Segurança, privacidade e aprendizagem
Segurança protege ativos, pessoas, decisões e operação. Aprendizagem transforma experiência em capacidade sem propagar erro. Os dois domínios se encontram porque memória e reuso podem carregar vulnerabilidades, dados sensíveis ou padrões incorretos.
Controles públicos
Seção intitulada “Controles públicos”- identidade de humano, agente, delegador e tenant;
- least privilege e purpose limitation;
- tool allowlist;
- scope, budget e TTL;
- attenuation em delegação;
- separation of duties;
- data classification e privacy;
- prompt injection e tool poisoning defenses;
- rollback, kill e incident response;
- immutable/auditable gate decisions quando aplicável.
Envelope de autoridade
Seção intitulada “Envelope de autoridade”Cada invocação material deve ser interpretável por:
quem pediuem nome de quempara qual purposecom quais dados e toolsqual action scopequal materiality e budgetaté quandosob qual policy e versãoAprendizagem em níveis
Seção intitulada “Aprendizagem em níveis”- Work memory — temporária e limitada à execução.
- Journal/Trace — registro persistente do caso.
- Learning Candidate — hipótese de padrão ou melhoria.
- Promoted Asset — conhecimento curado, avaliado, versionado e publicado.
Agentes escrevem candidatos; authority promove.
Contaminação e privacidade
Seção intitulada “Contaminação e privacidade”Antes de promoção, verificar dados pessoais, propriedade intelectual, tenant isolation, provenance, bias, context limitations e adversarial content. Um aprendizado útil num contexto pode ser perigoso como padrão global.
Incident learning
Seção intitulada “Incident learning”Incidente deve produzir timeline, impact, root/contributing factors, control gaps, remediation, learning candidate e verification. Culpa individual não substitui análise sociotécnica.
Critério de encerramento
Seção intitulada “Critério de encerramento”Uma correção só é concluída quando o controle foi implementado, sua eficácia verificada e a documentação/operational model atualizados.