Além da mudança para a esquerda: como a mudança de "para todos os lugares" com agentes de IA pode melhorar os processos de DevOps

Imagine pedir comida para um jantar, mas o robô entregador que transporta sua refeição fica preso porque não consegue andar pelas calçadas irregulares da sua região. Ou porque seu sistema de GPS não está equipado para encontrar desvios em torno de um fechamento de estrada próximo.   

Ou pior ainda, o robô chega, mas faltam itens da sua comida — os cibercriminosos invadiram os protocolos de autenticação do serviço de entrega e levaram sua refeição (e seus dados pessoais).

Sem práticas avançadas de testes e segurança para atender aos ambientes de software atuais e às ameaças à cibersegurança, as equipes de DevOps e os usuários finais que dependem de seus produtos podem encontrar esses problemas com maior frequência. Muitos clientes ficariam frustrados e migrariam para outro serviço de entrega (ninguém gosta de ficar inesperadamente com fome) e a empresa sentiria o impacto dessa frustração em seus resultados.

As ferramentas de IA agêntica podem ajudar a equipe de desenvolvimento do serviço de entrega a evitar esses problemas. Por exemplo, a equipe poderia usar agentes para criar um pacote de testes abrangente que identifica falhas e vulnerabilidades de segurança durante a fase de codificação, muito antes de os robôs de entrega buscarem seu primeiro pedido.

Na verdade, as ferramentas de IA agêntica podem utilizar “equipes” de vários agentes para criar gêmeos digitais de alta fidelidade que simulam desafios do mundo real que os robôs podem enfrentar, permitindo que os desenvolvedores testem o comportamento do código e as interações de dependência antes de começarem a programação. Isso constitui uma “mudança para a esquerda”, movendo as práticas de teste e garantia de qualidade mais cedo no ciclo de vida de desenvolvimento de software.

Com a complexidade dos sistemas de software modernos e a demanda por maior agilidade e colaboração, esse foco na detecção precoce evoluiu para a prática mais abrangente de DevSecOps de “mudar para todos os lugares”. Uma abordagem de shift everywhere visa “automatizar a integração de práticas de segurança e proteção em todas as fases do ciclo de vida de desenvolvimento de software”.

Trata-se de uma tarefa grande — prática e culturalmente — que levou muitas empresas a explorar mais completamente como podem aproveitar os recursos da IA nas práticas de DevOps. Entre as mais novas dessas tecnologias está a IA agêntica, que pode:

• Executar tarefas de várias etapas. Os agentes de IA podem dividir metas de alto nível em subtarefas menores e realizar tarefas em vários estágios até a conclusão.

• Adaptar-se em tempo real. Os agentes de IA podem ajustar seu comportamento e planos com base em novas informações ou mudanças nas condições.

• Colabore na orquestração de tarefas e fluxos de trabalho. Sistemas de IA agêntica podem coordenar e se comunicar com outros Agente de IA para alcançar objetivos compartilhados.

• Melhorarem a si mesmos com o tempo. Com funcionalidades como aprendizado por reforço, os Agentes de IA podem aprender com experiências, melhorando sua tomada de decisão e ajustando estratégias ao longo do tempo.

As ferramentas de IA agêntica também têm recursos de tomada de decisão autônoma e as empresas estão entusiasmadas com as possibilidades.

De acordo com o IBM Institute for Business Value (IBM IBV), “86% dos executivos afirmam que até 2027, os agentes de IA tornarão a automação de processos e a reinvenção do fluxo de trabalho mais eficazes”. Quase 80% dos executivos seniores já adotaram alguma forma de IA agêntica em suas empresas e 19% das empresas estão implementando IA agêntica em escala.

Agora, os agentes inteligentes de IA podem orquestrar o desenvolvimento, a implementação, o monitoramento e os upgrades de software. Podem tornar as práticas de "shift left" e "shift everywhere" mais gerenciáveis para desenvolvedores sobrecarregados, que nem sempre têm largura de banda para testar minuciosamente e proteger o software antes de sua implementação.

"Shifting left" é a prática estratégica de mover tarefas — como testes, identificação e resolução de problemas e segurança — para estágios anteriores do ciclo de vida do desenvolvimento de software. Permite que as equipes descubram problemas (idealmente) durante a codificação, em vez da implementação. O termo vem da visualização do processo de desenvolvimento da esquerda (programação) para a direita (implementação), de modo que integrar atividades críticas na fase de programação equivale a movê-las para a esquerda no ciclo de vida.

No entanto, as abordagens de "shift left" podem ser difíceis de implementar e manter porque transferem responsabilidades extras para os desenvolvedores que normalmente poderiam ser feitas por especialistas no assunto.

Nessa mudança, os desenvolvedores e outros membros da equipe devem incorporar tarefas de teste, segurança, gerenciamento de problemas e colaboração entre equipes como parte regular de carga de trabalho. A inclusão dessas responsabilidades sem a redução da carga de trabalho pode reduzir o tempo que os desenvolvedores gastam escrevendo código de alta qualidade e resolvendo problemas de programação.

Embora a IA agêntica seja uma tecnologia nova (com seus próprios desafios de adoção), ela pode ajudar as equipes a lidar com as dificuldades associadas às implementações do shift left, especialmente aquelas que afetam a produtividade do desenvolvedor.

Além disso, os agentes podem ser especialmente úteis para empresas que estão em transição para uma abordagem de “shift everywhere”. Enquanto o Shift Left se concentra na integração de segurança e testes no início do ciclo de vida do desenvolvimento, o Shift Everywhere significa incorporar segurança, monitoramento e testes em todas as fases, incluindo programação, construção, implementação e tempo de execução. O objetivo é proteger cada aplicativo, cada tecnologia e cada implementação ao longo do ciclo de vida.

"A shift everywhere repercute mais com a complexidade dos sistemas de software modernos e a necessidade de responsabilidade compartilhada entre equipes e estágios", explica Bill O'Connell, desenvolvedor de software e DevOps da IBM. “Mas o que estamos vendo é o surgimento de um modelo híbrido, que pega emprestados os melhores elementos de cada abordagem. Trata-se de usar as ferramentas e a mentalidade certas para o contexto certo."

A IA agêntica é um sistema de inteligência artificial capaz de atingir um objetivo específico com supervisão limitada. Os agentes de IA usam grandes modelos de linguagem (LLMs), processamento de linguagem natural (NLP) e aprendizado de máquina (ML) para criar seus próprios fluxos de trabalho, realizar tarefas e executar processos em nome de usuários e de outros sistemas.

Em um sistema de IA agêntica, vários Agentes de IA coordenam seus esforços para orquestrar ou realizar tarefas complexas e assumir objetivos maiores do que qualquer um agente de IA poderia realizar.

Os agentes de IA levam a automação muito além dos scripts predefinidos. Ao contrário dos chatbots e outros modelos de IA, que operam dentro de restrições predefinidas e exigem intervenção humana, os agentes de IA e a IA agêntica são autônomos, baseados em contexto e objetivos e adaptáveis a circunstâncias em mudança. Não somente concluem tarefas, como também aprendem com o passado, se adaptam ao presente e preveem o futuro.

O uso de IA agêntica exige que líderes empresariais, equipes de produtos e engenheiros estabeleçam objetivos de alto nível e definam parâmetros de forma colaborativa, portanto agentes de IA não podem (e não devem) operar sem nenhum envolvimento humano. Em vez disso, os agentes de IA possibilitam práticas de desenvolvimento com envolvimento humano, onde os agentes trabalham junto com engenheiros e equipes de DevOps para ajudar os seres humanos a atingir metas mais rapidamente.

Basicamente, os humanos definem o que e os agentes descobrem o como planejando e executando as ações necessárias para atingir essas metas dentro dos parâmetros apresentados.  

As empresas estão recorrendo cada vez mais a sistemas de IA agêntica para gerenciar, simplificar e acelerar os processos de DevOps e melhorar os canais de integração contínua/entrega contínua (CI/CD).

Os agentes podem, por exemplo, fazer avaliações das alterações de código em busca de erros de sintaxe, fazer sugestões de refatoração e verify as correções antes que as alterações sejam integradas à base de código. Elas também podem acelerar a inovação. "[Os agentes] permitem a prototipagem rápida de ideias que há muito desejava implementar. Seja para produtividade pessoal ou a eficiência de equipes, a IA agêntica ajuda a transformar conceitos em ferramentas utilizáveis, reduzindo o fardo das tarefas rotineiras", diz O'Connell.

A IA agêntica é útil para uma variedade de casos de uso, mas vamos discutir quatro processos principais em mais detalhes.

As ferramentas de IA agêntica acompanham constantemente dados de observabilidade (como métricas, logs e rastreamentos) e outros fluxos de dados (como sinais de feedback) de uma variedade de fontes em tempo real.

Esse processo envolve consulta a bancos de dados, registros de processos, dados históricos e dependências de código aberto, além de se conectar a interfaces de programação de aplicativos (APIs) para identificar e preencher lacunas de dados. Supondo que os dados externos estejam dentro de seus parâmetros, os agentes também incorporam dados de mercado e do setor para enriquecer sua consciência de contexto antes de formar hipóteses ou enviar notificações para as equipes de TI.

Usando os recursos de ML, os agentes identificam padrões de dados e estruturas de link, aprendendo o que constitui o comportamento normal do sistema, ajustando-se dinamicamente ao longo do tempo e rastreando desvios das linhas de base estabelecidas.

As ferramentas de IA agêntica estão equipadas para detectar diversos tipos de anomalias, sejam pontos de dados irregulares individuais, clusters de dados anormais ou anomalias contextuais (quedas repentinas no tráfego de sites de comércio eletrônico na Black Friday, por exemplo). Podem também ajustar as linhas de base de forma autônoma à medida que as condições mudam e identificar relações ocultas e multidimensionais que podem exigir uma investigação mais aprofundada.

Para concluir o mesmo processo com um modelo de IA tradicional e estático, os desenvolvedores teriam que treinar novamente a ferramenta de IA conforme as linhas de base mudassem, aumentando a probabilidade de ocorrerem falsos positivos ou negativos.

Na verdade, os modelos estáticos tendem a exigir mais inputs humanos e ajustes entre as funções.

Elas dependem de regras predeterminadas e verificações estatísticas mais simples que podem ocultar relações complexas entre variáveis. Essa ambiguidade força os desenvolvedores a correlacionar manualmente os dados e definir relações. E porque os modelos de IA estáticos muitas vezes não têm a sensibilidade ao contexto dos modelos de IA agêntica, tendem a tratar todas as anomalias igualmente, deixando os desenvolvedores para fazer a triagem dos problemas.

As ferramentas de teste de IA agêntica podem gerar casos de teste mais inteligentes e personalizados, expandindo a cobertura de testes em todo o ambiente.

A IA agêntica analisa o código-fonte do aplicativo, a estrutura da interface do usuário (UI), os requisitos de software, os fluxos do usuário, as respostas da API, o histórico de defeitos e os artefatos de teste existentes para entender e decidir quais testes executar. Os desenvolvedores também podem criar cenários (“o cliente adiciona refeições ao carrinho e finaliza a compra”, por exemplo) e fazer com que os agentes de IA os convertam em scripts de teste praticáveis para identificar quaisquer problemas que possam surgir no processo de execução de um conjunto específico de ações.

As ferramentas de IA agêntica adaptam constantemente os testes de software em tempo real, aprendendo com os testes anteriores e implementando protocolos de teste com base em resultados e na criticidade da missão. Essas funcionalidades ajudam a garantir que os testes sejam oportunos e que a cobertura seja direcionada (mas abrangente).

Quando os desenvolvedores alteram a lógica do código ou atualizam a interface do usuário, por exemplo, os agentes podem detectar as alterações durante as execuções de teste e atualizar automaticamente os testes relevantes. Se um trecho do código tiver uma vulnerabilidade de segurança ou usar um padrão de código ou construção de linguagem incomum, as ferramentas de IA agêntica poderão recomendá-lo para testes locais ou unitários, isolando o código e testando-o ainda mais para identificar o problema. 

Na verdade, depois que os agentes de IA entendem o que uma aplicação deve fazer, podem gerar scripts e casos de teste antes que os desenvolvedores escrevam o código, para que as equipes de desenvolvimento possam se concentrar na qualidade do código.

As funcionalidades de correlação assistida por IA agêntica vinculam alertas relacionados entre usuários, ambientes e endpoints de API, analisando alertas significativos de sinais supérfluos, reduzindo o volume de alertas e a fadiga de alertas para equipes de desenvolvimento e operações.

Um componente essencial do deslocamento para a esquerda na correlação de alertas é o embedding de inteligência na origem, ou seja, usar agentes para analisar dados brutos à medida que os dados chegam. Essa abordagem permite a correlação em tempo real e ajuda as equipes a migrarem de uma posição reativa para uma estratégia proativa de correlação e remediação.

Os sistemas de IA agêntica usam algoritmos sofisticados de ML para analisar dados de alertas históricos e em tempo real, correlacionando pontos de dados com base em sincronização, fonte, tipo de evento, sistemas afetados e padrões comportamentais, entre outros atributos.

Os agentes reúnem o contexto de forma dinâmica, incluindo endereços IP, IDs de usuário e status do dispositivo, em torno de cada alerta. Com os dados enriquecidos, os agentes podem mapear incidentes e identificar pontos em comum. Por exemplo, se o agente notar uma tentativa de login fracassada em uma hora incomum e acesso irregular a arquivos da mesma conta, poderá correlacionar os pontos de dados e indicar uma possível tentativa de violação.

Depois que um conjunto de alertas é agrupado, o agente os apresenta como uma unidade. Um evento que pode ter gerado dois alertas separados, um para a tentativa de login e outro para o acesso ao arquivo, criará e enviará apenas um alerta (para a violação) para o desenvolvedor. E em vez de receber e triagem de notificações exaustivas de eventos individuais, as equipes de TI podem acionar ações e fluxos de trabalho de remediação para todo o grupo de sinais.

Além disso, os agentes de IA podem construir histórias de incidentes inteiras. Se uma funcionalidade falhar, os agentes podem rastrear as causas raiz e o desempenho da funcionalidade ao longo do tempo, criando um relatório abrangente que a equipe de TI pode usar para lidar com o problema. Os agentes também podem "lembrar" os detalhes da falha, permitindo que os desenvolvedores simulem as condições em futuras rodadas de teste e encontrem falhas de código em novas iterações ou aplicações.

Os sistemas IA agêntica ajudam a automatizar a detecção de vulnerabilidades, os testes de explorabilidade, análise de causa raiz e a resolução de ameaças durante o processo de programação, para que os desenvolvedores se preocupem menos com as avaliações manuais dos códigos.

Os agentes de IA não esperam pelos alertas de segurança. Em vez disso, caçam constantemente comportamentos suspeitos analisando logs de segurança, tráfego de rede, código-fonte e feeds de inteligência de ameaças em tempo real. Depois podem gerar hipóteses sobre ameaças em potencial, testar as hipóteses em relação aos logs e escalar somente ameaças confiáveis, refinando sua compreensão ao longo do tempo.

