A Microsoft disponibilizou em código aberto duas ferramentas que a sua equipa interna de AI Red Team usou para testar sistemas de inteligência artificial antes de os lançar. RAMPART transforma descobertas de red teaming em testes automáticos executáveis num pipeline de CI, e Clarity obriga engenheiros a justificar decisões de design antes de escreverem uma única linha de código.

Pontos-chave

O anúncio foi feito a 20 de maio de 2026. RAMPART, cujo nome completo é Risk Assessment & Measurement Platform for Agentic Red Teaming, é um framework de testes de segurança nativo do pytest para aplicações de IA agentes. Clarity funciona como um parceiro de raciocínio que questiona pressupostos de design. Ambas as ferramentas foram testadas em batalha por engenheiros da Microsoft antes do lançamento público. O repositório de RAMPART no GitHub já tem 60 estrelas e licença MIT.

De PyRIT para RAMPART

A Microsoft tem um percurso consolidado em ferramentas de segurança para IA. Lançou Counterfit em 2021 e PyRIT em 2024. PyRIT, ou Python Risk Identification Tool, tornou-se a base sobre a qual RAMPART foi construído. A diferença é clara: PyRIT foi desenhado para investigadores de segurança fazerem descoberta black-box depois de o sistema estar construído, enquanto RAMPART foi criado para engenheiros durante a construção do sistema.

Ram Shankar Siva Kumar, fundador do AI Red Team da Microsoft, explicou a distinção. O objetivo é transformar incidentes reproduzíveis e mitigações verificáveis em ativos de engenharia executáveis. Cada teste liga-se ao agente através de um adaptador fino, orquestra uma interação e avalia resultados observáveis. Os testes devolvem um sinal claro de aprovação ou reprovação que pode ser gatilhado no CI como qualquer outro teste de integração.

Como RAMPART funciona na prática

Os programadores escrevem casos de teste em pytest que descrevem cenários adversariais. Um exemplo típico é um ataque de prompt injection indireto, onde dados não confiáveis chegam ao sistema de IA através de uma fonte como um email, ficheiro ou página web. O framework executa esses testes automaticamente a cada alteração de código.

Como os sistemas de IA são probabilísticos, o resultado de um único teste pode variar. RAMPART resolve isso com a possibilidade de executar o mesmo teste múltiplas vezes e definir uma percentagem mínima de aprovações. Quando se adiciona uma nova ferramenta ou fonte de dados ao agente, o teste de segurança correspondente pode ser adicionado no mesmo pull request.

Caso de uso interno real

A equipa de resposta a incidentes de IA da Microsoft já usou RAMPART em situações reais. Num caso descrito por Siva Kumar, a equipa recebeu uma vulnerabilidade reportada, gerou cem variantes do ataque através da ferramenta e testou a potência de cada uma. Os engenheiros aplicaram mitigações a todas as variantes e verificaram se as correções funcionavam.

O resultado: trabalho que levaria semanas a especialistas da Microsoft passou a ser concluído em horas. Este é o argumento central da ferramenta: escalar o conhecimento do red teaming e transformá-lo em testes repetíveis em vez de avaliações pontuais.

Clarity questiona o design cedo

Clarity ataca um problema diferente: decisões de design que se tornam caras de corrigir mais tarde. A ferramenta guia engenheiros e gestores de produto através de conversas estruturadas que cobrem clarificação de problemas, exploração de soluções, análise de falhas e registo de decisões. Faz as perguntas que arquitetos experientes e engenheiros de segurança fariam, mas que equipas entusiasmadas com um projeto novo tendem a saltar.

A análise de falhas merece atenção especial. Múltiplos “pensadores” de IA examinam o sistema de forma independente, cobrindo segurança, fatores humanos, cenários adversariais e preocupações operacionais. A equipa depois trabalha os resultados em conjunto com Clarity, agrupando falhas relacionadas, traçando cadeias causais e construindo planos de gestão. O output fica em ficheiros markdown legíveis por humanos, comprometidos num diretório .clarity-protocol/ no repositório.

Segurança como artefacto vivo

A filosofia por trás das duas ferramentas é mover a segurança de IA de uma revisão única para um conjunto de artefactos vivos. Clarity regista decisões antes da construção. RAMPART testa comportamentos durante e depois da construção. Em conjunto, cobrem o ciclo de vida completo de desenvolvimento de agentes de IA.

Isto tem peso numa altura em que os agentes de IA ganham autonomia e começam a executar ações com impacto real em sistemas de produção. Um agente que pode ler emails, aceder a bases de dados ou fazer pedidos de rede precisa de testes que verifiquem o que acontece quando inputs adversariais entram nessas ferramentas.

Para equipas que já trabalham com telemetria de agentes de IA, RAMPART oferece o próximo passo lógico: testar ativamente os limites de segurança antes de um atacante o fazer. A diferença entre observação passiva e teste ativo é o que separa detetar um problema de o prevenir.

O que fazer agora

Equipas que desenvolvem agentes de IA devem começar por integrar RAMPART no pipeline de CI existente. A ferramenta exige apenas um adaptador que ligue o agente ao conjunto de testes, pelo que a barreira de entrada é baixa para equipas que já usam pytest. O repositório oficial está em github.com/microsoft/RAMPART, com documentação e exemplos de adaptadores.

Para Clarity, o caminho é usar a ferramenta no início de cada projeto de agente de IA novo. As conversas estruturadas custam minutos e podem poupar meses de retrabalho. Siva Kumar resume a ideia: quando o curso ainda é barato de alterar, a conversa certa poupa mais do que qualquer correção posterior.