Seu agente autônomo é tão seguro quanto a disciplina em volta dele

Um agente autônomo escrevendo código que funciona já não é a parte impressionante. A parte impressionante é a disciplina em volta dele que deixa ele rodar no seu código enquanto você dorme — e você não acorda com um incidente em produção.

Quase toda a conversa sobre agente autônomo está travada em capacidade. Se fecha o ticket. Se abre o PR. Se aguenta o loop a noite inteira. Em 2026 isso está resolvido. A variável que de fato decide se você entrega ou sangra é a que ninguém tira print: a disciplina de gestão em volta do agente.

Então fica minha posição. Um agente autônomo é tão seguro quanto o harness e a gestão em volta dele. Capacidade virou commodity. O harness é o fosso. Eu observo time entregando a um agente a chave do que importa — dado de prod, direito de merge, superfície que o cliente vê — com menos cerimônia do que daria a um estagiário de primeira semana. Recomendo o contrário: nenhum agente autônomo toca no que importa até existirem seis coisas em volta dele. Harness engineering é o andaime do trabalho AI-native — retrieval, tarefa com escopo, gate de review, verificação do auto-relato, rollback e ownership humano. Não é ferramenta que você instala. É perímetro que você desenha.

Retrieval, ou o agente está chutando

Agente sem retrieval é agente improvisando a partir do dado de treino e da última coisa que você digitou. Ele vai escrever algo plausível. Plausível não é a mesma coisa que correto no seu repo, com a sua convenção, contra o seu schema. Retrieval — puxar o contexto de trabalho do agente do seu código, dos seus docs e das suas decisões reais, em vez da imaginação dele — é infra mínima, não luxo. O próprio writeup de engenharia da Anthropic sobre construir agentes eficazes chega no mesmo lugar: comece simples, ancore o agente em contexto real, e só adicione autonomia onde ela se paga (www.anthropic.com). Research never guess vale pro agente também.

Perímetro, não a chave

A decisão de maior alavancagem é o escopo. No que esse agente pode tocar, e qual o raio de explosão se ele errar? No Nerdie — meu solver de board autônomo rodando em produção, 624 ciclos de cron em onze dias, 4,7× o throughput de tickets que o time tinha antes, ~24% do trabalho pós-lançamento com selo de "feito por AI" — o runtime ao vivo do agente é comment-only. Ele pesquisa, rascunha e propõe. Não transiciona ticket, não edita campo, não dá merge a partir do loop de cron. Isso não é timidez. É um perímetro de baixo raio de explosão: a autonomia é real, a superfície que ele pode danificar sem supervisão é deliberadamente pequena. Dê ao agente um perímetro, não a chave da prod.

O gate é onde mora a segurança, não a geração

Geração de código mais barata não é a vitória que parece. Mudança sem revisão mais barata é passivo. Toda mudança que um agente autônomo propõe tem que passar pelo mesmo gate que a de um humano passaria — PR, CI verde, review resolvido antes de qualquer coisa entrar. O agente torna a mudança barata; o gate é o que impede a mudança barata de virar mudança cara. Se a sua história de segurança é "o agente costuma acertar", você não tem história de segurança. Você tem fé.

Confie na saída, verifique o auto-relato

Essa é a parte que quase todo mundo pula, e é a mais afiada. Um agente autônomo vai te dizer que terminou. Vai dizer que o teste passa, que o bug foi consertado, que o edge case está tratado. Esse auto-relato é texto gerado, não garantia — é exatamente o tipo de frase confiante que o modelo produz melhor, sendo verdade ou não. O harness verifica de forma independente: a rodada de CI, a saída real do teste, o diff, o resultado avaliado. No Nerdie, 42 resultados foram avaliados pelo time, não pelo agente corrigindo a própria prova. Funciona não é critério. Sobrevive é critério — e "o agente disse que funciona" não é prova de que funciona.

Rollback e um dono com nome

Duas coisas fecham o loop. Rollback: toda mudança autônoma precisa de caminho rápido de volta, porque a pergunta nunca é se ele vai shipar algo errado, só quando. E ownership: um humano é dono do resultado. O agente não responde por nada, não entra de plantão e não vai se explicar pro cliente. Alguém com nome assina embaixo do que o agente entregou. Essa é a diferença entre automação e abdicação.

O cético tem razão até você provar

Se você tem um engenheiro sênior que se recusa a deixar um agente autônomo perto da branch principal, esse engenheiro não está atrasado. Ele está fazendo avaliação de risco — e, pela evidência que a maioria dos times dá pra ele, está certo. A resposta a ceticismo legítimo nunca é mandato nem slide de hype. É o harness — retrieval, perímetro, gate, verificação, rollback, dono — tornado visível. Cético tem razão até você provar. Mostre o perímetro e o cético vira seu melhor revisor de harness.

Harness não é processo. É a diferença entre "mexe e quebra" e "mexe com confiança". O agente autônomo é a metade fácil. A disciplina em volta dele é a metade que decide se você construiu alavanca ou passivo.

Essa disciplina é portátil, mas não é genérica — tem que ser cortada pro seu repo, pra sua superfície de risco e pro seu time. Mapa eu dou de graça. Mão é mentoria. Se você roda agentes autônomos e quer o harness montado em volta da sua stack de verdade, é isso que eu faço dentro da mentoria Carevia → Precisa de mão, não de mapa? Mentoria na Carevia.