Os agentes de IA corporativos devem ficar onde seus dados, governança e políticas já residem.
por Kaan Kuguoglu e John Karlsson
A maioria dos pilotos de AI corporativos supera a mesma barreira simples: conectar um LLM aos seus dados, adicionar um banco de dados vetorial e fazer uma demonstração para a liderança. A parte difícil vem depois. A segurança sinaliza as falhas de governança. A latência em agentes de várias etapas destrói a experiência do usuário. A conta do seu provedor de modelos não para de subir. Esses problemas geralmente se originam de uma única decisão: extrair dados de sistemas governados e levá-los para uma pilha de AI que nunca foi criada para aplicar suas políticas.
Este post defende uma direção de arquitetura diferente: mover os modelos e agentes para os dados, e não o contrário. Em vez de criar uma infraestrutura de AI paralela e conectá-la de volta ao seu lakehouse, você trata os agentes como cargas de trabalho nativas que são executadas dentro da sua plataforma de dados, sob os mesmos controles de governança, segurança e observabilidade em que você já confia para seus dados.
O lakehouse ofereceu a você um único lugar para governar seus dados. A próxima questão é se seus agentes vivem dentro ou fora desse limite. Existem dois paradigmas emergentes.
Agentes e LLMs são executados em uma pilha de AI separada. Os dados são exportados ou consultados pela rede em bancos de dados vetoriais externos, SaaS LLMs ou camadas de serviço personalizadas. Governança, segurança e observabilidade são reimplementadas para a AI de forma paralela.
Agentes, modelos, ferramentas, recuperação e memória de agentes são executados dentro da mesma plataforma que os próprios dados, sob uma camada unificada de governança e segurança. A AI se torna mais uma carga de trabalho na sua pilha de dados existente.
Os dados têm gravidade. A computação é barata de realocar; os dados não, especialmente à medida que os volumes crescem e as modalidades se multiplicam. Extraí-los introduz um conjunto familiar de penalidades:
De todas essas penalidades, a governança merece atenção especial porque é a única que não pode ser corrigida depois do fato. A maioria das abordagens de governança de AI a trata como um filtro aplicado depois que o agente já acessou os dados, por exemplo, ocultando campos confidenciais da resposta, bloqueando certos tópicos na camada de saída e auditando logs após o ocorrido. Isso funciona para demonstrações simples de Q&A. Mas falha no momento em que os agentes começam a computar dados.
Considere um agente que calcula um resumo financeiro em linhas sujeitas à segurança em nível de linha (row-level security). A agregação em si (a soma, a média, a tendência) é um valor derivado que é moldado por quais linhas são incluídas. Se a governança não for aplicada antes da execução da consulta, o resultado já codificará dados que o usuário não deveria ter influenciado. Nenhuma ocultação posterior pode desfazer esse cálculo. A decisão de política precisava acontecer no momento do planejamento da consulta, não no momento da renderização da resposta.
Essa é a lacuna fundamental na governança baseada em perímetro ou a posteriori: ela assume que os dados podem ser censurados com segurança após chegarem ao agente. Na prática, uma vez que uma agregação ou transformação ocorreu, a intenção de governança já foi perdida. Controles retroativos são fundamentalmente incompletos.
Há um segundo custo em errar nisso, e ele aparece na conta. O problema não é apenas o que o agente tem permissão para acessar, embora isso faça parte. Quando a governança é resolvida após o fato em vez de na origem, o agente acaba fazendo a reconciliação por conta própria: percorrendo logs de auditoria, unindo fragmentos em sistemas externos, extraindo o mesmo registro de vários lugares para descobrir se pode usá-lo, raciocinando novamente sobre cada resultado parcial. Nada disso é a tarefa dele. É o agente compensando uma resposta governada que nunca foi entregue de antemão. Saídas bloqueadas ou ocultadas apenas alimentam a espiral, já que o agente as interpreta como falhas e tenta novamente. As sessões se prolongam, cada salto carrega mais contexto no modelo e uma única solicitação silenciosamente se transforma em milhares de tokens cobrados. Esse é o ciclo de queima de tokens, e a governança a posteriori é o que o faz girar.
