- Início
- The Thinking Wire
- Duas Razões Pelas Quais Você Não Consegue Auditar Seu Agente
Duas Razões Pelas Quais Você Não Consegue Auditar Seu Agente
Um profissional de segurança inspecionou a saída de “extended thinking” do Claude Code em junho de 2026 e relatou algo que a maioria das equipes nunca verificou: o rastro de raciocínio visível parece ser um resumo gerado, enquanto o rastro autêntico retorna como uma assinatura criptografada de cerca de 600 caracteres. Ler o raciocínio genuíno, segundo ele, exige um acordo corporativo e uma chave do fornecedor.
Trate isso como comportamento observado em uma inspeção de primeira mão, não como especificação confirmada pela Anthropic. A implicação ainda se sustenta. Se o seu processo de auditoria depende de ler o que o agente “pensou”, você pode estar lendo uma reconstrução plausível, restrita a um plano pago, em vez da computação que produziu a resposta.
Essa é a primeira razão pela qual você não consegue auditar seu agente. Existe uma segunda, e ela independe do acesso. Mesmo com a saída totalmente visível, o que você lê é a resposta mais confiante do modelo, e confiança difere de correção comprovada. Dois modos de falha independentes, uma conclusão: a confiança que você deposita na saída do agente precisa vir de fora dele.
Razão Um: O Raciocínio Está Atrás de um Paywall
Muitos frameworks de governança adotados nos últimos dezoito meses tratam a cadeia de pensamento como uma trilha de auditoria. A promessa era limpa. O modelo mostra o trabalho, um revisor lê os passos, os erros são pegos antes de irem para produção. A auditabilidade vira uma funcionalidade que você lê.
A inspeção de McCanna complica esse quadro de um jeito que a literatura de interpretabilidade existente deixava de fora. Já sabíamos, pela própria pesquisa da Anthropic, que o raciocínio exibido é racionalização pós-hoc: uma narrativa montada depois que a resposta já foi decidida, à parte da computação real. Cobrimos isso em Quando Sua IA Explica Seu Raciocínio, Ela Está Inventando. O detalhe novo é o acesso. O resumo que você vê já é infiel ao processo interno. Ele também pode ser um artefato diferente do rastro autêntico, que é criptografado e reservado a clientes que assinam o contrato certo.
Pense no que isso faz com uma revisão de compliance. Uma empresa regulada quer mostrar a um auditor por que um agente aprovou uma transação, sinalizou um documento ou escalou um caso. O revisor abre o painel de raciocínio. O que aparece é uma narrativa legível. Parece evidência. Sob esse comportamento observado, é um resumo que o fornecedor produziu para exibição, enquanto o rastro que talvez realmente explique a decisão fica atrás de uma chave corporativa que a empresa pode não ter.
A auditabilidade está silenciosamente virando um produto em camadas. A experiência gratuita entrega uma história. A experiência paga entrega algo mais próximo do rastro. Nenhuma das duas, segundo a pesquisa de interpretabilidade, é um registro fiel da computação. Então até a chave corporativa compra acesso, e acesso fica aquém de certeza.
Razão Dois: Confiante Não É Correto
O segundo modo de falha é mais fundamental, e a Konvoy o enquadrou com precisão em junho de 2026. Um modelo de linguagem retorna a resposta que considera mais provável, dado seu treinamento e o seu prompt. Provável fica aquém de comprovado. Falta ao modelo um mecanismo interno que separe “esta é provavelmente a sequência certa de tokens” de “isto está verificadamente correto”.
A Konvoy é uma firma de venture capital, que atua longe dos métodos formais, então leia o enquadramento dela como uma tese de investimento com um ponto que vale guardar. A frase é a parte útil: um modelo de linguagem diz o que é provavelmente verdadeiro, enquanto um sistema verificado diz o que é certamente verdadeiro. Para uma conta de aritmética, a diferença é acadêmica. Para uma cláusula contratual, uma dosagem, uma posição tributária ou um intertravamento de segurança, a diferença é a razão inteira de existir uma função de controle.
A direção que a Konvoy propõe é uma camada de verificação formal em torno do modelo: assistentes de prova como Lean 4, Coq e Isabelle, motores simbólicos como Wolfram Alpha, e sistemas de pesquisa como AlphaProof e AlphaGeometry 2, da DeepMind, ou o Aristotle, da Harmonic. O fio comum é o determinismo. Esses sistemas não retornam um palpite confiante. Retornam um resultado que ou bate com as regras formais ou não bate, sem probabilidade anexada.
Você não precisa de um provador de teoremas acoplado a cada fluxo para usar a ideia. O princípio é portátil. Onde a saída de um agente alimenta uma decisão que importa, uma checagem separada e determinística deveria ficar entre o agente e a consequência. A checagem não pede ao modelo que se avalie. Ela avalia a saída contra uma fonte de verdade que o modelo não pode influenciar.
Por Que a Resposta Não É um Modelo Mais Inteligente
O reflexo, quando um agente erra, é esperar o próximo modelo. Pesos melhores, contexto mais longo, notas de benchmark mais altas. Esse instinto interpreta mal os dois modos de falha.
Um modelo mais inteligente não descriptografa o próprio rastro de raciocínio. A barreira de acesso vem de uma decisão comercial e arquitetural, e nenhum limite de inteligência a explica. E um modelo mais inteligente continua sendo probabilístico. Elevar a confiança média de um palpite não o converte em prova. O modelo mais capaz do mercado ainda retorna sua resposta mais provável, entregue com a mesma fluência esteja ela certa ou errada. Fizemos o argumento adjacente em Quando o Modelo Decide Antes de Raciocinar: a ordem das operações dentro do modelo já quebra a suposição de que o raciocínio visível conduz à conclusão.
A resposta estrutural é parar de pedir ao modelo que seja seu próprio auditor. A verificação tem de ser externa, determinística onde for possível, e independente do sistema que ela checa. Detalhamos os blocos dessa postura em Raciocínio Estruturado É um Requisito de Governança e em O Loop de Atribuição Que Você Não Consegue Auditar. O fio condutor em todos é o mesmo: um sistema que produz uma saída não pode ser o sistema que a certifica.
Como É uma Camada de Verificação Externa
Na prática, a camada é menos exótica que um assistente de prova e mais disciplinada que um segundo modelo revisando o primeiro. Ela tem três propriedades que vale manter.
Ela é independente. A checagem roda em infraestrutura que o agente não controla, contra dados que o agente não gerou. Um modelo verificando a própria saída, ou um segundo modelo treinado na mesma distribuição, herda os mesmos pontos cegos.
Ela é determinística onde o domínio permite. Números reconciliam contra livros-razão. Datas validam contra calendários. Permissões checam contra uma tabela de autorizações. Onde um domínio tem regras formais, a verificação deveria rodar como checagem de regra, validada contra a regra em vez da aparência.
Ela é auditável por conta própria. A camada de verificação produz um registro que não depende de ler o raciocínio criptografado do agente. Você registra o que foi checado, contra qual fonte, com qual resultado. Esse registro é a trilha de auditoria, e ele sobrevive comprando ou não a chave corporativa.
Isso é mais caro do que confiar em um painel de raciocínio. É também a única versão de confiança que se sustenta quando o raciocínio é criptografado e a resposta é apenas provável.
Faça Isto Agora
Escolha um fluxo de agente em que uma saída errada tem consequência real. Mapeie o caminho da resposta do agente até a decisão que ela dispara. Então insira uma checagem determinística entre as duas que não peça ao modelo que se avalie: uma reconciliação, uma validação de regra, uma consulta de permissão contra uma fonte que o agente não pode tocar. Registre o resultado. Você agora tem uma trilha de auditoria que não depende de um rastro de raciocínio que talvez você nunca tenha permissão de ler.
Fontes
- Patrick McCanna. “The text in Claude Code’s Extended Thinking output is not authentic.” Junho de 2026.
- Konvoy Ventures. “How Sure is Your AI?.” Junho de 2026.
A Victorino ajuda empresas a construir camadas de verificação externas que se sustentam mesmo quando o raciocínio do agente é criptografado: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa