Governança de agentes de IA em escala com Unity Catalog

Há um ano, sua organização tinha uma dúzia de agentes de IA. Hoje, são milhares.

Todo desenvolvedor tem um agente de codificação que escreve, revisa e envia código ao lado deles. Sua equipe de análise criou agentes de previsão. Operações de vendas implantaram pontuação de leads. A organização de Suporte automatizou o roteamento de tickets. Marketing lançou personalização. Finanças construiu fluxos de trabalho de reconciliação. Cada equipe viu uma oportunidade e agiu rapidamente.

Agora alguém pergunta: "Quais agentes estão acessando PII de clientes?"

A resposta exige a extração de logs de dezenas de sistemas, a correlação manual deles e a esperança de que nada tenha sido esquecido. Cada agente registra, autentica e acessa dados de maneira diferente. Não há um lugar único para procurar.

Ou talvez você tenha seguido o caminho oposto. Você bloqueou tudo. Nenhum agente foi implantado sem uma revisão extensa. A segurança permaneceu rigorosa. Mas agora você está seis meses atrás dos concorrentes que agiram mais rápido. Desenvolvedores e usuários estão frustrados. Alguns foram para empresas onde poderiam realmente usar ferramentas de IA.

Nenhum extremo funciona. Agentes não governados criam riscos que você não pode medir. Ambientes bloqueados criam um tipo diferente de risco: ficar para trás enquanto o talento sai pela porta.

A governança tradicional pressupunha que os humanos tomam decisões e os aplicativos as executam de forma previsível. Agentes não funcionam dessa maneira. Eles são autônomos, tomam decisões diferentes a cada vez e encadeiam ferramentas de maneiras que você não pode prever lendo o código. Você não pode governar um agente revisando o que ele pode fazer. Você o governa controlando o que ele pode acessar e monitorando o que ele realmente faz.

Quatro pilares da governança de agentes

Unity Catalog governa dados corporativos desde 2021 por meio de um modelo de permissões único, linhagem unificada e uma trilha de auditoria consistente em todos os ativos. Agora estamos estendendo essa mesma infraestrutura de governança para cobrir todos os ativos que um sistema de IA toca: LLMs, servidores MCP, habilidades e agentes. O catálogo que já sabe quem pode acessar seus dados de clientes agora também governa quais agentes podem chamar quais ferramentas e sob quais condições.

Unity AI Gateway é o tecido de aplicação para o mundo agêntico. Cada chamada de modelo, cada invocação de ferramenta, cada interação de agente flui pelo gateway. Cada um é avaliado contra políticas definidas no Unity Catalog antes de ser executado e registrado depois. Ferramentas de governança tradicionais foram construídas para aplicativos estáticos. Elas não têm visibilidade sobre nada disso. Unity AI Gateway tem.

Pilar 1: Acesso delegado

Agentes devem operar dentro de limites de permissão claramente definidos, tanto em termos de quem eles podem agir em nome quanto do que eles podem acessar. A maioria das plataformas lida com isso da mesma forma que lida com permissões de aplicativos: contas de serviço com credenciais estáticas e acesso amplo. Você perde a responsabilidade e não consegue conter o raio de explosão.

Databricks adota uma abordagem diferente: a identidade flui de ponta a ponta, do usuário que faz a pergunta à linha de tabela específica que o agente recupera. Agentes herdam as permissões de dados do usuário que invocou em tempo real via passagem de token on-behalf-of, não uma conta de serviço compartilhada. Se você não pode acessar uma tabela no Unity Catalog, o agente agindo em seu nome também não pode. Cada ação é registrada contra ambas as identidades: o usuário real que acionou a solicitação e o agente que agiu em seu nome, capturando quais tabelas foram acessadas, quais operações foram executadas e quando. Quando algo dá errado, você sabe exatamente de onde veio a ação e quem a autorizou.

Estendemos esse modelo para servidores MCP. As equipes registram servidores MCP externos (GitHub, Jira, Slack, etc.) no Unity Catalog e os governam como qualquer outro securável: permissões, gerenciamento de credenciais e registro de auditoria completo em um só lugar.

