O Plano de Controle Está Saindo do Container: Rede e Identidade como o Novo Sandbox de Agentes
Por dois anos a conversa sobre contenção girou em torno de caixas. Quão grossas são as paredes, quão rápido a caixa inicia, como impedir o processo lá dentro de escapar. Catalogamos esse trabalho no stack de contenção de quatro andares e mostramos como um sandbox pode vazar por um recurso que ele foi desenhado para expor no ensaio sobre a fuga por recurso intencional. Duas palestras de junho de 2026 reenquadram o esforço inteiro. A fronteira mais interessante não é mais a parede da caixa. É o fio que sai dela.
Remy Guercio, da Tailscale, abriu sua palestra no AI Engineer com uma pergunta enganosamente simples: e se a rede fosse o sandbox? Mukil Loganathan, da LangChain, respondeu uma pergunta adjacente pelo lado do runtime: como rodar código de agente não confiável quando as ameaças estão escapando das caixas em que você confia? Junte as duas palestras e cai um padrão que nenhuma delas nomeia diretamente. Sandbox vinha confundindo, em silêncio, dois problemas distintos, e a solução é separá-los.
Dois Problemas Usando Um Só Nome
Quando um time diz “colocamos o agente em sandbox”, costuma querer dizer duas coisas ao mesmo tempo.
A primeira é isolamento de execução: o processo do agente não pode ler o sistema de arquivos do host, não pode tocar a memória de outro inquilino, não pode escalar até o kernel. É o trabalho de gVisor, Firecracker, microVMs. É maduro, e as palestras confirmam que também está sob ataque constante.
A segunda é controle de acesso: o agente não deveria conseguir alcançar o banco de produção, exfiltrar a chave de API ou chamar um endpoint fora da sua tarefa. Historicamente os times resolveram isso dentro da caixa também, injetando credenciais escopadas, torcendo para o agente não as registrar em log e rezando para nada ler /proc/self/environ.
Esses dois problemas têm formatos diferentes. Isolamento é sobre o que o processo pode tocar localmente. Controle de acesso é sobre o que o processo pode alcançar remotamente. Dobrar os dois na mesma palavra “sandbox” é a razão de a fuga por recurso intencional continuar acontecendo: você reforça as paredes, entrega ao agente uma chave que funciona e um caminho de rede, e a chave sai por uma porta que você construiu de propósito.
Aperture: Uma Credencial Que o Agente Não Consegue Roubar
A resposta da Tailscale, segundo a palestra de Guercio, é o Aperture. O enquadramento é parar de tentar manter o segredo seguro dentro da caixa e, em vez disso, garantir que a caixa nunca segure um segredo que valha a pena roubar.
Na demo, o agente roda no que Guercio chama de “modo de chave de API”, e a chave de API é definida como um traço literal. Um único caractere. Não há nada para exfiltrar, porque o valor que o agente segura não significa nada. A credencial real vive na camada de rede. Quando o agente faz uma chamada, a requisição sai do container, chega ao Aperture, e o Aperture anexa a identidade e a autorização reais na saída. O agente apresenta intenção. A rede apresenta identidade.
Isso inverte o modelo de ameaça. Um prompt injection que convence o agente a imprimir suas variáveis de ambiente agora vaza um traço. Um pacote de cadeia de suprimentos que varre o runtime atrás de tokens, o tipo de ataque que o recente pacote de exfiltração de credenciais “sci-holude” demonstrou, não encontra nada, porque o token nunca esteve ali. Você não tornou o segredo mais difícil de roubar. Você o removeu do lugar que o atacante consegue alcançar.
A segunda afirmação da palestra é a que deveria mudar como times de plataforma pensam. Como toda chamada precisa atravessar um ponto de estrangulamento para obter identidade, esse ponto vê tudo. Guercio foi direto: “Tenho a garantia de que vi toda chamada de ferramenta que essa coisa já fez, e não de dentro do container.” Essa última frase é o ponto inteiro. Observabilidade que vive dentro da caixa pode ser desativada, contornada ou escapada pela mesma vulnerabilidade que quebra o isolamento. Observabilidade que vive no fio não pode ser desligada pela coisa que está sendo observada.
E uma vez que o fio é observado, os dados surpreendem. O próprio tráfego da Tailscale, observou Guercio, mostra que o bash domina as chamadas estruturadas e via MCP assim que você consegue de fato ver o que os agentes fazem. A interface de ferramenta limpa, tipada e validada por schema não é onde a ação está. A ação está em cair no shell. Você só descobre isso instrumentando a rede, porque o agente não vai te contar.
LangSmith Sandboxes: Isolamento como Primitiva, Auth como Sidecar
A palestra de Loganathan ataca a mesma divisão pelo lado da execução e chega à mesma arquitetura sem nomeá-la como tendência.
O LangSmith Sandboxes foi construído para rodar código de agente não confiável, e o pano de fundo de ameaças que ele percorre é sóbrio: a fuga do sandbox do n8n, uma fuga por prompt injection de um navegador de IA do Google, uma fuga de container de 700 bytes que alcança o kernel do host, o pacote de exfiltração de credenciais sci-holude. A premissa é que o código é hostil e o isolamento vai, cedo ou tarde, ser testado de verdade.
Por isso o isolamento é levado a sério como primitiva própria. Segundo a palestra, o tempo de inicialização marca um P50 de 0,98 segundo, a plataforma roda milhares de microVMs concorrentes, e cada uma suporta snapshot, restore e fork. Isso é isolamento de execução tratado como recurso rápido e descartável, não como configuração pesada.
O detalhe que importa para o nosso argumento é menor e fácil de passar batido. O LangSmith roda um auth-proxy que mantém as credenciais fora do runtime. O mesmo movimento do Aperture, fornecedor diferente, chegado de forma independente. A microVM cuida de “o que esse processo pode tocar localmente”. O auth-proxy cuida de “o que esse processo pode alcançar remotamente, e com a autoridade de quem”. Dois problemas, dois mecanismos, separados de propósito.
Isto É Uma Nova Camada, Não Mais Um Fornecedor
Seria fácil arquivar o Aperture e o auth-proxy do LangSmith sob a convergência que já acompanhamos, mais um par de nomes no mesmo mercado lotado. Essa leitura erra o que mudou.
O enquadramento anterior nomeava identidade como uma das quatro superfícies de contenção, um andar entre andares. O que essas duas palestras mostram é a identidade saindo do rack e se tornando o plano de controle de tudo. Quando o controle de acesso se muda para a rede, o mesmo ponto de estrangulamento que emite identidade também aplica autorização e registra observabilidade. Contenção e auditoria deixam de ser sistemas separados que você precisa manter em sincronia. Eles colapsam em um único ponto de controle que toda chamada precisa cruzar.
Isto também fecha a pergunta que o ensaio sobre fuga intencional deixou em aberto. Se um sandbox pode vazar por um recurso que ele foi feito para expor, reforçar as paredes não te salva, porque o vazamento é uma porta, não uma rachadura. Tirar a credencial do agente responde isso diretamente. A porta ainda pode abrir. Só não há nada de valioso do outro lado dela para carregar. Argumentamos no texto sobre arquitetura de confiança que você projeta para o agente em quem não pode confiar plenamente; uma chave com valor de traço é como isso se parece em produção.
Faça Isto Agora
Escolha um agente rodando em produção. Faça uma única pergunta: se o runtime dele fosse comprometido por inteiro agora, com qual credencial o atacante sairia andando? Se a resposta honesta é uma senha real de banco, um token real de nuvem ou uma chave real de API parada em uma variável de ambiente, seu controle de acesso ainda vive dentro da caixa, e a caixa é justamente a coisa sob ataque.
O movimento não é comprar uma caixa maior. Coloque um ponto de estrangulamento no fio. Deixe o agente segurar um valor de fachada, deixe a rede anexar a identidade no momento da chamada, e roteie toda chamada de ferramenta, LLM e bash por esse único ponto. Você ganha contenção e uma trilha de auditoria completa do mesmo mecanismo, e os ganha no único lugar que o agente não consegue alcançar para desativar. Comece pelo agente cujo raio de impacto mais te assusta.
São palestras de conferência, não benchmarks publicados, então trate os números de inicialização e a métrica de predominância do bash como o que os palestrantes relataram em suas demos. A arquitetura, porém, não depende dos números. Depende de uma pergunta que vale fazer na segunda-feira: seu controle de acesso está dentro da caixa que você tenta conter, ou no fio que sai dela?
Fontes
- Tailscale. “What if the network was the sandbox?.” Junho de 2026.
- LangChain. “Run Untrusted Agent Code with LangSmith Sandboxes.” Junho de 2026.
A Victorino ajuda equipes a desenhar contenção de agentes que resiste em produção: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa