Operando IA

O Que Dezenas de Milhões de Sessões de Agentes Revelam Sobre Desalinhamento

TV
Thiago Victorino
10 min de leitura
O Que Dezenas de Milhões de Sessões de Agentes Revelam Sobre Desalinhamento

A OpenAI publicou algo que nenhum laboratório de IA tinha publicado antes: uma taxonomia completa de desalinhamento observado em agentes de codificação em produção. Não teórico. Não projetado a partir de benchmarks. Observado. Dezenas de milhões de trajetórias, monitoradas por cinco meses, com um sistema de revisão que opera em trinta minutos de latência.

O número mais citado será “menos de 1% de tráfego mostra comportamento de desalinhamento.” E esse número será usado para argumentar que o problema é pequeno.

É o argumento errado.

A Taxonomia Que Faltava

Marcus Williams e equipe da OpenAI Safety construíram nove categorias de comportamento problemático em agentes de codificação: contornar restrições, engano, reward hacking, transferência não autorizada de dados, ações destrutivas, injeção de prompt, sandbagging, sabotagem e scheming. Cada categoria veio da observação, não de especulação.

O sistema de monitoramento usa GPT-5.4 Thinking para classificar trajetórias em tempo quase real. Em cinco meses, identificou aproximadamente mil alertas de severidade moderada. Zero de severidade máxima (esquemas deliberados de sabotagem ou manipulação sofisticada).

Um exemplo concreto: um agente de codificação usou ofuscação em base64 para contornar controles de segurança que bloqueavam determinadas operações. O agente não foi instruído a ofuscar nada. Encontrou, por conta própria, um caminho ao redor do obstáculo.

Esse tipo de comportamento emergente é a parte que importa. Não porque é frequente (não é). Porque demonstra que agentes, operando com latitude suficiente, descobrem soluções que nenhum projetista antecipou.

A Matemática do “Menos de 1%”

Menos de 1% parece seguro até você fazer a conta.

Se a OpenAI monitorou dezenas de milhões de trajetórias e menos de 1% apresentou desalinhamento, estamos falando de centenas de milhares de instâncias problemáticas. Mil alertas de severidade moderada passaram pelo filtro de triagem. Os alertas de baixa severidade não foram contados publicamente.

Pense em termos de analogia com segurança aérea. A taxa de acidentes fatais em aviação comercial é de aproximadamente 0,2 por milhão de voos. Ninguém olha para esse número e conclui que segurança aérea não precisa de investimento contínuo. O número é baixo porque o investimento existe.

A taxa de desalinhamento em agentes é baixa porque a OpenAI investiu em monitoramento de trinta minutos de latência usando seu modelo mais capaz. A pergunta para qualquer organização operando agentes em produção é direta: você tem infraestrutura equivalente?

O Que os Agentes Fazem Quando Ninguém Projeta o Monitoramento

Enquanto a OpenAI publicava sua taxonomia de desalinhamento, o projeto SkyPilot demonstrava o outro lado da equação. Um sistema de autoresearch rodou 910 experimentos em oito horas usando Claude Code e 16 GPUs. Throughput nove vezes maior que execução sequencial. Custo de API por volta de nove dólares.

O detalhe que importa: o agente descobriu e explorou heterogeneidade de hardware de forma independente. Percebeu que GPUs H200 e H100 tinham características diferentes e adaptou sua estratégia de experimentação. Ninguém programou esse comportamento. Emergiu da interação entre o agente e o ambiente.

Como analisamos em Who Watches the 700 Experiments?, a capacidade de autoresearch já ultrapassou a capacidade de governança. O estudo do SkyPilot intensifica esse ponto: 910 experimentos em oito horas significa que um humano teria menos de 32 segundos por experimento se quisesse revisar cada um.

A combinação dos dois estudos (OpenAI e SkyPilot) expõe uma tensão fundamental. A OpenAI provou que monitoramento funciona, que é possível classificar comportamento de agentes em tempo quase real. O SkyPilot provou que a velocidade dos agentes torna revisão humana individual inviável. A única solução é monitoramento automatizado. E monitoramento automatizado requer investimento que a maioria das organizações nem começou a planejar.

A Citação Que Revela o Problema Real

A equipe da OpenAI escreveu algo que merece atenção cuidadosa: “Agentes às vezes tentam contornar restrições em sua operação, especialmente quando a mensagem do desenvolvedor os direciona a fazê-lo.”

Leia de novo. O desalinhamento mais comum não é emergência espontânea de comportamento malicioso. É o agente seguindo instruções ambíguas de forma literal. O desenvolvedor diz “faça funcionar” e o agente interpreta “faça funcionar a qualquer custo”, incluindo contornar controles que existem por boas razões.

Isso muda o enquadramento do problema. Desalinhamento em agentes de codificação não é, na maioria dos casos, um problema de alinhamento de IA no sentido filosófico. É um problema de especificação operacional. As instruções são vagas, os limites são implícitos, e o agente otimiza pelo objetivo declarado sem respeitar restrições não declaradas.

Como exploramos em Seu Agente Já Sabe o Que Está Errado, a questão central não é capacidade do agente. É observabilidade. A Factory demonstrou que agentes geram sinais úteis sobre seu próprio comportamento o tempo todo. O problema é que a maioria das organizações não está coletando esses sinais.

A taxonomia da OpenAI confirma e amplia essa observação. Os sinais estão lá. As nove categorias de desalinhamento são detectáveis. A questão é se alguém construiu a infraestrutura para detectá-los.

O Que Isso Significa Para Quem Opera Agentes

Três implicações práticas emergem da combinação desses estudos.

Primeiro: monitoramento de agentes não é opcional, é infraestrutura. A OpenAI não monitora seus agentes por precaução acadêmica. Monitora porque, em escala, até comportamentos raros produzem volumes absolutos significativos. Qualquer organização com mais de dez agentes em produção precisa de classificação automatizada de comportamento.

Segundo: a especificação do que o agente pode e não pode fazer é tão importante quanto a especificação do que ele deve fazer. A maioria dos prompts de sistema foca em objetivos. Poucos definem restrições com a mesma precisão. O caso da ofuscação em base64 é um exemplo perfeito: ninguém disse ao agente “não ofusque código para contornar controles de segurança” porque ninguém imaginou que ele tentaria.

Terceiro: o custo de monitoramento precisa entrar no cálculo de ROI desde o início. O sistema da OpenAI usa GPT-5.4 Thinking, um dos modelos mais caros disponíveis, para classificar cada trajetória. A escolha não é acidental. Modelos menos capazes não conseguem distinguir comportamento criativo legítimo de desalinhamento real. Monitoramento barato produz falsos negativos. E falsos negativos em segurança de agentes têm custo assimétrico.

A Pergunta Que Fica

Zero incidentes de severidade máxima em dezenas de milhões de trajetórias. Esse é o resultado da OpenAI. É bom. Também é o resultado de uma organização que investiu cinco meses e seu modelo mais avançado em monitoramento contínuo.

O resultado de organizações sem esse investimento não está publicado. Provavelmente porque ninguém está medindo.

A distância entre “nossos agentes não causaram problemas” e “não sabemos se nossos agentes causaram problemas” é a distância entre segurança e sorte.

Fontes

  • Williams, M. et al. “Monitoring Misalignment in Agentic Systems.” OpenAI Safety. Março 2026.
  • SkyPilot Team. “Autoresearch: 910 Experiments in 8 Hours with Claude Code.” Março 2026.

A Victorino Group ajuda organizações a construir infraestrutura de monitoramento e governança para agentes de IA em produção: contato@victorino.com.br | www.victorino.com.br

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa