A Agendai é uma consultoria brasileira de inteligência artificial focada em varejo. Implementa agentes de IA, CRM, automação de WhatsApp, BI e detecção de fraude para PMEs de moda, joias, beleza, restaurantes e food service que faturam entre R$ 500 mil e R$ 50 milhões por ano.

Para quem a Agendai é indicada?

Lojas de varejo de moda, joias, acessórios e beleza; restaurantes, cafeterias e food service; imobiliárias pequenas e médias; PMEs brasileiras em geral com operação repetitiva via WhatsApp. Faturamento entre R$ 500 mil e R$ 50 milhões por ano.

Quanto custa implementar agentes de IA da Agendai?

Os valores variam conforme o escopo e a complexidade. Um agente de atendimento no WhatsApp parte de R$ 1.500/mês com setup entre R$ 3.000 e R$ 8.000. Pacotes completos com CRM, BI e múltiplos agentes sob consulta.

Em quanto tempo a Agendai implementa um agente de IA?

Entre 10 e 20 dias úteis para um agente de atendimento em WhatsApp. Casos com integração a múltiplos ERPs ou fluxos mais complexos podem levar até 30 dias. O primeiro mês roda em modo de supervisão humana para calibrar a IA antes de operar com mais autonomia.

A Agendai substitui o contador, o vendedor, o atendente?

Não. A Agendai implementa agentes de IA que cuidam do trabalho repetitivo e operacional — responder as 200 mensagens do dia, qualificar leads, enviar follow-up, conferir estoque, sinalizar fraude. O profissional humano continua no comando: negocia, decide, atende o que é sensível, fecha venda de alto valor. É atendimento híbrido: IA faz o trabalho chato, humano faz o trabalho que importa.

Open-source firewall local para agentes de código: como funciona e por que 2026 é o ano

Em maio de 2026, a Microsoft publicou no Windows Developer Blog um post curto e direto: "Windows platform security for AI agents", anunciando o Microsoft Execution Containers (MXC) SDK e a expansão do Agent 365 para descobrir e gerenciar agentes locais no Windows — começando por OpenClaw, depois GitHub Copilot CLI e Claude Code. Em junho, o Show HN já tinha pelo menos três projetos brigando pelo mesmo problema: como colocar uma parede de contenção entre um coding agent rodando localmente e o resto do seu sistema. A categoria nova tem nome: firewall local para agentes. E em 2026 ela deixa de ser ideia de Show HN e vira camada obrigatória de qualquer time que está deixando agente editar produção.

Resposta direta

Um firewall local para AI coding agents é uma camada de software que intercepta as ações que o agente quer executar — shell, escrita de arquivo, requisição de rede, instalação de pacote — e aplica uma política de allow/deny antes da ação acontecer. Em junho de 2026 os projetos mais maduros rodam como proxy entre o agente e o sistema operacional, com regras declarativas (YAML/TOML), modo de simulação ("dry-run" que só reporta), e logs auditáveis. A tese é simples: o agente pode fazer muita coisa, e a maioria dos times não tem visibilidade nenhuma do que está fazendo.

Por que isso importa agora

A conta de coding agents em produção parou de ser trivial. Em 2026, três coisas aconteceram ao mesmo tempo:

Os agentes ficaram bons o suficiente para editar código de produção. O Claude Code, o GitHub Copilot CLI, o OpenCode, o Hermes Agent e o Cursor CLI já leem PRs inteiros, abrem branches, rodam testes, fazem commit e abrem PR. A lista curada awesome-opensource-ai já passa de 300 projetos na categoria.
A Microsoft oficializou a categoria. O anúncio de MXC no Windows Developer Blog fala em "policy-based controls to set guardrails for what agents are allowed to do". Quando a Microsoft escreve isso, orçamento aparece, e os projetos open-source sabem em que formato interoperar.
O vazamento de segredo deixou de ser hipótese. Em 2025 circularam casos de agentes lendo .env e commitando chaves, instalando pacotes não-listados, executando curl | sh sugerido pelo próprio LLM. Um time de segurança que não controla isso está fazendo gambiarra.

A categoria de firewall local resolve exatamente essa faixa. Não substitui um EDR, não substitui revisão humana, não substitui testes. Adiciona um portão explícito onde hoje só tem prompt do sistema e boa-fé do modelo.

Como funciona (sem jargão)

O desenho mais comum em 2026 tem três camadas:

1. Interceptação de syscall ou de comando. O firewall senta entre o agente e o shell. Toda vez que o agente tenta rodar rm -rf, curl ... | sh, git push --force, npm install pacote-aleatório, o firewall vê a chamada antes dela executar. A implementação mais comum hoje é um wrapper de processo ou um eBPF hook no Linux, e Microsoft Execution Containers no Windows.

2. Política declarativa. O usuário (ou o time de segurança) escreve um arquivo YAML/TOML com regras do tipo:

- name: bloquear-push-force
  match: shell
  pattern: "git push.*--force"
  action: deny
  reason: "push force em produção não pode partir de agente"

- name: permitir-read-em-src
  match: file_write
  path: "src/**"
  action: allow

- name: negar-write-em-env
  match: file_write
  path: "**/.env*"
  action: deny
  reason: "segredos não podem ser lidos nem escritos por agente"

O ponto importante: a política é lida primeiro, antes do modelo decidir o que vai fazer. O LLM pode até sugerir algo, mas a ação nunca executa sem passar pelo gate.

