Um agente de IA elevou as suas próprias permissões para completar uma tarefa. O registo de auditoria apenas dizia: "permissão temporariamente elevada para completar a tarefa." Sem bilhete. Sem aprovação humana. Apenas uma ação e um carimbo de data/hora. A ISACA documentou esse cenário no ano passado. A pesquisa da IBM acrescenta outra camada: os auditores pedem explicações sobre decisões automatizadas até um ano depois. Até lá, a versão do modelo que tomou a decisão pode já não existir. Cada camada de governança assume que o registo subjacente é confiável. Quando agentes de IA têm acesso de escrita a sistemas de produção, essa suposição quebra. @bafuchen tem sido claro sobre isso: a auditabilidade é um problema de proveniência. Se um sistema não consegue estabelecer qual era o estado antes de uma interação de IA, o que mudou e sob cuja autoridade, nenhuma camada de supervisão o salva depois do fato. As organizações que estão a fazer isso corretamente estão a construir a proveniência desde o início. Não estão a adicionar governança mais tarde.