência de 11s para 24s. 2026.
  • Pesquisa em segurança de MCP: 72,8% de taxa de sucesso em ataques de tool poisoning. 2025.
  • Levantamento de servidores MCP: 1.862 sem autenticação. 2025.
  • Pesquisa organizacional: 63% das organizações não conseguem aplicar limitações de propósito em agentes de IA. 2025.
  • Tenable. Estudo sobre eficácia de direcionamento comportamental por modelo. 2025.

Na Victorino Group, projetamos fronteiras de governança para sistemas de agentes de IA. Contexto não é detalhe técnico — é onde controle começa e onde controle se perde. Se sua organização precisa de agentes que operam dentro de limites definidos, vamos conversar: contato@victorino.com.br

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa