A Agência de Segurança Cibernética e de Infraestrutura dos EUA, a Agência de Segurança Nacional dos EUA e seus parceiros Five Eyes publicaram recentemente um comunicado conjunto sobre a adoção de serviços de IA de agência. Entre as muitas recomendações, as agências aconselham as organizações a manter registros confiáveis de componentes de terceiros aprovados, restringir os agentes de IA a ferramentas e versões listadas e exigir aprovação humana antes de ações de alto impacto.
“Descrições de ferramentas inadequadas ou deliberadamente enganosas podem fazer com que os agentes selecionem ferramentas de forma pouco confiável, com descrições persuasivas escolhidas com mais frequência”, alertaram as agências, confirmando efetivamente que os LLMs podem ser projetados socialmente por meio de documentação.
Os agentes de codificação de IA não devem ter permissão para instalar dependências sem a revisão do desenvolvedor, e cada pacote sugerido deve ser tratado como não confiável por padrão até que suas dependências transitórias sejam revisadas. As equipes de desenvolvimento devem implementar práticas de Lista de Materiais de Software (SBOM) para que possam rastrear e auditar os componentes usados em seus pipelines de desenvolvimento.
