← Insights
·7 min de leitura·guia-tecnico·system-prompt·copilot-studio·seguranca-de-agentes
PulseFlow Tecnologia

Como desenhar um system prompt enterprise para agentes de IA

A Microsoft documentou, em detalhe, como agentes com "generative orchestration" no Copilot Studio usam as instruções que recebem: para decidir qual ferramenta ou fonte de conhecimento chamar, para preencher os parâmetros dessa ferramenta, e para gerar a resposta final. Isso dá uma base concreta - não teórica - de como estruturar um system prompt enterprise.

Instruções não substituem configuração

O primeiro ponto da documentação da Microsoft é também o mais fácil de esquecer: "agents can't act on instructions to use tools or knowledge sources if the agent doesn't have those tools or knowledge sources configured." Um system prompt não cria capacidade - ele só direciona uma capacidade que já existe. Isso muda o ponto de partida: antes de escrever a instrução, é preciso garantir que ferramentas e fontes de conhecimento estejam corretamente nomeadas e descritas, porque é o nome e a descrição de cada uma - não o texto do prompt - que o agente usa para decidir o que chamar.

Três camadas de controle, não uma só

A parte mais aplicável da documentação é a estrutura de decisão em três camadas que a Microsoft recomenda para qualquer agente de produção:

  1. Camada determinística - ações irreversíveis ou críticas (pagamento, exclusão de registro) rodam em lógica fixa, sem interpretação de IA
  2. Camada híbrida (intercept) - o agente age, mas com pontos de checkpoint para aprovação humana (ex.: até certo valor, aprova sozinho; acima, escala)
  3. Camada de orquestrador de IA - totalmente generativa, para consultas de baixo risco (perguntas, buscas de informação), dentro de políticas que o agente não pode violar

A regra prática da Microsoft: "if something must happen exactly as specified, handle it deterministically" - nunca deixe a IA decidir sozinha o que é irreversível.

O que colocar na instrução (e o que não colocar)

A documentação lista vocabulário específico para instruções - verbos como Get e Use para recuperação de dados, From e With para agir sobre resultados - e recomenda numerar ou listar instruções quando a ordem importa. Mas o ponto mais contraintuitivo é: não é preciso listar todas as ferramentas disponíveis na instrução - o agente já as enxerga pelo nome e descrição configurados. A instrução deve focar em desambiguar os casos em que a escolha certa não é óbvia, por exemplo: "Use the FAQ documents only if the question is not relevant to Hours, Appointments, or Billing."

Segurança contra jailbreak via trigger

Um ponto que qualquer guia de system prompt enterprise deveria cobrir e frequentemente não cobre: triggers automáticos (que disparam o agente sem mensagem de usuário) são vulneráveis a ataques em que um invasor injeta instruções no próprio payload do trigger - por exemplo, pedindo que o agente envie por e-mail informações sensíveis para o próprio atacante. A defesa recomendada é explícita: limitar quais ferramentas o agente pode usar a partir de um trigger, e limitar quais parâmetros ele pode preencher (por exemplo, restringir e-mail apenas a uma lista pré-definida de destinatários).

Testar não é opcional

A Microsoft recomenda um ciclo de teste específico: usar o "activity map" (visualização em tempo real do plano que o agente decidiu executar) para inspecionar qual ferramenta foi chamada, em que ordem, e se a pergunta de follow-up fez sentido; revisar transcripts de conversas reais em produção; e mudar uma coisa de cada vez, observando o efeito antes da próxima mudança.

Estrutura de referência

Juntando a documentação da Microsoft com a prática de mercado, um system prompt enterprise cobre, na prática:

  1. Papel do agente
  2. Objetivo do agente
  3. Escopo de atuação (o que responder, o que recusar)
  4. Fontes de conhecimento (descritas de forma genérica, não citadas literalmente)
  5. Ferramentas permitidas (nomeadas com exatidão - nomes pesam mais que descrições)
  6. Ferramentas proibidas ou restritas por contexto/trigger
  7. Regras de segurança (limite de escopo em triggers automáticos, contra jailbreak)
  8. Critérios de formato de resposta (tabela, lista, tom)
  9. Critérios de escalonamento humano (camada híbrida: quando aprovar antes de agir)
  10. Logs e rastreabilidade (activity map, transcripts, métricas de fallback)

Fontes