Agentor: Construindo um framework seguro de agentes IA em Rust

O desafio

Frameworks de agentes IA se tornaram infraestrutura essencial para equipes que integram modelos de linguagem de grande porte em fluxos de trabalho produtivos. A maioria desses frameworks e escrita em Python — uma linguagem otimizada para prototipagem rapida, mas fundamentalmente limitada em seguranca de memoria, desempenho em tempo de execucao e comportamento deterministico. A Xcapit foi contratada para conduzir uma auditoria de seguranca de um importante framework open-source de agentes IA, e as descobertas foram preocupantes.

A auditoria revelou tres categorias de limitacoes estruturais. Primeiro, seguranca de memoria: o garbage collector do Python introduz pausas nao deterministicas e a falta de semantica de ownership torna impossivel garantir que dados sensiveis — chaves de API, prompts de usuarios, respostas de modelos — sejam corretamente desalocados. Segundo, overhead de runtime: a orquestracao de agentes em Python consumia de 5 a 10 vezes mais memoria que a logica equivalente em uma linguagem de sistema, tornando deployments multi-agente proibitivamente caros. Terceiro, lacunas de conformidade: a arquitetura do framework dificultava a implementacao de trilhas de auditoria, execucao isolada e controles de residencia de dados exigidos pela ISO 27001, GDPR e padroes regulatorios similares.

Esses nao eram bugs que poderiam ser corrigidos com patches. Eram consequencias de decisoes arquiteturais fundamentais — a escolha da linguagem, a ausencia de isolamento de execucao e a falta de fronteiras de seguranca estruturadas.

Da auditoria ao Agentor: a origem

A auditoria de seguranca produziu um relatorio detalhado com mais de 40 descobertas classificadas por severidade. Embora os mantenedores do framework tenham recebido o relatorio de forma construtiva, ficou claro que abordar as causas raiz exigiria uma reescrita completa — nao das funcionalidades do framework, mas de suas fundacoes. A equipe de engenharia da Xcapit, com profunda experiencia em programacao de sistemas e infraestrutura criptografica, decidiu construir essas fundacoes por conta propria.

O projeto foi batizado de Agentor. O objetivo era explicito: replicar todas as capacidades funcionais do framework auditado — orquestracao de agentes, execucao de ferramentas, integracao com provedores, gerenciamento de conversas — mas implementa-las em Rust com seguranca de memoria, abstracoes de custo zero e arquitetura pronta para conformidade desde o primeiro dia. O framework seria lancado sob licenca AGPL-3.0 para garantir que permaneca open source e protege-lo contra forks proprietarios.

Arquitetura em Rust

O Agentor e estruturado como 13 crates modulares, cada um com uma unica responsabilidade e interfaces bem definidas. Esse design permite que equipes utilizem apenas os componentes necessarios e substituam modulos individuais sem afetar o restante do sistema.

• agentor-core: definicoes de tipos, traits e abstracoes compartilhadas usadas em todos os crates
• agentor-runtime: o motor de execucao de agentes com loops de conversa estruturados e estrategias configuraveis
• agentor-providers: integracoes com provedores de LLM (OpenAI, Anthropic, modelos locais) atraves de um trait unificado
• agentor-tools: registro, validacao e execucao de ferramentas com parsing de argumentos baseado em schemas
• agentor-mcp: implementacao completa do Model Context Protocol para interoperabilidade entre frameworks
• agentor-sandbox: ambiente de execucao isolado baseado em WASM para codigo de ferramentas nao confiaveis
• agentor-cli: interface de linha de comando para executar agentes, gerenciar configuracoes e depurar fluxos de trabalho

Todo o codebase utiliza serializacao zero-copy onde possivel, evitando alocacoes de memoria desnecessarias durante a passagem de mensagens entre agentes e ferramentas. O modelo de ownership do Rust garante que dados sensiveis como chaves de API e respostas de modelos nao possam ser acessados apos serem movidos ou liberados — uma garantia que simplesmente nao e possivel em linguagens com garbage collector.

Sandbox WASM

Uma das funcionalidades de seguranca mais criticas do Agentor e o sandbox WASM para execucao de ferramentas. Quando um agente IA decide invocar uma ferramenta — seja ler um arquivo, executar codigo ou chamar uma API externa — essa execucao acontece dentro de um sandbox WebAssembly com capacidades estritamente definidas.

O sandbox impoe isolamento de memoria (ferramentas nao podem acessar a memoria do processo host), restricoes de filesystem (ferramentas so podem acessar caminhos explicitamente autorizados), fronteiras de rede (requisicoes de saida sao filtradas por allowlist) e limites de tempo (ferramentas descontroladas sao encerradas apos um timeout configuravel). Isso significa que mesmo se uma ferramenta contiver logica maliciosa ou um LLM alucinar um comando perigoso, o raio de dano fica contido dentro da fronteira do sandbox.

Otimizado para geracao de codigo

Enquanto a maioria dos frameworks de agentes IA trata a geracao de codigo como mais um caso de uso entre muitos, o Agentor foi projetado desde a base com a geracao de codigo como fluxo de trabalho de primeira classe. Este e seu diferencial chave. Equipes de desenvolvimento que usam LLMs para gerar, refatorar e testar codigo precisam de um framework de agentes que entenda a estrutura dos projetos de software — nao apenas texto.