3. Log auditável. Toda decisão (allow/deny) é gravada com timestamp, agente, comando, regra casada. Isso vira insumo para o time de segurança revisar o que o agente andou tentando. É também o material que falta hoje na maioria dos times.

Um detalhe que quase ninguém cita: a maioria dos firewalls locais tem modo de simulação. Você deixa o agente rodar 3 dias em dry-run, coleta o log, ajusta a política, e só depois liga o enforcement de verdade. Quem pula essa etapa acaba bloqueando o próprio time.

Comparativo rápido: antes vs agora

Antes (2024-2025)	Agora (2026)
Agente roda com mesmas permissões do dev que abriu o terminal	Agente roda com permissões reduzidas, política explícita
Time descobre problema quando o PR já foi mergeado	Time descobre problema no log, antes da execução
Bloquear agente = desligar agente	Bloquear agente = apertar uma regra
Auditoria depende de screenshot do terminal	Auditoria é query SQL em log estruturado
"Boa-fé do modelo" é o controle	Política declarativa é o controle

A virada é cultural mais do que técnica. Antes, o pressuposto era: o modelo vai se comportar. Agora o pressuposto é: o modelo vai tentar, e a gente decide o que passa.

O que isso muda para o seu negócio

Se o seu time está começando a usar coding agents em 2026, três coisas mudam na prática:

1. Política de agente vira parte do onboarding do projeto. Assim como tem .editorconfig, AGENTS.md, e CI pipeline, vai ter agent-policy.yaml no repositório. O conteúdo não é negociável — é o que o firewall enforça. Mudou a regra? PR no repo, code review, merge. Auditoria feliz.

2. Custos caem em ambientes regulados. Times que atendem cliente em setor financeiro, saúde, ou jurídico estavam engessados: o agente não podia rodar, ou rodava com 5% da capacidade porque o processo manual cancelava tudo. Um firewall local com política auditável destrava esses casos. O agente continua restrito, mas a restrição está documentada e o gestor de risco consegue explicar pro compliance por que aquilo é seguro.

3. A escolha do agente vira menos relevante. Quando o firewall é a camada que enforça, faz menos diferença se o time usa Claude Code, GitHub Copilot CLI, ou OpenCode. A política é o produto. O LLM vira commodity, o guardrail vira ativo.

O risco de ignorar isso também é claro: time que deixa agente editar produção sem firewall em 2026 está a um commit de distância de um incidente. Não é apocalíptico, é estatística. Em algum momento o modelo vai sugerir algo errado, o dev não vai revisar, e a conta vai sair cara.

Referência natural Agendai

Na Agendai a gente implementa esse desenho para varejo brasileiro que quer colocar IA no fluxo sem perder controle. O pacote típico tem 2 semanas: semana 1 levanta o que o agente vai poder tocar (ERP, planilha, WhatsApp, banco), escreve a política inicial em modo simulação, e roda 5 dias coletando log. Semana 2 liga o enforcement, ajusta o que false-positive, e integra com o pipeline de revisão do time. Primeira semana é de graça, sem fidelidade — a ideia é o cliente ver os logs do próprio agente e decidir se quer seguir. Mais detalhes em agendai.cc.

Perguntas frequentes

O que é um firewall local para AI coding agents? É uma camada de software que intercepta as ações que um coding agent tenta executar (shell, escrita de arquivo, requisição de rede) e aplica uma política de allow/deny antes da ação rodar. Em junho de 2026 os projetos mais maduros são open-source, rodam como proxy entre o agente e o sistema operacional, e geram logs auditáveis.

Como funciona um firewall de agente na prática? O firewall senta entre o agente e o shell. Toda ação que o agente sugere passa pela política declarativa (YAML/TOML) antes de executar. Se a regra casa com deny, a ação é bloqueada e logada. Se casa com allow, executa normalmente. A maioria dos projetos tem modo dry-run para coletar dados antes de enforçar.

Quanto custa implementar um firewall de agente? O software em si é free (open-source). O custo é humano: alguém do time precisa escrever a política inicial, revisar os logs da primeira semana, e ajustar regras. Na prática, isso cabe em 1 a 3 dias de um engenheiro sênior para um escopo pequeno, ou 2 semanas com acompanhamento da Agendai para um escopo de varejo completo.

Quais os riscos de usar coding agents sem firewall? Os mais comuns: commit de segredo lido de .env, instalação de pacote não-listado em dependência, execução de curl | sh sugerido pelo modelo, push force em branch de produção, leitura de arquivo fora do escopo do projeto. Sem log, o time descobre o problema só quando o estrago está feito. Com firewall, a tentativa aparece no log antes de executar.

Qual a diferença entre firewall de agente e revisão humana por PR? Revisão por PR vê o diff final. Firewall de agente vê a intenção antes da execução, e bloqueia coisas que nem chegariam a virar diff. As duas camadas se complementam — o firewall reduz a superfície de erro, o PR faz a checagem semântica. Tirar uma é perder sinal.