A OWASP reconheceu oficialmente o Agent Memory Guard como projeto Incubator. A biblioteca Python de código aberto filtra cada leitura e escrita na memória de agentes de inteligência artificial, bloqueando injeções maliciosas antes que corrompam o comportamento do agente entre sessões. A ferramenta é a implementação de referência da categoria ASI06 do OWASP Top 10 para aplicações agentivas.

Pontos-chave

O projeto acumula mais de 4 445 downloads desde o lançamento. Testes contra 55 ataques reais registraram 92,5% de taxa de detecção, com precisão de 100% e zero falsos positivos. A latência mediana ficou em 59 microssegundos por operação. O pacote oferece suporte nativo para LangChain, OpenAI Agents SDK, AutoGen e mem0, sem dependências externas nem chaves de API.

Como a ferramenta funciona

O Agent Memory Guard interpõe-se entre o agente e seu armazenamento de memória. Cada operação de leitura ou escrita atravessa um pipeline de detectores e uma política declarativa. As regras em YAML mapeiam achados a quatro ações: permitir, redigir, colocar em quarentena ou bloquear. Quando uma escrita tenta modificar uma chave protegida, como a identidade do usuário, o guardião intercepta a operação e emite um evento de segurança estruturado.

A diferença em relação às defesas tradicionais reside no alvo. Ferramentas convencionais de prompt injection analisam apenas a entrada do usuário no início do ciclo do agente. O Agent Memory Guard inspeciona a própria memória persistente — índices RAG, histórico de conversas, blocos de notas e vector stores. Um atacante que consiga plantar texto num campo errado pode sobrepor instruções, exfiltrar dados ou sequestrar chamadas futuras a ferramentas. O ataque sobrevive entre sessões porque a memória também sobrevive.

Resultados dos testes

A equipe testou o guardião contra 55 payloads reais em quatro categorias de ameaça. A taxa global de detecção atingiu 92,5%, com precisão perfeita e nenhum falso positivo. O F1 score chegou a 0,961. A latência mediana de 59 microssegundos descarta preocupações de desempenho em pipelines de produção.

A quebra por categoria revela onde a ferramenta brilha. Injeções de prompt foram detectadas em 100% dos casos, com 15 de 15 amostras bloqueadas. Adulteração de chaves protegidas também atingiu cobertura total. Vazamento de dados sensíveis registrou 83% e anomalias de tamanho alcançaram 80%. Qualquer equipe pode reproduzir os números localmente executando o benchmark de segurança incluído no repositório.

Integração com frameworks

A biblioteca principal instala-se com um único comando pip. Um pacote adicional oferece middleware nativo para LangChain que protege entradas do modelo, saídas do modelo e saídas de ferramentas — este último é o principal vetor de injeção em sistemas agentivos. A mesma interface cobre o OpenAI Agents SDK, AutoGen e mem0 sem alterações de código significativas.

Para equipas que precisam de controle fino, o guardião oferece rastreamento de proveniência por classe de origem. Cada escrita carrega uma declaração explícita sobre a origem do conteúdo: ferramenta externa, entrada do usuário, raciocínio do próprio agente ou sistema. Estas classes viajam com cada evento de segurança emitido, permitindo que ferramentas SIEM correlacionem decisões do guardião ao longo da cadeia de execução.

O roadmap de 2026 inclui adaptadores nativos para LlamaIndex, CrewAI, Redis e PostgreSQL. A versão 1.0, prevista para o quarto trimestre, promete segurança multi-agente e promoção do projeto a OWASP Lab. Equipes que usam a ferramenta em produção podem juntar-se ao arquivo ADOPTERS para ganhar destaque nas notas de versão.

Ataques que bloqueia

Para além das injeções e do vazamento de segredos, o guardião combate um modo de falha mais lento e insidioso. Um agente pode reingerir seu próprio output anterior, elaborá-lo levemente, escrevê-lo de volta e, na próxima iteração, tratar a versão elaborada como fato estabelecido. Após algumas voltas, uma alucinação se transformou em memória durável sem que nenhuma escrita individual parecesse maliciosa.

O detector de auto-reforço vigia este ciclo. Quando muitas escritas auto-similares do próprio agente ocorrem na mesma chave dentro de uma janela de arrefecimento, sem corroboração independente, o sistema sinaliza o padrão. Uma escrita externa posterior na mesma chave reinicia o contador. Esta lógica foi contribuída durante a discussão da arquitetura de três camadas no repositório AutoGen da Microsoft.

Para recuperação de incidentes, o guardião mantém snapshots point-in-time que permitem reversão para um estado conhecido como bom. Cada aposentadoria de entrada captura um snapshot antes da remoção, tornando a operação reversível. Chaves protegidas são ignoradas automaticamente durante processos de limpeza automatizada.

O que fazer agora

Equipes de segurança que operam agentes de IA devem instalar a biblioteca num ambiente de testes e validar a política YAML contra seu fluxo de dados real. O projeto aceita contribuições para novos detectores, adaptadores de framework e integrações de backend. Quem usa a ferramenta em produção deve reportar lacunas através dos templates de issue no GitHub da OWASP.

Equipes que já aplicam regras de detecção genéricas para agentes podem combinar o Agent Memory Guard com conjuntos existentes. A telemetria estruturada emitida pelo guardião integra-se em pipelines SIEM e complementa ferramentas como o Agent Beacon, que regista cada ação de agentes de IA para auditoria forense.