Segurança de IA Empresarial com Gateway MCP e Guardrails de Tempo de Execução

Realizamos um webinar com a equipe da Palo Alto Networks com mais de 400 pessoas participando de diferentes regiões e funções. Nosso objetivo na TrueFoundry sempre foi criar uma infraestrutura que suporte sua pilha GenAI e decidimos adotar a segurança como nosso próximo marco. Neste blog, destilamos todos os fatores-chave importantes que discutimos e aprendemos durante o webinar e os resumimos a alguns fatores-chave que o ajudarão a tomar decisões sobre a expansão das iniciativas de IA em sua empresa. É uma leitura rápida de 6-7 minutos e também serve como um guia prático sobre Segurança de IA que você pode compartilhar com líderes de segurança, equipes de plataforma e desenvolvedores de IA.

De pacotes a prompts: o novo perímetro é contexto e identidade

A segurança tradicional assumia que, se um adversário não conseguisse passar pelo seu firewall, ele não conseguiria acessar seus dados sensíveis. Hoje, um engenheiro pode colar trechos de código-fonte em um chat para “corrigir um bug” e levar propriedade intelectual sensível diretamente para fora, sem que nenhum firewall seja tocado. Nesse mundo, contexto e identidade se tornam os novos perímetros: quem está perguntando, o que estão pedindo e quais dados e ferramentas estão sendo puxados para esse contexto?

É uma mudança fundamental no modelo de ameaças. Em vez de apenas bloquear portas ou fortalecer endpoints, temos que proteger a interface de linguagem para sistemas e dados, e tudo o que essa linguagem pode fazer o sistema executar.

Por que a segurança de IA parece diferente agora?

Quatro modos de falha surgem primeiro para a maioria das equipes:

• Injeção de prompt e adulteração de contexto. Instruções ocultas podem ser incorporadas em tickets de suporte, páginas do SharePoint, históricos de chat extensos ou documentos recuperados e tratadas como contexto válido.‍
• Vazamento de dados (exfiltração): Texto sensível pode aparecer em prompts ou saídas, o que inclui PII, segredos, planos internos e até artefatos de treinamento.‍
• Conteúdo tóxico/fora da marca: Gerações que violam a política da empresa ou as diretrizes da marca.‍
• Alucinações confiantes: Afirmações que soam plausíveis, mas são incorretas e que levam a decisões reais.
  

Se quiser saber mais, o Top 10 de IA da OWASP é um guia sólido. Na prática, temos visto que estas quatro áreas são onde a maioria dos programas começa. 

O que os participantes nos disseram ao vivo

Realizámos sondagens rápidas durante a sessão. A principal preocupação, por uma larga margem: fuga/exfiltração de dados, seguida de injeção de prompt e falta de observabilidade no comportamento do modelo e do agente. Isso alinha-se com o que vemos nas implementações empresariais: se proteger as entradas e saídas primeiro, e depois tornar cada interação rastreável, terá coberto a maior parte do que é necessário para a segurança da IA.

Os cinco pilares da adoção segura da IA

Aqui está a pequena checklist que vimos funcionar em todos os setores:

• Autenticação e Controlo de Acesso: Não concentre tudo numa única chave de modelo partilhada. Preserve a identidade do utilizador/serviço de ponta a ponta. Rode as chaves. Evite tokens partilhados.
  
• Barreiras de entrada: Detete injeção de prompt, adulteração de contexto e fontes não fidedignas antes que cheguem ao modelo.
  
• Barreiras de saída: Bloqueie fugas de PII, saída de dados sensíveis e texto tóxico/fora da marca. Imponha "responder apenas se baseado em fontes aprovadas" para fluxos de trabalho regulamentados.
  
• Observabilidade total: Rastreie cada pedido: identidade do utilizador, chamadas de ferramentas, escolha do modelo, parâmetros, custo e decisões das barreiras de proteção. Chega de uso oculto.
  
• Controle de custos e disjuntores de loop: Agentes podem sair do controle. Imponha orçamentos por usuário e por aplicativo, detecção de loops e disjuntores rígidos. Reduza o raio de impacto de “um prompt ruim”.
• Verificações da cadeia de suprimentos: Use apenas modelos e conectores em que confia. O código aberto não é automaticamente seguro — verifique o que você está usando antes de executá-lo em produção.

Por que o MCP aumenta os riscos

Agora, os LLMs não apenas falam—eles podem agir. Com o Protocolo de Contexto de Modelo (MCP), os agentes descobrem ferramentas e realizam ações em GitHub, Jira, Slack, APIs de nuvem, sistemas internos e muito mais. Isso torna o MCP um grande acelerador para a produtividade do desenvolvedor e uma nova classe de risco. Um agente mal configurado pode fechar 500 tickets da noite para o dia, exfiltrar dados ou excluir um branch porque uma instrução sorrateira foi inserida durante uma etapa de recuperação.

Agora você pode ver como a mudança vai de “resposta errada” para “ações não autorizadas”. As ferramentas multiplicam tanto o valor quanto o risco, então mudanças devem ser feitas para acomodá-los.

Key Metrics for Evaluating Gateway

Criteria	What should you evaluate ?	Priority	TrueFoundry
Latency	Adds <10ms p95 overhead for time-to-first-token?	Must Have	✅ Supported
Data Residency	Keeps logs within your region (EU/US)?	Depends on use case	✅ Supported
Latency-Based Routing	Automatically reroutes based on real-time latency/failures?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported

MCP Gateway Evaluation Checklist

A practical guide used by platform & infra teams

Quais são os pontos a serem observados em um Gateway de IA

Quando o MCP entra em cena, eleve seu nível de base nestas áreas:

• Autenticação e Autorização para servidores MCP (quem você é, o que você pode fazer).
  
• Controle de acesso granular (nível de ferramenta e operação).
  
• Guardrails (políticas de entrada/saída e uso de ferramentas).
  
• Observabilidade (rastrear, atribuir, auditar).
  
• Limitação de taxa e cotas (disjuntores de loop por usuário/aplicativo).
  
• Segurança da cadeia de suprimentos (servidores verificados, artefatos assinados, versões fixadas).

Vamos aprofundar em alguns fatores menos discutidos

• Guardrails no caminho do tráfego:
  O gateway fica entre agentes e ferramentas/modelos e aplica guardrails tanto na entrada quanto na saída. Você pode definir o escopo das políticas por usuário, por aplicativo, por modelo, por equipe ou via metadados. Verificações típicas:
  • injeção de prompt, escalonamento de privilégios em conversas longas, URLs/código maliciosos em contexto recuperado.
    
  • mascaramento de DLP (SSNs/cartões/tokens), políticas de toxicidade e tópico, verificações de fundamentação para respostas regulamentadas
  ‍
• Observabilidade: rastreamento, atribuição, auditoria:
  Sem logs de atribuição e decisão, você não pode investigar ou comprovar a aplicação. O gateway de IA emite rastreamentos de ponta a ponta (identidade, metadados do prompt, parâmetros do modelo, cada chamada de ferramenta com parâmetros/resultados, acertos/decisões de regras de guardrail e custos). Use os painéis para responder:
  
  • Qual agente está sobrecarregando o code_executor — carga de trabalho válida ou prompt malicioso?
  • Por que a latência do ask_bot saltou para 20s — lentidão da API ou loop recursivo?
  • Por que uma ferramenta está consumindo 80% das chamadas — é crítica para o negócio ou apenas com privilégios excessivos?
    
    
• Limitação de taxa e orçamentos: disjuntores de loop por design:
  Agentes podem entrar em espiral. Trate orçamentos e QPS como controles de segurança:
  
  • Cotas por usuário/aplicativo/ferramenta e limites por minuto para conter o raio de impacto.
  • Detecção de loop para acionar um disjuntor em padrões repetitivos.
  • Limites mais rigorosos para serviços sensíveis (pagamentos, dados de clientes).
    ‍
• Integridade da cadeia de suprimentos para MCP e modelos:
  Se você não verificar os servidores, um “Slack MCP” pode ser um pacote malicioso enviando silenciosamente logs de chat. Atualizações automáticas podem baixar versões adulteradas. A resposta de governança é um registro verificado/curado, versões fixadas e artefatos assinados — além de varredura de modelos e execuções de red-team antes da produção.  
  

Como TrueFoundry e Palo Alto ajudam você a proteger sua infraestrutura de GenAI

Agentes são mais úteis quando podem chamar ferramentas para realizar trabalho real. MCP padroniza como os agentes descobrem e invocam essas ferramentas. Mas o poder exige controle. Nosso padrão recomendado é um design de duas camadas:

• Gateway de IA (camada de controle): O local central para roteamento, controle de acesso, limitação de taxa, gerenciamento de chaves, observabilidade e guardrails. Esta é a única camada de proxy pela qual todo o tráfego de agente/modelo/ferramenta flui. É também onde você centraliza os modos de autenticação do servidor MCP — Sem Autenticação (demo), Cabeçalho/Bearer e OAuth (Slack/GitHub/Atlassian), para que cada equipe não precise resolver a autenticação repetidamente.
  
• Segurança (camada de validação): Inspeção em tempo de execução, gerenciamento de postura de IA, verificação de modelos e red-teaming, entregues via Palo Alto Networks Prisma AIRS, integrados diretamente com o gateway.

Mas por que separar controle e validação?

Colocar o controle em um só lugar oferece às equipes de plataforma uma excelente experiência para desenvolvedores (um único endpoint, SDKs unificados, onboarding self-service). Colocar a validação em sua própria camada dá às equipes de segurança recursos avançados e evidências (vereditos de guardrail, mascaramento de DLP, inspeção de URL/código e verificações de postura) sem bloquear a velocidade do desenvolvedor.

Autorização em três camadas

Nosso CTO Abhishek explica um modelo simples para autorização MCP dentro do AI Gateway da TrueFoundry:

1. Quem é você? O gateway verifica a identidade humana ou de serviço (por exemplo, via seu token IdP) na entrada.
   
2. O que você pode fazer? O gateway aplica a política ao servidor MCP específico e à ferramenta/operação (“ler PRs”/“comentar PRs”, mas “não excluir branch”).
   
3. Como provamos isso a jusante? O gateway faz a tradução de tokens para exatamente o que o servidor de destino espera (troca para Slack/GitHub OAuth, ou um token de cabeçalho de curta duração).
   

Este padrão de “autenticação/autorização em 3 camadas” remove segredos únicos, mantém a atribuição e impede que bots com privilégios excessivos causem danos irreversíveis.   
Exemplo: Um agente de revisão de PR pode listar PRs e deixar comentários, mas a política do gateway de IA nega branches.delete mesmo que um prompt tente “também excluir main após resumir.” A negação — e a identidade por trás da tentativa — são registradas. 

Servidores MCP virtuais

Também abordamos o que são servidores MCP virtuais. Em resumo, não entregue aos agentes os catálogos completos do Jira/GitHub/Confluence. Componha um MCP Virtual que exponha apenas o que o fluxo de trabalho precisa — por exemplo: Jira.create_issue, GitHub.create_pr e Confluence.search_docs como um único endpoint MCP de Engenharia. Você obtém prompts mais limpos, aprovações mais rápidas e um raio de explosão menor por design. 

O que o gateway MCP oferece

Os melhores gateways MCP atuam como um painel de controle com reconhecimento de políticas entre agentes e ferramentas:

• Um único lugar para descoberta e controle de acesso: Registre os servidores MCP uma vez. Controle quem pode ver quais ferramentas.
  
• Permissões em nível de ferramenta e registros selecionados: Exiba apenas as ferramentas permitidas por aplicativo ou por equipe.
  
• Seleção inteligente de ferramentas: Não passe mil ferramentas para um único contexto de prompt.
  
• Limites de taxa globais e cotas: Controle loops e custos descontrolados.
  
• Rastreamento unificado entre ferramentas e modelos: Atribua cada ação a uma identidade humana ou de serviço, com evidências de qual política foi acionada e onde.
  

Se você comparar “sem gateway MCP” com “com gateway MCP”, a diferença é gritante: menos conexões personalizadas, fluxos de autenticação centralizados, gerenciamento centralizado de credenciais, trilhas de auditoria de nível empresarial e um catálogo de servidores verificado em vez de uma proliferação de scripts não gerenciados.

Como o Palo Alto Prisma AIRS fortalece as barreiras de segurança dentro da camada de gateway

• Segurança em tempo de execução: Inspecione prompts e saídas em busca de injeção de prompt, URLs ou códigos maliciosos, conteúdo tóxico, ameaças específicas de agentes e muito mais. Aplique políticas DLP e mascaramento em tempo real.
  
• Gerenciamento de Postura de Segurança de IA (AI-SPM): Detecte configurações incorretas precocemente e aplique as melhores práticas para serviços de modelo e agente.
  
• Red teaming: Realize pentests em fluxos de trabalho nativos de IA e meça a eficácia da política.
  
• Varredura de modelos: Detecte vulnerabilidades dentro dos próprios arquivos de modelo (desserialização, backdoors, malware).
  
• Segurança de agentes: Monitore o uso indevido de ferramentas e o envenenamento da comunicação entre agentes.
  

Você pode ajustar os perfis de segurança por aplicação para equilibrar latência com proteção, e todas as decisões são registradas para fins de auditoria.

Uma olhada rápida na demonstração

Demonstramos um agente que lista pull requests abertos para um colega de equipe e os notifica no Slack. O rastreamento mostra cada etapa — chamadas de ferramenta, raciocínio do modelo, tempo — e as decisões de guardrail ao longo do processo. O painel destaca quais ferramentas consomem mais chamadas, picos de latência e qualquer comportamento semelhante a loop. Essa é a diferença entre esperar que um agente é seguro e saber que ele é. Você pode assistir no link do YouTube, que anexamos mais tarde no blog.

Perguntas que respondemos ao vivo

“Por que não usar simplesmente um gateway de API normal?”
Porque as cargas de trabalho de IA adicionam novos requisitos: tradução de tokens por ferramenta, RBAC em nível de ferramenta, guardrails de entrada/saída, auditoria/rastreabilidade completa e roteamento inteligente de ferramentas. Um gateway clássico não sabe nada sobre prompts, rastreamentos ou semântica de modelo/ferramenta.

“Podemos monitorar ferramentas existentes como ChatGPT ou IDEs em nuvem?”
Se a ferramenta permitir que você defina um proxy ou um endpoint de modelo personalizado, direcione-o através do gateway e aplique guardrails/observabilidade lá. Se não expuser esse controle, você não poderá adicionar inspeção transparente no meio.

“Como evitamos ajustes finos prejudiciais?”
Monitore seus dados: exclua PII e segredos. Valide a proveniência de qualquer modelo base que você ingere. Verifique os arquivos do modelo em busca de comportamentos ocultos antes de treinar.

“Os desenvolvedores recebem SDKs?”
Clientes MCP padrão funcionam prontos para uso. O Prisma AIRS expõe um servidor e um SDK, e o gateway fornece trechos de copiar e colar para Python/TypeScript e frameworks de agente populares. 

Assista à sessão completa

Se você perdeu — ou quer que suas equipes de plataforma e segurança se atualizem — aqui está a gravação:
YouTube: https://youtu.be/hWNV2v3C8SA

Experimente e fale conosco

Estamos oferecendo um teste de um mês do MCP Gateway—disponível como SaaS ou auto-hospedado. Se você deseja uma revisão de arquitetura de 30 minutos para calibrar custos, latência e perfis de guardrail, teremos prazer em ajudar. Você terá:

• Configuração e onboarding gratuitos
  
• Um canal privado no Slack/Teams para suporte
  
• Acesso a painéis de observabilidade e perfis de guardrail adaptados aos seus aplicativos
  

Um grande agradecimento à equipe da Palo Alto Networks por se juntar a nós e por impulsionar o avanço da segurança de IA.

Perguntas Frequentes

O que é segurança de IA empresarial?

A segurança de IA empresarial é a estrutura multicamadas de protocolos, ferramentas e políticas projetada para proteger modelos de IA e dados corporativos contra ameaças especializadas, como injeção de prompt e exfiltração de dados. Ela envolve a implementação de controles de acesso rigorosos e monitoramento em tempo real para garantir que as interações do modelo permaneçam seguras e em conformidade. A TrueFoundry centraliza esses requisitos em um único plano de controle, permitindo que as organizações gerenciem a segurança em vários modelos e sistemas internos sem aumentar a complexidade arquitetônica.

Por que a segurança de IA é importante para as empresas?

Manter a segurança de IA empresarial é fundamental para prevenir a exposição acidental de PII sensíveis e propriedade intelectual a provedores de modelos externos. Sem uma camada de segurança dedicada, as organizações correm o risco de não conformidade regulatória e vulnerabilidade a ataques adversários que podem comprometer agentes autônomos. A TrueFoundry aborda essas preocupações implantando toda a pilha de IA dentro de sua VPC privada, garantindo que a residência dos dados seja mantida e que cada invocação de ferramenta seja totalmente auditável e governada.

Como os guardrails de tempo de execução do gateway MCP ajudam na segurança de IA empresarial?

Dentro de uma estratégia holística de segurança de IA empresarial, os guardrails de tempo de execução do gateway MCP atuam como uma camada de defesa proativa que inspeciona cada interação em tempo real. Esses guardrails automaticamente redigem informações sensíveis e bloqueiam entradas maliciosas antes que elas atinjam o modelo ou os sistemas de backend internos. O gateway da TrueFoundry usa esses guardrails para impor permissões granulares no uso de ferramentas, fornecendo uma camada de proteção dinâmica que garante que os agentes operem dentro de limites seguros e predefinidos.