• Desenvolvimento dirigido por especificacoes: os agentes podem ingerir especificacoes estruturadas (OpenAPI, protobuf, JSON Schema) e gerar codigo de implementacao em conformidade com a spec, com validacao em cada etapa
• Saida de codigo multi-arquivo: diferentemente de frameworks que produzem respostas de arquivo unico, o Agentor suporta geracao coordenada multi-arquivo com rastreamento de dependencias e resolucao de imports
• Transformacoes AST-aware: modificacoes de codigo sao realizadas no nivel da arvore sintatica abstrata em vez de manipulacao de strings, reduzindo o risco de erros de sintaxe e preservando convencoes de formatacao
• Pipelines de testes integrados: o codigo gerado e automaticamente encaminhado atraves de suites de testes configuraveis antes de ser apresentado como saida final, detectando erros antes que cheguem ao desenvolvedor
• Otimizacao da janela de contexto: codebases grandes sao fragmentados e priorizados de forma inteligente para que os arquivos mais relevantes sejam incluidos na janela de contexto do LLM, maximizando a qualidade da geracao

Essa combinacao de funcionalidades torna o Agentor particularmente adequado para ambientes empresariais onde a geracao de codigo deve ser confiavel, auditavel e integrada em pipelines de CI/CD existentes.

Integracao do protocolo MCP

O Agentor inclui uma implementacao completa do Model Context Protocol (MCP), o padrao emergente para conectar agentes IA a ferramentas externas, fontes de dados e servicos. O suporte ao MCP significa que qualquer ferramenta construida para Claude, GPT ou outros modelos compativeis com MCP pode ser usada diretamente dentro do Agentor sem modificacoes.

A integracao funciona em ambas as direcoes: o Agentor pode atuar como cliente MCP, consumindo ferramentas expostas por servidores MCP externos, e como servidor MCP, expondo suas proprias ferramentas e capacidades a outros agentes ou sistemas de orquestracao. Essa compatibilidade bidirecional garante que o Agentor se integre na infraestrutura existente em vez de exigir que as equipes substituam suas ferramentas atuais.

Conformidade e seguranca

O Agentor foi construido com a conformidade regulatoria como restricao de design, nao como algo adicionado posteriormente. O framework inclui funcionalidades que atendem aos requisitos mais comuns em setores regulamentados:

• Pronto para GDPR: todos os caminhos de processamento de dados suportam rastreamento explicito de consentimento, minimizacao de dados e direito ao apagamento. Campos sensiveis podem ser anotados para redacao automatica em logs
• Alinhado com ISO 27001: a arquitetura modular se mapeia diretamente aos dominios de controle da ISO 27001, com fronteiras de seguranca documentadas entre crates e responsabilidade de risco explicita por modulo
• Candidato a DPGA: como projeto open-source com potencial documentado de impacto social, o Agentor esta sendo submetido ao registro da Digital Public Goods Alliance
• Licenca AGPL-3.0: garante que o framework permaneca open source e qualquer modificacao implantada como servico tambem deva ser open source, prevenindo o lock-in proprietario
• Trilha de auditoria: cada decisao do agente, invocacao de ferramenta e resposta do modelo e registrada com metadados estruturados para analise post-hoc e revisao regulatoria

Resultados e metricas

O desenvolvimento do Agentor atingiu a prontidao para producao com resultados mensuraveis que validam as decisoes arquiteturais tomadas durante a reescrita:

• 483+ testes automatizados cobrindo cenarios unitarios, de integracao e end-to-end em todos os 13 crates
• 13 crates modulares com fronteiras de dependencia claras, permitindo adocao incremental pelas equipes
• Tempo de inicializacao a frio inferior a 50ms — comparado com 2-5 segundos em frameworks equivalentes em Python
• 10x menos consumo de memoria que alternativas baseadas em Python em benchmarks de orquestracao multi-agente
• Isolamento por sandbox WASM com fronteiras configuraveis de filesystem, rede e memoria por execucao de ferramenta
• Conformidade total com o protocolo MCP, verificada contra a suite de testes oficial

Conclusoes-chave

• Auditorias de seguranca podem revelar limitacoes estruturais que nenhum patch pode corrigir — as vezes a resposta certa e uma reescrita limpa em uma linguagem de sistema
• O modelo de ownership do Rust fornece garantias de seguranca de memoria essenciais para agentes IA que lidam com dados sensiveis em producao
• O sandboxing WASM transforma a execucao de ferramentas de um modelo baseado em confianca para um baseado em capacidades, mudando fundamentalmente a postura de seguranca dos agentes IA
• Otimizar para geracao de codigo como fluxo de trabalho de primeira classe — nao apenas geracao de texto — requer transformacoes AST-aware, coordenacao multi-arquivo e testes integrados
• O suporte ao protocolo MCP garante interoperabilidade com o ecossistema IA mais amplo sem vendor lock-in
• O licenciamento open-source sob AGPL-3.0 protege o framework da captura proprietaria enquanto possibilita ampla adocao

Interessado em implantar agentes IA com seguranca e desempenho de nivel produtivo? Seja para um framework de agentes seguro para ambientes regulamentados, pipelines de geracao de codigo para sua equipe de desenvolvimento ou integracoes de IA personalizadas — a Xcapit tem a infraestrutura e a experiencia. Vamos conversar.