Em literatura técnica de segurança, há um padrão de falha que aparece sempre que sistemas computacionais delegam autoridade. O sistema A, com privilégios legítimos para executar certas ações, recebe instruções de B, que não tem esses privilégios. B convence A — não por engano grosseiro, mas por linguagem cuidadosamente alinhada com o que A esperava ouvir — de que a instrução é legítima. A executa. O dano se materializa. Quando se vai apurar o que aconteceu, descobre-se que B nunca tocou no sistema. A fez tudo, com autoridade própria, em direção desalinhada com o interesse de quem confiou em A. A literatura cunhou um nome para essa figura: confused deputy — o procurador confuso.

O termo é antigo. Vem de pesquisa de segurança de sistemas operacionais dos anos setenta. Em meses recentes, pesquisadores que trabalham com agentes autônomos de inteligência artificial documentaram, com novo rigor, como esse padrão se reativa de forma alarmante em modelos que navegam a web, leem mensagens e executam ações em nome de usuários humanos. Eles mostram, com taxas de sucesso assustadoras, que basta um input cuidadosamente construído — encaixado em metadado HTML, escondido em notificação móvel, plantado em um documento que o agente lê — para que esse agente passe a executar instruções que parecem alinhadas ao trabalho, mas servem a outro propósito.

O ponto deste ensaio é simples: o mesmo padrão opera, com força idêntica, em organizações humanas inteiras. E porque não está nomeado, não está defendido. E porque não está defendido, opera todos os dias, em todas as salas onde lideranças bem-intencionadas tomam decisões que parecem coerentes, mas que servem a forças que ninguém autorizou conscientemente a operar.

O perfil do confused deputy organizacional

Imagine um CEO de uma empresa de porte médio. Ele tem autoridade legítima para decidir contratações, demissões, investimentos, parcerias estratégicas. Tem essa autoridade porque alguém — fundadores, conselho, sócios — confiou nele. Toda essa autoridade existe sob a premissa de que ele exercerá em direção alinhada ao interesse da organização, com bom critério, dentro do seu trabalho.

Agora considere os inputs que esse CEO recebe ao longo de uma semana. Conversas no café com o head de operações que sutilmente pintam o head de produto como "difícil". Relatórios da área financeira que enquadram um cliente como "marginal" antes mesmo que a discussão estratégica comece. Mensagens informais da assessoria que sinalizam, sem dizer, qual diretor "já está sendo cogitado para sair". O bullet point que aparece na pauta da reunião do conselho com framing específico, decidido em outra sala, antes de ele ver. A ata, redigida por terceiro, que registra a decisão com precisão técnica — mas com uma nuance sutil que altera o sentido do que foi acordado.

Cada um desses inputs é, em algum grau, plausível. Cada um se apresenta como informação neutra. Cada um vem por canal legítimo. E cada um, em isolamento, parece inócuo. Mas o conjunto, ao longo de seis meses, modela quais decisões parecem óbvias, quais parecem polêmicas, quais nem chegam à mesa. O CEO continua exercendo sua autoridade legítima — mas a autoridade está sendo, sutilmente, dirigida por inputs cuja origem ele não rastreou. Confused deputy do andar de cima.

O que torna o padrão particularmente difícil de detectar

Três características fazem desse padrão um risco organizacional que escapa às defesas convencionais.

Primeira: o confused deputy nunca tem consciência de que está confundido. Por definição, ele agiu de acordo com sua melhor interpretação do que era certo. Não há sinal subjetivo de erro. O sentimento, durante e depois, é de coerência decisória. Quem pergunta "como você chegou nessa conclusão?" recebe explicação articulada, plausível e sincera. Mas a explicação rastreia apenas a metade visível do processo — as razões que apareceram. Ela não rastreia, porque não tem como, as razões que foram filtradas antes de aparecer.

Segunda: controles convencionais — governança, auditoria, comitês de ética — operam no nível das ações registradas, não no nível dos inputs que conformaram a decisão. Eles podem detectar se uma decisão violou política, se um conflito foi declarado, se um voto foi computado corretamente. Mas não detectam se, antes de a decisão ser sequer formulada, o framing já havia eliminado três alternativas que mereceriam discussão. O confused deputy passa por todas as checagens formais. As checagens não foram desenhadas para esse tipo de problema.

Terceira: o padrão se reforça por sucesso aparente. As decisões filtradas tendem a se mostrar, no curto prazo, coerentes — afinal, foram filtradas exatamente para parecerem assim. O CEO confused deputy entrega trimestre após trimestre dentro do esperado. Performa. É elogiado. A própria performance vira evidência de que o sistema de inputs está funcionando bem — quando, na verdade, está apenas funcionando de modo consistente com sua direção implícita, que ninguém autorizou conscientemente.

Por que isso piora na era da inteligência operacional

Há uma razão estrutural pela qual esse padrão se torna mais perigoso, não menos, à medida que ferramentas de inteligência se incorporam à rotina do C-level. Agentes inteligentes, assistentes que resumem reuniões, sistemas que filtram correspondência, modelos que recomendam decisões — todos eles aumentam o volume de input processável e reduzem a latência de resposta. Isso parece progresso. E em muitos sentidos é.

Mas há um efeito secundário menos discutido. Cada uma dessas camadas introduz uma nova superfície sobre a qual o framing pode ser, deliberadamente ou não, conformado. O e-mail do conselheiro, antes de chegar ao CEO, passa por sumarização. A pauta da reunião, antes de ser distribuída, é estruturada por assessor. O brief do candidato a diretor, antes de ser lido, é organizado por sistema. Cada filtro é, no melhor cenário, neutro. No pior, vetor. E na maior parte dos casos reais, é algo entre os dois, sem que ninguém tenha decidido onde, exatamente, o filtro deveria estar calibrado.

