Framework de Segurança MCP Web3 do Google Cloud: Como Evitar que Agentes de IA Esvaziem sua Carteira
Agentes de IA que podem negociar tokens de forma autônoma, reequilibrar posições DeFi e pagar por seu próprio processamento parecem revolucionários — até que um sofra uma injeção de prompt para enviar as economias de sua vida para um invasor. O framework de segurança Web3 MCP recém-publicado pelo Google Cloud aborda exatamente esse pesadelo, apresentando um projeto de nível empresarial para proteger agentes do Protocolo de Contexto de Modelo (Model Context Protocol) que interagem com blockchains.
Aqui está o que o framework recomenda, por que isso importa e como ele se compara às abordagens concorrentes da Coinbase, Ledger e ao padrão de pagamento emergente x402.
O Problema: Agentes de IA com Carteiras São uma Arma Carregada
A convergência de IA autônoma e blockchain cria uma superfície de ameaça única. Ao contrário do software tradicional que executa código determinístico, os grandes modelos de linguagem (LLMs) são probabilísticos — eles podem ser enganados, confundidos ou sequestrados no meio da sessão. Quando esses modelos detêm chaves privadas ou têm autoridade de assinatura sobre fundos on-chain, os riscos escalam de uma "resposta errada" para uma "perda financeira irreversível".
Os números reforçam a urgência. Testes de red-team da Anthropic descobriram que agentes de IA exploraram com sucesso 207 de 405 contratos inteligentes de teste, roubando US$ 550 milhões em fundos simulados. Mais alarmante, a exploração de vulnerabilidades de blockchain impulsionada por IA saltou de 2% para quase 56% de todas as explorações em um único ano. Enquanto isso, a injeção de prompt — onde invasores incorporam instruções maliciosas em dados aparentemente inofensivos — continua sendo o principal vetor de ataque para agentes com acesso a carteiras, capaz de instruir um agente a drenar fundos para um endereço controlado pelo invasor.
O framework do Google Cloud chega em um momento em que a indústria precisa desesperadamente de diretrizes. Com o mercado de agentes de IA projetado para ultrapassar US$ 52 bilhões e centenas de ferramentas de blockchain habilitadas para MCP já em uso, a lacuna entre capacidade e segurança tornou-se perigosa.
Custodial vs. Não Custodial: Duas Arquiteturas, Dois Perfis de Risco
No cerne do framework do Google está uma análise lúcida dos dois modelos dominantes para a interação agente-blockchain.
Agentes custodiais controlam as chaves privadas diretamente. O agente (ou sua plataforma de hospedagem) detém os fundos e pode assinar transações de forma autônoma. Isso permite uma operação totalmente autônoma — um agente pode reequilibrar um portfólio DeFi às 3 da manhã sem aprovação humana. Mas o custo é alto: se o hospedeiro do agente for comprometido, cada carteira delegada torna-se um alvo. O modelo custodial concentra o risco no nível da plataforma, tornando-a um alvo atraente para invasores.
Agentes não custodiais elaboram transações, mas não podem assiná-las. O agente prepara uma transação não assinada e a devolve ao usuário (ou a uma carteira de hardware) para aprovação final. O framework do Google faz uma observação pontual: se um servidor MCP já pode preparar e assinar uma transação com uma chave que possui, ele deve ser capaz de realizar a mesma lógica sem a etapa final de assinatura. Esta "pequena mudança desbloqueia um paradigma muito mais seguro e flexível" — o agente mantém suas capacidades analíticas e estratégicas enquanto o usuário retém o controle final sobre a movimentação dos fundos.
A recomendação do Google é clara: use o modelo não custodial por padrão sempre que possível e adicione controles de segurança adicionais (isolamento TEE, limites de gastos, simulação de transação) quando o acesso custodial for verdadeiramente necessário.
O Stack de Segurança: Defesa em Profundidade para Agentes On-Chain
Em vez de propor uma única solução milagrosa, o Google descreve uma arquitetura de segurança em camadas, onde múltiplos controles independentes compensam os pontos cegos uns dos outros.
Isolamento TEE para Gerenciamento de Chaves
Ambientes de Execução Confiável (TEEs) — enclaves de hardware como Intel SGX ou AMD SEV — fornecem um espaço fisicamente isolado onde as chaves privadas podem existir sem exposição ao prompt do agente, à janela de contexto do LLM ou mesmo ao sistema operacional hospedeiro. Como disse um pesquisador de segurança, "você não pode corrigir a física ou aplicar engenharia social em um chip". O isolamento TEE garante que mesmo um agente totalmente comprometido não possa extrair a chave de assinatura, porque a chave nunca sai do enclave de hardware.
A recente integração da MoonPay com a assinatura de hardware da Ledger em sua plataforma de agentes de IA segue o mesmo princípio: cada transação iniciada por IA requer confirmação física de hardware, mantendo as chaves privadas permanentemente separadas da camada de tomada de decisão do agente.
Simulação de Transação Antes da Execução
Antes que qualquer transação chegue à blockchain, o framework recomenda executá-la em um ambiente de simulação. Isso impede uma classe de ataques em que a transação parece legítima para o agente, mas produz resultados não intencionais — drenando pools de liquidez, acionando explorações de flash loan ou interagindo com contratos maliciosos disfarçados de protocolos legítimos.
A simulação de transação também serve como uma verificação de sanidade contra os próprios erros do agente. LLMs podem alucinar parâmetros, interpretar mal as casas decimais dos tokens ou construir transações que são tecnicamente válidas, mas economicamente catastróficas. Uma camada de simulação captura esses erros antes que se tornem irreversíveis na rede.
Limitação de Taxa e Limites de Gastos
Mesmo com o isolamento TEE e a simulação, a Google defende salvaguardas financeiras codificadas rigidamente. Os limites de gastos ao nível da sessão restringem o quanto um agente pode transacionar numa única sessão. Os limites por transação impedem que qualquer operação individual exceda um limiar definido. Os períodos de cooldown entre transações de alto valor adicionam um buffer temporal.
É aqui que o ClawPay MCP e as Agentic Wallets da Coinbase já operacionalizaram um pensamento semelhante. O ClawPay envolve o SDK da Agent Wallet com a aplicação de limites de gastos integrados — as transações acima do limite são automaticamente colocadas em fila para aprovação humana, em vez de serem rejeitadas liminarmente. As Agentic Wallets da Coinbase são fornecidas com limites de sessão programáveis, limites de transação e triagem KYT (Know Your Transaction) pronta para conformidade, que bloqueia interações de alto risco antes de serem executadas.
Trilhas de Auditoria Baseadas em Mandatos
O Protocolo de Pagamentos de Agentes (AP2) da Google introduz "mandatos" — contratos digitais invioláveis e assinados criptograficamente que comprovam as instruções de um utilizador. Cada transação carrega uma trilha de auditoria não repudiável que a liga à intenção original do utilizador. Isto não é apenas teatro de segurança; é um requisito de conformidade para a adoção institucional, onde os reguladores exigem provas de que um agente autónomo agiu dentro do seu âmbito autorizado.
O Ecossistema Mais Amplo: Como o Framework da Google se Enquadra
O framework da Google não existe num vácuo. Chega juntamente com várias abordagens concorrentes e complementares que, em conjunto, definem o cenário de segurança de 2026 para as finanças agênticas.
Agentic Wallets da Coinbase e x402
As Agentic Wallets da Coinbase representam o lado custodial do espectro, construídas propositadamente para total autonomia. Utilizam o isolamento em enclave para manter as chaves privadas na infraestrutura segura da Coinbase, nunca expostas ao prompt do agente ou ao LLM. Combinadas com o protocolo x402 — que agora gere mais de 50 milhões de transações — permitem que os agentes paguem de forma autónoma pelo acesso a APIs, computação e dados utilizando stablecoins como o USDC.
A Fundação x402, lançada em colaboração com a Coinbase e a Cloudflare, governa a especificação aberta com suporte multi-chain e design agnóstico em relação a tokens. O seu mecanismo HTTP 402 "Payment Required" permite que qualquer endpoint de API solicite pagamento antes de servir uma resposta, criando uma camada de pagamento nativa para a internet agêntica.
Assinatura por Hardware da Ledger
A integração da Ledger com a MoonPay representa a abordagem maximamente não custodial. Cada transação que o agente de IA inicia deve ser fisicamente aprovada num dispositivo Ledger. Isto elimina inteiramente o roubo de fundos por injeção de prompt — um atacante precisaria tanto de acesso digital ao agente como de acesso físico à carteira de hardware. O compromisso é a latência e a perda de autonomia total, tornando-a mais adequada para operações de alto valor onde a segurança supera a velocidade.
A Perspetiva Académica
Um artigo de janeiro de 2026 sobre "Agentes Autónomos em Blockchains" formalizou as fronteiras de confiança que o framework da Google operacionaliza. A investigação descobriu que um único agente comprometido pode envenenar 87 % da tomada de decisões a jusante num espaço de quatro horas em sistemas de agentes em rede — validando a ênfase da Google no isolamento e na verificação independente em todas as camadas.
O que isto significa para os Construtores
Para os programadores que constroem agentes de IA que interagem com blockchains, o framework da Google oferece uma árvore de decisão prática.
-
Operações de baixo valor e alta frequência (micro-pagamentos, acesso a APIs, recuperação de dados): Utilize carteiras custodiais com limites de gastos e x402 para pagamento. O risco por transação é pequeno, e a vantagem de velocidade da autonomia total justifica o modelo custodial.
-
Operações de DeFi de médio valor (yield farming, reequilíbrio de portfólio): Utilize a gestão de chaves isolada por TEE com simulação de transações. O agente opera de forma autónoma dentro de parâmetros definidos, mas cada transação é validada antes da execução.
-
Operações de alto valor ou irreversíveis (grandes transferências, votos de governação, implementações de contratos): Utilize uma arquitetura não custodial com assinatura por hardware. O agente elabora e recomenda; o humano (ou o dispositivo de hardware) aprova.
-
Sistemas multi-agente: Implemente trilhas de auditoria baseadas em mandatos e isole o âmbito de autoridade de cada agente. Nunca deixe que o comprometimento de um único agente se propague em cascata pela rede.
O framework também destaca o que não fazer: nunca exponha chaves privadas na janela de contexto de um LLM, nunca confie em transações construídas por agentes sem simulação e nunca implemente agentes custodiais sem limites de taxa — independentemente do quão "seguro" o modelo subjacente afirme ser.
O Caminho a Seguir
A corrida para segurar as interações entre IA e blockchain está apenas a começar. O framework de segurança Web3 MCP da Google é o plano empresarial mais abrangente publicado até à data, mas o cenário de ameaças evolui mais rápido do que qualquer documento individual consegue acompanhar. À medida que os agentes de IA se tornam mais capazes — e mais autónomos — a infraestrutura de segurança deve escalar em uníssono.
A indústria está a convergir em alguns princípios-chave: separação da tomada de decisão da autoridade de assinatura, isolamento de chaves apoiado por hardware, simulação obrigatória de transações e trilhas de auditoria criptográficas. Quer esteja a construir na Google Cloud, na infraestrutura da Coinbase ou a criar a sua própria stack de agentes, estes princípios não são negociáveis.
Os agentes estão a chegar. A questão é se construiremos as salvaguardas antes ou depois de o primeiro exploit de um agente autónomo de nove dígitos fazer as manchetes.
Está a construir agentes de IA que interagem com blockchains? O BlockEden.xyz fornece infraestrutura de RPC e API de nível empresarial em Sui, Aptos, Ethereum e mais de 20 redes — a camada de dados fiável de que os seus agentes precisam para simulação de transações, consultas on-chain e estado da blockchain em tempo real. Explore o nosso marketplace de APIs para potenciar as suas aplicações agênticas numa infraestrutura concebida para operação autónoma.