A Mastercard fez um anúncio que reverberou no mundo da inteligência artificial: a validação de um novo padrão para ações de agentes autônomos. Este movimento importante confirma a necessidade de segurança robusta em transações e automações de IA.
No dia 5 de março de 2026, a empresa revelou o Verifiable Intent, uma estrutura criptográfica de código aberto. Ela visa provar que transações de agentes IA foram autorizadas e executadas conforme o planejado.
Grandes nomes como Google, IBM, Fiserv e Checkout.com apoiaram a iniciativa imediatamente. Isso demonstra o reconhecimento da indústria sobre a importância de garantir a confiança e a rastreabilidade nas operações de IA.
Essa validação destaca uma realidade crucial: operações complexas de agentes, como movimentar dinheiro ou invocar APIs, não podem depender apenas da confiança. É essencial ter evidências criptográficas do que realmente aconteceu, conforme acompanhamos aqui no Brasil Vibe Coding.
Antes mesmo do anúncio da Mastercard, nossa equipe já havia desenvolvido e implementado o Agent Action Receipts (AAR). É uma especificação aberta e um SDK com licença MIT, já conectado a respostas de API em produção.
Agentes de IA agem, mas como comprovar?
Os agentes de IA estão cada vez mais realizando operações no mundo real. Transferência de criptomoedas, balanceamento de portfólios e execução de automações empresariais são exemplos comuns.
O grande desafio é a falta de um formato de prova padronizado para essas ações. Muitos sistemas registram eventos em JSON ou rastreamentos específicos do fornecedor.
Embora úteis para depuração, esses registros não são considerados evidências criptográficas. Essa lacuna afeta ecossistemas de agentes como CrewAI, LangChain e OpenSandbox.
Sem essa camada de prova, surgem três problemas críticos:
Resolução de disputas: É difícil provar que uma transação foi autorizada e não adulterada.
Conformidade: Trilhas de auditoria se tornam narrativas "melhor esforço", e não fatos verificáveis.
Confiança na interoperabilidade: Fluxos de trabalho entre diferentes fornecedores exigem uma "confiança cega" nos registros de cada participante.
O que é o AAR?
O Agent Action Receipt (AAR) é um recibo JSON assinado que acompanha cada ação significativa do agente. Ele garante a integridade e a autenticidade dos dados.
Normaliza o JSON com JCS-SORTED-UTF8-NOWS para consistência.
Assina o payload canônico usando o algoritmo Ed25519.
Anexa assinatura e metadados como um objeto de recibo.
Permite verificação independente do ambiente original de execução.
Os campos do AAR incluem identidade do agente, principal, ação (tipo/alvo/método/status), hashes de entrada/saída, custo e carimbo de data/hora. É transport-agnóstico, podendo ser usado em headers HTTP, corpo de resposta ou event streams.
Código: Como implementar AAR em TypeScript
A implementação do AAR pode ser feita com algumas linhas de código em TypeScript. O processo envolve a geração de um par de chaves e a utilização de um middleware.
1) Gerar um par de chaves
import {</span> generateKeyPair</span> }</span> from</span> '</span>botindex-aar</span>';</span>
const</span> {</span> secretKey</span>,</span> publicKey</span> }</span> =</span> generateKeyPair</span>();</span>
Este trecho de código importa a função generateKeyPair. Ele é responsável por criar as chaves pública e secreta necessárias para a assinatura e verificação, essencial para a segurança.
2) Express middleware
import {</span> aarMiddleware</span> }</span> from</span> '</span>botindex-aar/middleware/express</span>';</span>
app</span>.</span>use</span>(aarMiddleware</span>({
...
O middleware aarMiddleware se integra a frameworks como Express. Ele automatiza a criação e verificação dos recibos AAR em cada requisição ou resposta de API.
A iniciativa da Mastercard e a solução AAR são passos cruciais para a evolução da confiabilidade nas automações de IA. Elas abrem caminho para um futuro onde a segurança e a transparência são garantidas criptograficamente.
Para mais conteúdos sobre inovações em IA e programação, continue acompanhando o Brasil Vibe Coding.