Pesquisadores recentes documentam, em ambiente controlado, taxas de sucesso de ataque a agentes autônomos da ordem de oitenta a noventa e cinco por cento quando o input contaminado é cuidadosamente elaborado. Não há razão estrutural para acreditar que organizações humanas — que operam com inputs menos rastreáveis, menos calibráveis e mais carregados de afeto — sejam materialmente mais resistentes.

A defesa que não funciona

A reação intuitiva, quando uma liderança começa a suspeitar que está sendo dirigida por inputs cuja origem não controla, é apertar o controle. Pedir mais relatórios. Adicionar camadas de revisão. Centralizar mais decisões. Cobrar mais. Vigiar mais.

Isso quase nunca funciona — e frequentemente piora o problema. Por uma razão geometricamente simples: o controle apertado aumenta a dependência da liderança em filtros, porque ninguém consegue, com mais reuniões, mais reports e mais aprovações, processar diretamente o volume de input bruto que essa centralização passa a exigir. Mais controle, mais filtros. Mais filtros, mais superfícies onde o framing pode operar. Mais framing, mais confused deputy.

Há uma analogia operacional valiosa na literatura técnica que estudei sobre o tema. Os pesquisadores que documentam confused deputy em agentes de IA são claros sobre o ponto: a defesa contra esse padrão não vem de monitorar mais o que o agente faz. Vem de desenhar contexto suficientemente claro para que o agente tenha critério interno de distinguir comando legítimo de comando camuflado. A defesa é de design — não de vigilância.

A defesa que funciona

Trazendo para o vocabulário organizacional, isso se traduz em quatro deslocamentos arquiteturais. Eles não eliminam o risco. Eles reduzem a superfície sobre a qual o padrão consegue operar.

Primeiro deslocamento: contexto proprietário explícito. A organização precisa ter, em alta resolução, uma compreensão articulada do que ela é, do que ela quer, do que ela rejeita. Não como manifesto de parede. Como referência viva contra a qual cada input recebido pode ser cotejado. Quando o head de operações chega com framing sutil sobre o head de produto, a liderança com contexto proprietário forte percebe o framing como tal — porque tem padrão interno contra o qual o input dissona. Liderança com contexto proprietário fraco interpreta o framing como informação neutra.

Segundo deslocamento: diversidade de canais. Quando todo input crítico chega por dois ou três assessores muito próximos, o framing desses assessores se torna o framing da organização. Quando inputs chegam por canais estruturalmente diversos — equipes de campo, conselheiros externos, conversas com clientes diretos, parcerias com casas independentes —, nenhum canal isolado consegue dirigir o conjunto. A redundância informacional é defesa arquitetural.

Terceiro deslocamento: rastreio de origem. Toda recomendação que chega ao C-level deveria carregar, junto, a história de como chegou ali. Quem framou? Sob que premissa? Quais alternativas foram filtradas antes? Não como burocracia, mas como hábito. A organização que treina seus quadros para essa pergunta — "como esse input se formou antes de chegar aqui?" — recupera a capacidade de detectar o confused deputy enquanto ele ainda é evitável.

Quarto deslocamento: resistência cultivada. Há uma virtude que precisa ser cultivada nas lideranças e que raramente é nomeada: a capacidade de, diante de input sofisticadamente framed, dizer "preciso de mais tempo". Não como táctica de poder. Como ato de cuidado epistêmico. O confused deputy é mais frequentemente capturado pela velocidade que pelo conteúdo. Lideranças que internalizaram a permissão de pausar, contra-perguntar e exigir o input que está faltando reduzem materialmente sua exposição.

O retorno do silêncio

Há um efeito colateral elegante quando a organização começa a operar com essa consciência. As pessoas que ganhavam vantagem framando inputs perdem essa vantagem. Não porque foram confrontadas — em geral, não vale a pena confrontar. Mas porque o input framed para de funcionar. Ele chega, é cotejado contra o contexto proprietário, é triangulado com canais diversos, é interrogado sobre origem. Sobrevive ou não sobrevive. Quando não sobrevive, fica claro para quem framou que o framing perdeu eficácia. Em geral, o framing simplesmente cessa.

O resultado, ao longo de um ano, é uma sutil transformação do ambiente decisório. As conversas se tornam mais diretas — porque indireção parou de pagar. As pautas se tornam mais técnicas — porque framing parou de funcionar. Os relatórios se tornam mais completos — porque ausência fica visível. A organização ganha algo que nem sabia que tinha perdido: a clareza sobre quem efetivamente está dirigindo cada decisão.

O ativo que essa defesa protege

Há uma última observação que vale ser feita, porque ela conecta este ensaio à categoria mais ampla que esta casa opera. Quando uma organização permanece confused deputy por anos, o dano não é apenas decisional. É identitário. A empresa, ao executar decisões cuja origem não rastreou, se torna progressivamente um veículo de propósitos que não são exatamente os dela. As pessoas, dentro, começam a perceber esse descolamento — sem conseguir nomeá-lo. A cultura, ao redor, começa a sustentar comportamentos cuja função é defensiva. A organização perde, lentamente, a coerência interna entre o que ela diz que é e o que ela faz.

É esse o ativo que a defesa contra o confused deputy protege. Não é apenas a qualidade da decisão individual. É a possibilidade de uma organização permanecer, ao longo do tempo, fiel a si mesma — e portanto reconhecível, durável, integrada. Em era em que tantos vetores de input operam silenciosamente, esse tipo de coerência institucional deixou de ser luxo. Virou condição de continuidade.

É por isso, no fim, que Engenharia de Contexto importa. Não como técnica gerencial. Como mecanismo de soberania.