São Paulo · Brasil guia de agente

15 de mai. de 2026 · guia operacional

Segurança para agente pessoal com arquivos

Limites práticos para deixar um agente ler, escrever e organizar arquivos sem transformar produtividade em risco silencioso.

  • Hermes Agent
  • Claude Code
  • Codex
  • OpenClaw-style hosted agent
  • agente Markdown genérico

O problema

Agente com acesso a arquivo é útil. Também é perigoso.

O risco não é só “ele apagar tudo”. O risco comum é menor e mais chato: sobrescrever arquivo certo com conteúdo errado, mover coisa para lugar ruim, vazar segredo em contexto, editar produção sem perceber, instalar pacote desnecessário, ou deixar uma mudança sem rastro.

Segurança aqui não é paranoia. É design de rotina.

Três zonas de acesso

Divida o mundo em três zonas.

quadro de fronteira

Acesso bom tem cerca visível.

Classifique a ação antes de dar ferramenta. Se o pedido encosta em cliente, credencial, dinheiro, produção ou envio externo, ele sobe de risco.

verdePode fazer

Ler arquivo não sensível, listar pasta, resumir, gerar plano e criar rascunho novo.

amarelaPede confirmação

Editar, mover, instalar dependência, rodar script ou alterar configuração local.

vermelhaBloqueia

Apagar em massa, publicar, tocar segredo, mexer em produção ou enviar mensagem externa.

incertezaSobe o risco

Quando a classificação não é clara, trate como amarela. Se houver dano real, trate como vermelha.

abrir template ver skill de segurança setup com limites
ZonaO agente pode fazerRegra
Verdeler arquivo não sensível, resumir, listar pasta, gerar plano, criar rascunho novopode fazer sozinho e mostrar resultado
Amarelaeditar arquivo, mover item, instalar dependência, rodar script, alterar configuração localprecisa explicar plano e pedir confirmação
Vermelhaapagar em massa, mexer em produção, publicar, enviar mensagem externa, tocar segredo, acessar dado de clientebloqueado ou exige aprovação explícita fora do fluxo normal

Se você não sabe classificar uma ação, trate como amarela. Se envolve cliente, dinheiro, credencial ou produção, trate como vermelha.

Regras mínimas

Escreva algo assim para o agente:

  1. Pode ler arquivos do projeto atual.
  2. Pode criar rascunhos novos em pasta combinada.
  3. Pode propor mudanças antes de aplicar.
  4. Mostre o diff antes de editar arquivo existente quando a mudança for relevante.
  5. Deve pedir confirmação antes de apagar, mover, sobrescrever ou instalar.
  6. Não pode mexer em .env, tokens, chaves, credenciais ou segredo sem instrução explícita.
  7. Não pode publicar, enviar mensagem externa ou executar deploy sem confirmação.
  8. Não pode rodar comando destrutivo sem repetir o alvo e o motivo.
  9. Deve registrar o que mudou e como verificar.
  10. Deve parar quando encontrar contexto contraditório.

Isso serve para Hermes, Claude Code, Codex ou qualquer agente com ferramenta. A sintaxe muda. A responsabilidade não.

Segredos não entram no prompt

Token colado em chat é vazamento com UX boa.

Segredo deve ficar em arquivo de ambiente, secret manager, variável local ou configuração apropriada. O agente pode saber que existe uma credencial. Ele não precisa ver a credencial inteira para toda tarefa.

Evite:

  • mandar .env inteiro no prompt;
  • pedir para o agente “guardar” token em memória;
  • colar chave de API em issue, PR ou documento;
  • dar acesso global quando uma variável específica bastava;
  • usar o mesmo token para teste e produção.

No Hermes em VPS, veja o guia de setup e a skill de setup para tratar configuração como arquivo, não como conversa solta.

Confirmação boa não é “posso?”

Confirmação fraca:

Posso fazer isso?

Confirmação boa:

Vou editar src/pages/agentes/index.astro, trocar a chamada principal e rodar pnpm run build. Não vou mexer em deploy nem apagar arquivos. Confirmar?

A confirmação deve dizer:

  • arquivos afetados;
  • ação exata;
  • risco;
  • verificação;
  • o que não será feito.

Se o agente não consegue explicar isso, ele ainda não entendeu a tarefa.

Checklist antes de liberar escrita

  • O agente sabe qual pasta é segura?
  • Existe backup, git ou histórico?
  • Arquivos de segredo estão fora do escopo?
  • Ações destrutivas exigem confirmação?
  • Produção está bloqueada por padrão?
  • O agente mostra diff ou resumo de alteração?
  • Existe comando de verificação?
  • O canal de acesso é privado?
  • Você consegue revogar token ou parar processo?
  • O primeiro teste altera algo sem importância?

Quando o agente toca cliente

Para arquivos próprios, pasta de teste, confirmação manual e tarefa reversível, o caminho faça você mesmo é suficiente. Não precisa chamar empresa para aprender a negar acesso e pedir confirmação.

Se o agente lê conversa de cliente, ticket, CRM, documento comercial ou histórico de atendimento, a barra sobe.

Não basta “meu assistente pessoal”. Você precisa de:

  • base legal e permissão de acesso;
  • regra de retenção;
  • trilha de auditoria;
  • supervisão humana;
  • handoff;
  • QA;
  • limite de resposta;
  • dono do erro.

Para arquivos próprios, organização local, leitura, diff e escrita confirmada em projeto pessoal, o caminho faça você mesmo é suficiente.

Quando entra cliente, produção, QA, handoff e dono do erro, o problema vira governança e evidência, não produtividade pessoal.

Se você prefere ver em vídeo

sinal de demanda

Quer um vídeo para este guia: Regras de segurança para agente pessoal com acesso a arquivos

Se bastante gente pedir, este assunto entra na fila de gravação. Não é promessa. Uma boa demonstração mostraria permissões, confirmação, segredo, diff e uma tarefa segura antes de liberar escrita. O pedido ajuda a priorizar demonstrações práticas.

quando o uso pessoal deixa de ser suficiente

Quando vale chamar ajuda.

Zild.ai agentes em produção + controle humano

Esse é o momento de pedir ajuda: quando o agente deixa de ser uso pessoal e começa a tocar cliente, atendimento, produção, QA, evidência, handoff ou rotina de time. A questão deixa de ser ferramenta e vira operação supervisionada.

materiais úteis

Entenda o limite aqui. Depois baixe o checklist ou a skill para usar no trabalho real.

checklist para usar Checklist de autorização por risco O que o agente pode fazer sozinho, o que exige confirmação e o que deve ficar bloqueado. checklist para usar Template de limites de segurança Checklist renderizado para classificar risco antes de liberar ferramentas. instrução para agente Skill agent-safety-boundaries Procedimento copiável para confirmação, risco e regra de parada.

Perto deste assunto

Escolha pelo que ajuda agora: guia, template, texto ou instrução prática. A proximidade vem do mapa público do caderno.

template para copiarLimites de segurança para agentequando o agente vai ganhar ferramenta, arquivo, terminal ou poder de publicar. Uso: zonas de risco, confirmação boa, proibição e regra de paradatexto relacionadoAgente pessoal em VPS barato com HermesUm caminho prático para decidir entre agente hospedado, OpenClaw-style, Hermes em VPS, Claude Code/Codex no repo ou uma ferramenta simples de chat.guia de agenteAgente pessoal em VPS com Hermes AgentGuia para decidir entre agente hospedado, Hermes em VPS, coding agent e chat simples antes de dar acesso ao seu ambiente.skill para agenteagent-safety-boundariesSkill para definir confirmação, zonas de risco e regra de parada antes de dar ferramenta, arquivo ou terminal a um agente.skill para agentesetup-hermes-agent-vpsSkill para decidir e acompanhar a instalação de Hermes Agent em VPS Ubuntu com Telegram privado, checagens e limites de segurança.

acompanhar por fora do site

Continuo essas notas no LinkedIn.

Sigo publicando ali bastidores, leituras e decisões práticas sobre CRM, atendimento, WhatsApp, IA e agentes. Se esse texto ajudou, me acompanhe por lá também.

Seguir Israel no LinkedIn Novas notas, atualizações e comentários curtos entre um guia e outro.