Reconhecemos que o mesmo princípio se aplica em tempo de execução, não apenas em tempo de acesso. Saber que um agente pode chamar o GitHub não diz se ele deve excluir um arquivo ou mesclar uma solicitação de pull. Por isso, criamos as Políticas de Serviço, que são funções UC, gerenciadas em UC e anexadas a MCPs registrados no Unity Catalog que controlam quais chamadas de ferramenta são bem-sucedidas. Cada chamada de ferramenta é avaliada antes da execução: com base no nome da ferramenta, seus argumentos ou a identidade do chamador, a política retorna permitir, negar ou solicita o consentimento do usuário. Se a avaliação da política resultar em 'Negar', a chamada é bloqueada.

Na camada de modelo, os guardrails inspecionam o que flui através da inferência em tempo real, escaneando entradas em busca de PII e tentativas de jailbreak, verificando saídas em busca de alucinações e conteúdo sensível antes que cheguem ao usuário. Eles são executados em linha em cada solicitação e falham fechados.

Na prática, essas três camadas trabalham juntas: permissões controlam quem pode chamar o quê. Políticas de Serviço controlam se uma chamada de ferramenta específica deve prosseguir no contexto de uma determinada solicitação. Guardrails controlam qual conteúdo flui para dentro e para fora.

Pilar 2: Governança de IA centrada em dados

Aqui está o princípio que a maioria das ferramentas de governança de IA perde: o comportamento de um agente é quase inteiramente determinado pelos dados aos quais ele tem acesso. O que ele pode ler, quão atualizados esses dados estão, se campos sensíveis estão mascarados, essas não são perguntas de governança de IA. São perguntas de governança de dados. Trate-as separadamente e você acabará com dois sistemas incompletos. Trate-as juntas e a governança se torna autorreforçadora.

Primeiro, você precisa de uma trilha de auditoria completa, e a regulamentação está tornando isso inegociável. Regulamentações emergentes de IA exigem que as organizações demonstrem o que seus sistemas de IA fizeram, o que receberam e o que produziram. O AI Gateway grava a carga útil completa de cada chamada de modelo em tabelas de inferência: o prompt exato enviado, a resposta exata retornada, contagens de tokens e latência. O Unity Catalog captura cada operação de acesso nos logs de auditoria, incluindo qual principal chamou o quê, de qual agente e em que momento. Ambos chegam ao seu lakehouse como tabelas, retidas em seus termos. A maioria das arquiteturas de log força um compromisso entre completude e custo, exigindo que você amostre, filtre e defina janelas de retenção curtas. Como o Unity AI Gateway captura dados de observabilidade em seu lakehouse, você não precisa fazer isso.

Segundo, esses dados de auditoria são tão úteis quanto sua capacidade de analisá-los. A análise requer uma plataforma de dados, não uma ferramenta de log. Rastros de agentes são tabelas no Unity Catalog, consultáveis com o mesmo SQL que você usa para todo o resto. Nenhuma nova linguagem de consulta, nenhuma ferramenta separada. Quando um agente faz algo inesperado, os dados para investigar já estão lá: quais agentes acessaram um serviço específico na semana passada, quanto cada equipe está gastando em inferência e se algum agente tocou em credenciais ou PII. Como os dados de auditoria residem ao lado de seus dados de negócios, você pode ir mais longe, unindo o comportamento do agente a resultados de negócios para entender não apenas o que os agentes fizeram, mas se funcionou. Lakewatch, o SIEM agêntico da Databricks construído no lakehouse de segurança, leva isso ainda mais longe, transformando a mesma trilha de auditoria em inteligência de segurança ativa: detecção e resposta de ameaças impulsionadas por IA construídas no lakehouse. Atacantes estão usando agentes. Defensores também deveriam.

Em terceiro, você precisa saber que os dados em que seus agentes confiaram eram confiáveis em primeiro lugar. Uma trilha de auditoria completa informa o que um agente acessou. Ela não informa se esses dados eram bons. O monitoramento de qualidade de dados rastreia continuamente a atualidade e a completude em todo o seu catálogo. Combine-o com os rastros do agente e você passará de "o agente deu uma resposta errada" para "o agente consultou uma tabela que foi sinalizada como desatualizada", conectando o comportamento do agente à qualidade dos dados subjacentes. A classificação de dados adiciona uma camada extra: um sistema de IA agentivo escaneia e etiqueta continuamente colunas sensíveis, como dados regulamentados por PII, HIPAA e GDPR, e essas etiquetas alimentam diretamente o controle de acesso. Colunas mascaradas permanecem mascaradas, independentemente de qual agente ou framework as solicite. A governança de dados que você já possui se torna sua governança de IA automaticamente.

Pilar 3: Inteligência de custos

Cada chamada de modelo tem um preço. A maioria das empresas não tem ideia de quem está as executando, para quê, ou se alguma delas está funcionando até que a fatura chegue e o financeiro precise explicar um número que ninguém previu.

A causa raiz não é um processo quebrado. É infraestrutura ausente: nenhuma camada de medição que veja todo o tráfego de IA em um só lugar, nenhum sistema de etiquetagem que o atribua a equipes ou casos de uso, nenhum controle de gastos ao lado dos controles de acesso que regem os mesmos recursos.

Nós construímos isso no Unity Catalog e no Unity AI Gateway. O rastreamento de uso registra cada solicitação em tabelas de uso, incluindo contagens de tokens, latência, identidade do solicitante e destino do modelo em provedores hospedados pela Databricks e externos em uma única tabela. Ele permite que você marque solicitações por equipe, projeto ou centro de custo. Como ele é registrado como uma tabela ao lado dos seus rastros de agente e dados de negócios, você pode conectar o custo aos resultados. Um agente que custa US$ 200 e gera US$ 50 mil em pipeline qualificado é uma barganha. Um agente que custa US$ 200 consultando dados desatualizados em um loop é um desperdício. Sem conectar o custo ao resultado, você não consegue ver a diferença.

Orçamentos no Unity AI Gateway adicionam a camada de política. Os administradores definem limites de gastos mensais por usuário ou grupo e recebem alertas quando o consumo se aproxima ou ultrapassa esses limites — o sinal que você precisa antes que os gastos se tornem um problema, não depois. A aplicação rigorosa é o próximo passo natural, e teremos mais novidades sobre isso em breve.

Pilar 4: Aberto e interoperável

Toda estratégia de governança de IA empresarial eventualmente enfrenta a mesma função de força: uma nova equipe escolhe um framework diferente, um novo provedor lança um modelo melhor. Se sua governança está embutida nas escolhas de ferramentas de hoje, você está em uma esteira rolante: cada novo framework é uma nova integração, cada novo modelo é uma nova política.

Nós reconhecemos isso, e é por isso que adotamos uma abordagem diferente da maioria das ferramentas de governança. A governança não pode viver apenas na camada do agente. Ela também precisa viver nos dados e serviços que os agentes acessam, sejam esses serviços gerenciados pela Databricks ou não. Um agente construído no LangGraph e um construído no CrewAI consultam o mesmo Unity Catalog, invocam os mesmos servidores MCP governados e fluem pelo mesmo AI Gateway. O framework é irrelevante. A governança acompanha os recursos, não o código que os chama.

Padrões abertos tornam isso concreto. MCPs dão aos agentes um protocolo universal de conectividade de ferramentas: registre uma vez no Unity Catalog, invoque de qualquer framework com as mesmas permissões e trilha de auditoria. O Unity AI Gateway fornece um único endpoint governado para modelos hospedados pela Databricks, Azure OpenAI, AWS Bedrock e Anthropic, com uma política, uma trilha de auditoria e uma camada de atribuição de custos entre provedores. O rastreamento MLflow instrumenta automaticamente LangChain, LlamaIndex, AutoGen, o SDK da OpenAI, o SDK da Anthropic e mais, com rastros registrados no Unity Catalog como tabelas sem instrumentação personalizada por framework.

O resultado final é que a governança se torna uma propriedade da sua plataforma, em vez de algo que você reconstrói para cada novo framework ou modelo. Cada agente que você implanta, independentemente de como foi construído ou qual modelo o alimenta, acessa os mesmos dados governados, a mesma lógica de negócios e as mesmas permissões. Você define as regras uma vez, e cada agente subsequente as adota automaticamente.

Saiba mais

As empresas que acertam a governança de IA não apenas evitarão incidentes. Elas avançarão mais rápido do que aquelas que não o fazem porque suas equipes confiam na infraestrutura por baixo delas, e a confiança remove o atrito que retarda todos os outros.

Se você está construindo em direção a isso, comece com nosso curso gratuito sobre governança de agentes de IA, baixe o Databricks AI Security Framework (DASF), e visite nossa página de governança de IA para recursos adicionais.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original