Os agentes nativos de dados enfrentam esses desafios incorporando a aplicação de políticas diretamente no planejamento e na computação de consultas. Cada resultado intermediário reflete as mesmas restrições de governança. A governança deve ser avaliada antes e durante a execução, algo que você não pode se dar ao luxo de aplicar como uma reflexão tardia após a conclusão da computação. Os Custom Guardrails no Unity AI Gateway são a forma concreta disso: políticas combináveis e determinísticas que o gateway aplica a cada solicitação e resposta, e não filtros que o modelo deve obedecer após o fato. Decidir a política no momento do planejamento, em relação a dados que já vivem em um único local governado, também significa que o agente obtém uma resposta limpa em uma única passagem, em vez de explorar diversos sistemas para montar ou justificar uma.
Até agora, focamos em como os agentes leem dados. Mas os agentes em produção também escrevem: histórico de conversas, progresso de tarefas, preferências do usuário, resultados em cache e saídas de ferramentas para auditoria posterior. À medida que os agentes assumem mais funções, a camada de estado importa tanto quanto a camada de dados. Deixe-a fora do limite de governança e toda promessa de auditabilidade de ponta a ponta terá uma falha.
O estado é o rascunho de curto prazo do agente: a conversa ativa, a tarefa em andamento, o cache que ele acabou de preencher. A memória é o que sobrevive à sessão: com quais clientes um agente lidou, o que um usuário prefere, quais saídas anteriores valem a pena reutilizar. Ambos precisam de armazenamento transacional e ambos perdem governança no momento em que saem da plataforma. Uma memória como "o usuário X é um cliente da EU de alto valor" é, por si só, um dado confidencial, sujeito às mesmas regras de acesso e residência que o registro que ela resume. E é uma carga de trabalho transacional: as tabelas Delta são criadas para grandes varreduras analíticas, mas o estado do agente precisa de leituras e gravações rápidas por linha, buscas por chave e atualizações atômicas.
A solução alternativa comum é um Postgres ou Redis externo. Mas isso traz você de volta ao problema contra o qual este post argumenta: o estado do agente sai do perímetro governado para um sistema que sua camada de governança não consegue ver, com sua própria segurança e ciclo de vida para gerenciar. Você criou um agente nativo de dados com uma dependência não governada.
E o problema cresce no momento em que um agente se torna muitos. Um enxame trabalhando em direção a um resultado maior (um planejador delegando para especialistas, um supervisor reconciliando seus resultados) precisa de memória compartilhada, e manter o alinhamento nela é onde esses sistemas falham. Quando cada agente mantém um estado privado e passa o contexto ponto a ponto (peer-to-peer), não há uma única fonte da verdade. Os agentes divergem, as gravações colidem e cada transferência é mais um canal não governado que se multiplica à medida que o enxame cresce. Compartilhar memória acaba sendo a parte difícil.
O Lakebase fecha essas lacunas. É um armazenamento PostgreSQL totalmente gerenciado dentro da plataforma Databricks, sob o mesmo plano de governança que todo o resto. O estado do agente se torna um ativo governado: ele herda os controles de acesso da plataforma, vive ao lado dos dados e ferramentas do agente e não precisa de uma equipe de infraestrutura separada. E como cada agente lê e escreve nessa mesma camada transacional, ela funciona também como a única fonte da verdade do enxame. O estado permanece consistente, atualizações atômicas evitam que dois agentes corrompam a mesma tarefa, uma política na visualização de um agente é transferida para o que quer que ele escreva para o próximo, e qualquer memória pode ser rastreada pelo enxame: qual agente a escreveu, qual a leu, como uma conclusão profunda chega à sua origem.
O argumento da governança é o mais forte, mas as vantagens vão além. Quando os agentes são executados dentro da pilha de dados, as vantagens se acumulam em todas as dimensões operacionais: segurança, qualidade, observabilidade, implantação, latência e custo. Ferramentas e dependências de dados são configuradas e registradas junto com o modelo, de modo que todo o sistema é versionado, auditável e reproduzível por padrão.
A comparação a seguir resume como esses dois paradigmas diferem nas dimensões que mais importam para sistemas em produção:
| Meios de confiança e controle | Agentes nativos de dados | Agentes externos |
|---|---|---|
| Governança | Um único plano de controle para dados e agentes, com a aplicação de políticas incorporada diretamente no planejamento e na execução de consultas. | Exige a replicação da governança em cada componente de AI: warehouses, DBs vetoriais, SaaS LLMs, todos precisam de suas próprias ACLs, regras de mascaramento e políticas de token. Governança fragmentada, linhagem e, muitas vezes, falta de FGAC. |
| Segurança | Dados e modelos permanecem dentro do seu perímetro de nuvem/VPC. | Os dados frequentemente saem do seu perímetro seguro, criando superfícies de ataque adicionais. |
| Qualidade do agente | O rastreamento de ponta a ponta permite uma avaliação sistemática e nativa da plataforma. | A avaliação é fragmentada e manual, com logs distribuídos por vários fornecedores externos. |
| Qualidade dos dados | A consistência é integrada por meio de pipelines de dados compartilhados; a atualização é gerenciada pela plataforma. | Controles de qualidade de dados desconectados exigem processos de sincronização frágeis e personalizados para manter os dados dos agentes atualizados. |
| Observabilidade e monitoramento | A avaliação e o monitoramento holísticos capturam todas as etapas de forma centralizada, junto com as versões do modelo e do agente. | Os logs ficam dispersos entre as ferramentas, tornando a solução de problemas de ponta a ponta difícil e lenta. |
| Memória do agente | O histórico de conversas, as preferências do usuário e o contexto aprendido persistem no Lakebase, governados pelo Unity Catalog, associáveis aos dados de negócios subjacentes e vinculados ao mesmo modelo de identidade que o restante da stack. | A memória reside em uma instância separada do Redis ou Postgres, com seu próprio modelo de acesso, sem linhagem para os dados de origem e sem forma de a governança ver o que o agente reteve sobre um usuário. |
| Contexto de negócios | O mesmo Unity Catalog que governa os dados modela seu significado. Métricas, Glossário, Domínios e a Ontologia do Genie fornecem aos agentes suas definições de negócios automaticamente, classificadas por autoridade e respeitando as ACLs de origem. | O significado de negócios vive fora do perímetro, em ferramentas de BI, planilhas ou na cabeça de especialistas do domínio. Cada agente precisa reconstruí-lo, muitas vezes apenas a partir dos nomes das colunas. |
| Implantação | CI/CD simplificado com toda a stack (dados, modelos, agentes) versionada em conjunto. | Exige pipelines de CI/CD separados e uma coordenação complexa entre vários fornecedores. |
| Latência | Baixa latência porque os agentes são executados próximos aos dados, minimizando os saltos de rede. | Alta latência devido a várias viagens de ida e volta na rede para cada recuperação e chamada de ferramenta. |
| Custo | Serviço e armazenamento consolidados (os dados são armazenados uma única vez), evitando custos de saída de dados. | Preços fragmentados e custos substanciais de saída para mover dados em escala. |
A Data Intelligence Platform coloca isso em prática. Em vez de criar uma "stack de IA" separada e conectá-la aos seus dados, você cria agentes de IA dentro da própria stack de dados. Um agente nativo de dados no Databricks é aquele que:

Algumas empresas já estão desenvolvendo dessa forma. Seus agentes são executados dentro do mesmo limite que seus dados, com políticas do Unity Catalog cobrindo ambos, estado no Lakebase e tráfego pelo Unity AI Gateway. Nenhuma delas chegou lá com um único projeto de migração de plataforma. Elas eliminaram a barreira entre o lakehouse e a stack de IA um piloto de cada vez, e depois pararam de abrir novos.
Para as equipes que estão no início do caminho, o trabalho não é drástico. A maioria das peças já existe no lado da plataforma: Model Serving, Unity Catalog, Lakebase, MLflow. O que falta é a decisão de tratá-los como o lar do agente, em vez de apenas fontes de dados para uma stack paralela. Essa decisão costuma ser a parte mais difícil.
O ponto de partida mais útil é um inventário do que já está em execução fora do perímetro. É daí que virá o próximo incidente de governança, e esse é o trabalho que torna todo o resto possível.
Se você quiser se aprofundar em como operacionalizar agentes nativos de dados com as proteções e os padrões corretos, estes recursos são um ótimo próximo passo:
Para explorar os recursos da plataforma discutidos nesta publicação:
(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original
Assine nosso blog e receba os posts mais recentes diretamente na sua caixa de entrada.