Implementação Governada

Governança Acaba de Virar Funcionalidade de Produto. Três Vezes. Em Uma Semana.

TV
Thiago Victorino
8 min de leitura
Governança Acaba de Virar Funcionalidade de Produto. Três Vezes. Em Uma Semana.
Ouvir este artigo

Nos sete dias entre 28 de abril e 4 de maio de 2026, três fornecedores sem qualquer roadmap compartilhado lançaram a mesma ideia. A Anthropic publicou o Agent Skills Framework. A Figma liberou o servidor MCP do FigJam, com workflows nomeados. A Vercel lançou Deepsec, um scanner de segurança operado por agentes. Empresas distintas, categorias distintas, públicos distintos. O formato por baixo é idêntico.

Cada lançamento pega um domínio que antes vivia na cabeça de um profissional sênior, codifica em workflow estruturado de agente e adiciona saídas de verificação obrigatórias antes de aceitar o trabalho. Governança deixa de ser memorando de compliance. Vira superfície de produto, com SKU e preço.

É esse o evento de compras. Pela primeira vez, governança é comparável na planilha.

O Que Cada Fornecedor De Fato Lançou

O texto Agent Skills, de Addy Osmani, é a articulação mais clara. Uma skill é um procedimento nomeado e escopado, que entrega specs obrigatórias, testes obrigatórios e o que Osmani chama de “tabelas anti-racionalização”, que impedem o agente de declarar sucesso sobre trabalho parcial. A frase dele é direta: “O trabalho de um engenheiro sênior é, em grande parte, o que não aparece no diff. Specs. Testes. Revisões. Disciplina de escopo.” A skill torna executáveis essas partes invisíveis. A saída de verificação não é sugestão; o agente não consegue avançar sem ela.

O servidor MCP do FigJam, da Figma, aplica o mesmo formato à superfície de design. A skill figma-use-figjam expõe a ferramenta generate_diagram e o workflow generate-project-plan. A sequência recomendada é pesquisa, colaboração, implementação. Roda igual em Claude Code, Cursor e Copilot. O ponto interessante não são os diagramas; é que a Figma definiu um ritual de três passos e fez o agente executar nessa ordem. O ritual é o produto.

O Deepsec, da Vercel, é a terceira instância, agora em segurança. Roda Opus 4.7 e GPT-5.5 com raciocínio máximo, em até 1.000 Vercel Sandboxes concorrentes, com taxas reportadas de falso-positivo na faixa de 10 a 20 por cento, contra os índices bem maiores das ferramentas SAST baseadas em padrões. Um adotante inicial descreve assim: “a primeira ferramenta que mostrou o tipo de problema que de fato pediríamos para um engenheiro de segurança sinalizar.” A saída de verificação ali é a reprodução em sandbox. O Deepsec não apenas reivindica uma vulnerabilidade. Ele prova o caminho.

Três categorias. Três fornecedores. Um padrão.

O Padrão Por Baixo

Tirando o marketing, a arquitetura por baixo é consistente. Cada produto pega expertise de domínio que antes era tribal, torna explícito, codifica em workflow estruturado e recusa a saída do agente sem etapa de verificação. Descrevemos esse formato no mês passado em Skills como Governança Modular e analisamos as implicações arquiteturais no debate Perplexity-Osmani. O que era tese ali agora é mercado.

A mecânica é a mesma nos três:

  1. Escopo nomeado. Uma skill, um workflow ou uma rodada de scan é uma unidade com nome. Não é chat aberto. O agente entra em uma superfície definida, com entradas definidas e saídas definidas.
  2. Specs obrigatórias. Antes do trabalho começar, as restrições são explícitas. Skills carregam specs. Workflows do FigJam carregam o sequenciamento de pesquisa primeiro. O Deepsec carrega o alvo de reprodução em sandbox.
  3. Saídas de verificação. O agente não pode autocertificar conclusão. Testes precisam passar, reproduções precisam funcionar, planos precisam ser revisados. A saída é controlada por algo que o agente não comanda.
  4. Anti-racionalização. Osmani nomeia isso explicitamente; a Figma transforma em ordem de ritual; a Vercel transforma em prova em sandbox. O padrão é o mesmo. O agente é estruturalmente impedido de declarar “está bom o suficiente” sobre trabalho parcial.