Diferentemente dos modelos de IA estáticos que sinalizam problemas com base apenas em regras predefinidas, os agentes de IA avaliam a gravidade e a explorabilidade das vulnerabilidades de segurança analisando o contexto (valor do ativo, exposição à rede, padrões de ataque conhecidos, possíveis vetores de ataque, entre outras métricas).

Quando uma vulnerabilidade é encontrada, os agentes podem priorizá-la automaticamente com base no tempo de execução, no impacto nos negócios e no contexto de conformidade e de forma autônoma iniciar playbooks para corrigir o problema.

Usando análise preditiva de dados e aprendizado supervisionado, as ferramentas de IA agêntica podem simular ataques em ambientes de área restrita para testar se as vulnerabilidades são exploráveis.

Sistemas multiagentes podem analisar descrições de vulnerabilidades e o código-fonte correspondente para gerar ataques de prova de conceito que demonstram o risco real de invasão. Localizando um fragmento de código problemático, os agentes podem criar um ataque que aciona a vulnerabilidade, permitindo que os desenvolvedores vejam exatamente onde o problema ocorreu, por que ocorreu e como afeta o desempenho do software.

Veja o exemplo do robô de entrega de comida. Uma abordagem impulsionada por IA agêntica permitiria que os desenvolvedores simulassem um ataque cibernético durante (ou mesmo antes) a programação, descobrissem que um fragmento de código específico é vulnerável a ataques de autenticação de intermediário, e corrigissem o código antes que o robô fosse lançado em um ambiente de produção. 

A IA agêntica está se tornando uma ferramenta transformadora para muitas empresas e equipes de DevOps, mas ainda é uma tecnologia nova que apresenta dificuldades novos e em transformação. Embora muitos líderes de negócios permaneçam otimistas, a Gartner prevê que os custos crescentes, a gestão insuficiente dos riscos e o ROI pouco claro farão com que as empresas cancelem mais de 40% de todos os projetos de IA agêntica até 2027.

Grande parte da preocupação gira em torno de questões de segurança e confiança do agente. É verdade que a IA agêntica pode simplificar e melhorar a segurança do software e da rede, mas também apresenta riscos consideráveis à segurança.

A IA agêntica permite que os desenvolvedores criem e implementem agentes personalizados autônomos que operam de forma independente em sistemas e processos. Muitos desses agentes são criados e executados sem visibilidade formal de TI, segurança ou governança. Essa proliferação descontrolada e descentralizada de agentes pode criar "IA oculta" dentro de organizações e pipelines de DevSecOps.

Com agentes atuando de forma autônoma, as empresas também podem ter dificuldades para manter os controles de "human-in-the-loop". Se os agentes de IA tiverem permissão para operar sem responsabilidade clara, poderá ser extremamente difícil avaliar suas intenções, validar suas ações ou aplicar políticas de segurança de forma eficaz, especialmente à medida que os ambientes se expandirem. Afinal, quem é o responsável quando uma ferramenta autônoma comete um erro ou viola seus parâmetros?

Alguns argumentam que os criadores e as organizações que os capacitam são responsáveis pela falha dos dados de treinamento, pelos testes insuficientes ou pela falta de proteções. Mas, de forma realista, o quadro pode ser muito mais obscuro.

As ferramentas de IA agêntica também dependem muito de APIs para acessar dados, implementar fluxos de trabalho e se conectar com serviços externos, e cada integração com API é um ponto de entrada em potencial para invasores. Como os agentes nem sempre seguem padrões previsíveis de uso da API (afinal eles são autônomos), podem expor inadvertidamente dados confidenciais ou proprietários por meio de operações legítimas (inclusive informações pessoais em arquivos de log, por exemplo) e expandir consideravelmente a superfície de ataque.

Um único endpoint de API comprometido ou mal configurado pode conceder acesso a vários sistemas de backend e conjuntos de dados, permitindo que os cibercriminosos migrem lateralmente dentro da arquitetura e aumentem seus privilégios. 

Além disso, a maioria dos agentes de IA é executada em LLMs, de modo que podem herdar vulnerabilidades do modelo subjacente. Se um atacante incorporar instruções maliciosas em prompts ou fontes de dados confiáveis (como arquivos de configuração, documentação ou bilhetes de suporte), o agente pode, sem saber, executar ações prejudiciais ao processar o prompt.

As empresas também podem querer considerar os desafios de IA agêntica não relacionados à segurança. Por exemplo, agentes autônomos às vezes podem alucinar etapas de construção ou detalhes de configuração, inventando parâmetros que acionam ações acidentais ou maliciosas.

As alucinações ocorrem quando um modelo de linguagem (geralmente um chatbot de IA generativa ou uma ferramenta Computer Vision) gera informações incorretas — ou totalmente fabricadas — que parecem plausíveis. Durante a revelação do chatbot Bard do Google, Bard afirmou que o Telescópio Espacial James Webb tirou as primeiras fotos de um exoplaneta. Isso era factualmente impreciso — a primeira foto do exoplaneta foi tirada anos antes por outro telescópio. Esse é um exemplo relativamente benigno.

Quando os agentes usam detalhes alucinados nos fluxos de trabalho de DevOps, podem propagar silenciosamente os erros pela base de código e pelos pipelines de automação, onde se agravam e causam falhas em cascata.

As ferramentas de IA agêntica também apresentam desempenho inferior quando se trata de desenvolvimento de código. Um estudo demonstrou que os desenvolvedores demoram quase 20% mais para resolver problemas de código quando usam IA. E o relatório State of Software Delivery 2025 constatou que os desenvolvedores gastam 67% mais tempo depurando códigos gerados por ferramentas de IA. Muitas equipes de desenvolvimento não conseguem acompanhar a escala das falhas de código geradas pela IA, o que significa que os agentes de IA às vezes criam mais dívidas técnicas do que eliminam.

Embora os desafios associados ao uso de ferramentas de IA agêntica sejam grandes, os gateways de IA podem ajudar a mitigar alguns dos riscos.

Os gateways de IA atuam como uma camada unificada e leve entre as aplicações de IA agêntica e os modelos, APIs e ferramentas que utilizam. Os gateways aplicam políticas de governança e conformidade de forma consistente em todos os agentes de IA e ferramentas de DevOps no ecossistema, eliminando a aplicação de parâmetros fragmentada e inconsistente.

A centralização simplifica o processo de implementação de protocolos de segurança, restrições de privacidade de dados e conformidade regulatória em implementações complexas e distribuídas. Também ajuda os agentes a controlar melhor o acesso a APIs, a autenticação e a processos de autorização.

Além disso, os gateways podem ajudar os agentes a descobrir ameaças e problemas de código mais cedo, aumentando a visibilidade da atividade do agente. Eles oferecem um aparelho coesivo de monitoramento, auditoria, detecção de anomalias e rastreabilidade, para que o comportamento do agente possa ser rastreado durante todo o ciclo de vida. Como os gateways de IA tornam a IA agêntica mais observável, também ajudam as empresas a controlar os problemas de IA oculta e os custos descontrolados que a implementação da IA agêntica pode criar.

Quando perguntado se os benefícios de usar IA agêntica superam os riscos, O'Connell afirma: "100%. À medida que as empresas começam a integrar a IA agêntica, as proteções serão essenciais, não apenas técnicas, mas também culturais e éticas. Mas estamos apenas no início do que é possível”.

Embora os desafios permaneçam em torno de governança, confiança e integração, a trajetória é clara: os agentes de IA não são apenas um complemento para os pipelines de DevOps e CI/CD, eles estão moldando seu futuro. O resultado não é apenas uma tomada de decisão mais inteligente, é uma mudança cultural em direção a uma entrega de software mais eficiente e adaptável.