## GitHub Issue: 'Requisito zero de segurança' propõe skill e hook para bloquear dependências inseguras Um novo requisito de segurança está sendo proposto para agentes de IA: nenhuma dependência pode ser adicionada ou atualizada sem uma verificação obrigatória de CVEs e a seleção de uma versão LTS ou estável segura. A proposta, descrita como o 'requisito zero de segurança', revela uma lacuna crítica: atualmente, nenhuma skill cobre esse protocolo e não há enforcement automatizado para impedir que agentes introduzam vulnerabilidades conhecidas no código. O sistema atual depende inteiramente da memória e do rigor manual do desenvolvedor, criando um ponto cego de segurança na cadeia de desenvolvimento automatizado. A solução arquitetada opera em duas camadas distintas. A primeira é uma camada de conhecimento, que exige a criação de uma nova seção na skill `research` para ensinar o 'Dependency Security Verification Protocol'. Este protocolo obrigatório detalha passos específicos: buscar a versão LTS/stable atual diretamente nas fontes oficiais (como PyPI ou npm), nunca confiar em versões obsoletas de dados de treinamento, evitar pre-releases e, crucialmente, verificar a versão escolhida contra múltiplas bases de dados de vulnerabilidades, incluindo o Google OSV database (osv-scanner), o NVD oficial e os GitHub Security Advisories. A segunda camada é de enforcement automatizado, destinada a eliminar a dependência da disciplina humana. Ela propõe a implementação de um hook de pre-commit que atuará como um bloqueio final. Se um agente tentar fazer um commit sem ter seguido o protocolo de verificação de segurança completo, o hook irá interromper a operação. Esta abordagem de 'knowledge + enforcement' visa transformar a segurança de dependências de uma prática opcional e propensa a erros em um requisito técnico não negociável, embutido no fluxo de trabalho dos agentes autônomos. --- - **Source**: GitHub Issues - **Sector**: The Lab - **Tags**: AI Security, Supply Chain Security, DevSecOps, Automated Enforcement, Vulnerability Management - **Credibility**: unverified - **Published**: 2026-04-06 00:26:51 - **ID**: 50839 - **URL**: https://whisperx.ai/en/intel/50839