É essa a cara da governança quando ela é produto, não política. Política diz “vocês deverão revisar”. Produto diz “o workflow recusa avançar enquanto a revisão não acontece”.

Por Que Isso Muda As Compras

Times de compliance compram governança há uma década. Compraram software de gestão de políticas, fornecedores de trilha de auditoria, plataformas de coleta de evidências. Nenhum desses produziu saída que os times de engenharia, design ou segurança usassem no trabalho diário. Quem entrega o produto tratava governança como linha de trabalho separada. Compliance escrevia os documentos; engenharia ignorava os documentos.

Quando governança vira parte do runtime do agente, essa separação colapsa. A skill é o workflow. O workflow é a governança. Não existe “a gente cuida de compliance depois”, porque o agente não termina sem a saída de verificação. A pergunta de compras muda de “vocês têm um programa de governança?” para “quais workflows estruturados seus times usam, e quais saídas de verificação esses workflows impõem?”

Essa segunda pergunta cabe na planilha. Planilhas movem orçamento.

Um comprador comparando três fornecedores agora consegue avaliar:

  • As skills são versionadas e revisáveis, ou são caixas-pretas?
  • O que a saída de verificação de fato verifica, e quem define?
  • Meu time pode escrever skills, ou estou preso ao catálogo do fornecedor?
  • Qual é a trilha de auditoria das execuções de skill, e ela é exportável?
  • Como o registro de skills conversa com a camada de identidade que já temos?

São as mesmas perguntas que compras corporativas fizeram em toda categoria que amadureceu: runtimes de container, gerenciadores de segredo, provedores de identidade. As respostas determinam qual fornecedor vence. Governança acaba de entrar nessa lista.

O Edifício de Quatro Andares, Um Andar Acima

Defendemos no framework das quatro superfícies de contenção que computação, dados, conhecimento e identidade eram os andares do edifício de runtime de agentes. Skills, workflows MCP e scans estruturados não são um quinto andar. São uma camada que atravessa os quatro. Um scan do Deepsec toca computação (sandbox), dados (o repositório), conhecimento (padrões de vulnerabilidade) e identidade (quem disparou a rodada). Um workflow do Figma toca as mesmas superfícies dentro do sistema de design, que já argumentamos ser infraestrutura de governança. A execução de uma skill faz o mesmo na superfície de engenharia.

O edifício de quatro andares ensinou os times onde a contenção mora. Governança produtizada ensina como o trabalho que roda dentro do edifício é moldado. Um aplica o perímetro. O outro aplica o procedimento.

O Que Compradores Deveriam Fazer Neste Trimestre

A pergunta para qualquer time que opera agentes em produção neste trimestre é se os workflows já saíram de política e viraram produto. Há um teste de uma página:

Escolha um workflow de alto risco que seus agentes já rodam. Revisão de código, triagem de segurança, geração de design, escalonamento de atendimento. Qualquer um em que saída errada custa dinheiro.

Escreva a estrutura. O workflow é nomeado, escopado e versionado? Ou é prompt de sistema com torcida?

Identifique a saída de verificação. O que precisa ser verdade antes do workflow aceitar conclusão? Quem ou o que aplica? Se a resposta é “o agente decide”, não há saída.

Liste as specs. Quais restrições o workflow declara antes de começar? São artefatos revisáveis, ou contexto invisível?

Conte os pontos anti-racionalização. Onde o workflow é estruturalmente impedido de declarar sucesso prematuro?

Se três ou mais respostas forem “não temos isso”, o workflow é política com interface de chat. Se três ou mais forem “sim, o artefato está aqui”, começa a parecer produto.

Os fornecedores que lançaram nesta semana fizeram o trabalho de tornar o padrão visível. O trabalho para compradores é avaliar se os workflows internos se parecem mais com a versão produtizada ou com a versão de política. A primeira compõe valor. A segunda corrói valor.

A planilha de compras ganhou uma coluna nova. Times que esperarem a coluna assentar vão descobrir os workflows internos competindo com SKUs de fornecedor que entregam toda semana.

Fontes

A Victorino ajuda times de tecnologia a transformar governança produtizada em critério de compra: contato@victorino.com.br | www.victorino.com.br

Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa