A Exabeam lançou o Praxen, uma ferramenta de código aberto que compara a política declarada de um agente de IA com o seu comportamento real e lista cada ponto onde as duas versões divergem. Lançado a 23 de junho de 2026 sob licença Apache 2.0, o projeto é a implementação de referência de um modelo de controlo designado Agent Behavior Verification, que trata cada agente como um trabalhador com permissões explícitas.
Pontos-chave: o Worker Remit obriga a declarar missão, ferramentas e ações proibidas; a evidência é recolhida de código, configurações, logs e definições MCP; os resultados saem em HTML, JSON e texto; cada achado é mapeado para o OWASP Top 10 de IA Agentica 2026 e para o framework RAISE; a execução corre localmente como plugin de Claude Code.
O problema do policy drift
Agentes acumulam permissões em excesso ao longo do tempo. Recebem ferramentas que funcionam, mas que extrapolam o escopo declarado. Servidores MCP entram em configurações de implantação sem revisão de segurança. Até ao Praxen, nenhuma ferramenta media a distância entre a política escrita e aquilo que o agente conseguia, de facto, executar. Um inquérito de 2026 a mais de 900 líderes técnicos concluiu que 88% das organizações já tinham vivido incidentes de segurança com agentes de IA que as suas políticas não conseguiram impedir. Os mesmos executivos, 82% deles, consideravam essas políticas adequadas. As organizações que aplicam acesso de menor privilégio a agentes registaram 17% de incidentes. As que não o fazem chegam aos 76%. A diferença de 4,5 vezes repete uma lição antiga da gestão de identidades, agora aplicada a software que decide sozinho.
Como funciona a verificação
Tudo começa pelo Worker Remit, um documento em Markdown onde a equipa declara aquilo que o agente pode fazer. O remit cobre a missão, as ferramentas autorizadas, os canais e contrapartes aprovadas e as ações expressamente proibidas. Com o documento em mãos, o Praxen lê evidência recolhida da implementação e do ambiente: código-fonte, configurações de implantação, logs comportamentais, manifestos de dependências e definições de ferramentas e servidores MCP. Logs longos são amostrados para ampliar a cobertura.
A ferramenta cruza o documento com a evidência e produz um relatório de lacunas. Cada divergência vem acompanhada de recomendação e de uma pontuação de maturidade assente no framework RAISE, que avalia seis categorias numa escala de zero a cinco. Os relatórios são gerados localmente, sem envio de dados para servidores externos. Conjuntos de evidência extensos podem exceder a janela de contexto do modelo. O Praxen começa com uma passagem de descoberta sobre código, configurações, manifestos, definições de MCP e artefactos de memória, e prioriza o material mais relevante para o comportamento do agente. Há um risco conhecido em análises longas: observações antigas podem ser sumarizadas e perdidas à medida que a sessão cresce. Para lidar com isso, o Praxen escreve achados de forma incremental e grava o estado da análise num manifesto estruturado antes de gerar o relatório. Se a sessão subjacente exceder a janela, o relatório é reconstruído a partir desse ponto de verificação. Achados tirados de evidência amostrada ficam marcados e evidência em falta conta como sinal próprio.
As camadas nomeadas da análise
Cada análise corre um conjunto de verificações com nome próprio. Elas cobrem divergência entre política e implementação, exposição de credenciais, lacunas de configuração, drift de capacidades, risco na cadeia de abastecimento, controlos mal ligados e ficheiros stub vazios em caminhos sensíveis à segurança. Incluem também descoberta de prompt secundário e raciocínio por sinal composto, que encadeia achados isolados num caminho de ataque de gravidade superior. Cada achado traz etiquetas do OWASP Top 10 para Aplicações LLM 2025, do OWASP Top 10 para Aplicações de IA Agentica 2026 e do OWASP Secure MCP Server Development Guide 2026. A categorização permite a um auditor mapear o problema a um controlo conhecido e a um requisito de conformidade sem reconstruir a análise.
Como a análise é feita por um agente de codificação, duas execuções sobre a mesma evidência podem produzir conjuntos de achados diferentes. Steve Wilson, Chief AI Officer da Exabeam, disse à Help Net Security que os achados principais e os temas de segurança se mantêm estáveis, com variações menores na contagem de severidades ou na pontuação de maturidade. Cada achado rastreia-se até ao material de origem. O Praxen cita os ficheiros, configurações e artefactos que sustentam as conclusões, permitindo a um revisor ou auditor verificar a afirmação de forma independente. A consistência é medida com uma suite de regressão congelada de implementações representativas, validada a cada release. Para governança ou benchmarking, a recomendação é correr a análise várias vezes, reportar o resultado mediano e unir os achados materiais.
A separação entre verificação e monitorização
O Praxen é uma verificação pré-implantação, não um monitor de execução. Steve Wilson explicou que o objetivo da Exabeam é uma política única que sirva as duas fases. O Worker Remit oferece uma definição legível por humanos do papel pretendido para o agente, com permissões, responsabilidades, restrições e requisitos de aprovação. O Agent Behavior Analytics, camada separada da Exabeam, analisa o comportamento de agentes implantados ao longo do tempo e sinaliza atividade que se desvia das expectativas, da política ou de baselines estabelecidas. A verificação responde se a equipa construiu o agente que pretendia. A analítica responde se o agente implantado se comporta como pretendido em produção. As duas capacidades estão separadas neste momento, mas a empresa espera uni-las numa estratégia mais ampla de Behavior Intelligence para agentes de IA.
O que fazer antes de publicar
Mesmo que a equipa nunca corra o Praxen, escrever o Worker Remit vale o esforço. Obrigar a equipa a registar, de forma estruturada e antes da implantação, aquilo que o agente pode e não pode fazer introduz a disciplina que as revisões de políticas de IAM tornaram padrão para recursos em nuvem. Agentes merecem o mesmo rigor. Em sistemas de alto risco ao abrigo do AI Act da União Europeia, documentar o comportamento pretendido face ao real é um requisito crescente de conformidade, e um Worker Remit acompanhado de um relatório do Praxen encaixa-se naturalmente nesse requisito. A ferramenta deve correr antes de cada implantação e em cada release, idealmente várias vezes, reportando o resultado mediano e a união dos achados materiais.
Para fechar o ciclo de segurança de agentes, o Praxen combina-se bem com camadas complementares já conhecidas. Quem mantém agentes em produção encontra no Agent Memory Guard uma proteção OWASP para a memória persistente do agente. Quem prefere partir de regras prontas de deteção pode recorrer às 650 regras do Agent Threat Rules. O repositório do Praxen fica no GitHub sob licença Apache 2.0, com instalação via plugin de Claude Code.