Se você acha que sabe o que suas ferramentas de IA estão enviando pela rede, provavelmente não sabe. Nas últimas semanas, pesquisadores mostraram um assistente de codificação popular despachando um preâmbulo de ~33 mil tokens antes mesmo de ler o seu prompt, e uma CLI de alto perfil “ligando para casa” com metadados de build que você não pediu para compartilhar. Enquanto isso, uma grande agência de cibersegurança dos EUA admitiu que precisou redigir partes do seu playbook de incidentes durante o próprio incidente. Não é onde você quer estar quando sua extensão de IDE transforma silenciosamente um code review em um evento de compliance.
Este post é um framework de decisão para tirar você de “esperamos que nossos SDKs de IA se comportem” para “nós controlamos o tráfego”. Você vai construir visibilidade, forçar todas as chamadas de IA por um gateway em que confia, definir orçamentos rígidos para preâmbulos de prompt e impedir exfiltração acidental de dados — sem sufocar a velocidade dos desenvolvedores.
O que realmente está acontecendo na rede
Você instalou um plugin de IDE e ativou “enable AI”. E agora?
- Inflação de prompt por design: Vários assistentes adicionam prompts de sistema longos, produzidos pelo fornecedor, e catálogos de ferramentas. Análises recentes cronometraram uma ferramenta de código enviando ~33 mil tokens antes da sua primeira tecla. Outro assistente popular começa em ~7 mil. Aos preços de lista típicos de 2026 (US$ 2–US$ 15 por milhão de tokens de entrada, dependendo do fornecedor/nível de modelo), esses 33 mil custam de US$ 0,07 a US$ 0,50 por chamada — antes mesmo de o seu código aparecer.
- Retries e backoffs em background: Assistentes fazem tentativas automáticas diante de rate limits e timeouts. Muitas vezes trocam de modelo no meio do fluxo. Você paga por gerações parciais e contexto duplicado.
- Headers e parâmetros de telemetria: Headers X- extras, impressões digitais de build, “client hints” e feature flags viajam em toda requisição. Alguns CLIs também enviam sinais de saúde e uso para endpoints do fornecedor que não constam na documentação.
- Conexões SSE de longa duração: Streaming mantém conexões abertas. Heartbeats e deltas parciais aumentam sua conta e complicam a apuração de uso.
Soma tudo. Se um assistente dispara 80–200 chamadas por dia por engenheiro e 30–50% delas carregam um preâmbulo de 10–33 mil tokens, você está queimando 0,8–3,3 milhões de tokens diários por engenheiro só com andaime. A US$ 5 por milhão de tokens de entrada (um ponto de referência de mercado médio), isso dá US$ 4–US$ 16 por engenheiro por dia apenas em preâmbulos. Com um time de 40 pessoas, US$ 3 mil–US$ 13 mil/mês — antes dos prompts reais, antes dos tokens de saída.
Seu trabalho: assumir o controle do tráfego
Existem três estratégias. A maioria dos times faz uma das duas primeiras. Você precisa da terceira.
- Confiar e esquecer: Deixe as ferramentas do fornecedor falarem diretamente com as APIs do fornecedor. Você espera que os dashboards deles contem a verdade. Não contam, e você não consegue verificar.
- Firewall por endpoint: Coloque hostnames em allowlist e bloqueie o resto. Bom para contenção, péssimo para observabilidade. Você ainda não sabe o que foi enviado.
- Gateway por padrão: Force todas as chamadas de IA — servidor e desktop — a passarem pelo seu próprio gateway de LLM. Ele fala os protocolos dos fornecedores, registra o uso, impõe orçamentos, remove telemetria e roteia para modelos aprovados. Os fornecedores só veem o seu gateway; as suas ferramentas só veem o seu gateway. Você controla o tráfego.
Isso não é um genérico “use um proxy”. É uma arquitetura concreta e um plano de rollout que tornam o seu data plane de IA observável e aplicável.
Arquitetura: um gateway de LLM pragmático que não bloqueia a velocidade dos devs
Componentes centrais
- Compatibilidade de protocolo: Comece com rotas compatíveis com OpenAI (completions, chat, batch, SSE), chat/tool-calls compatíveis com Anthropic e pelo menos um backend de pesos abertos (por exemplo, vLLM ou Text Generation Inference) para inferência local ou privada.
- Medição consciente da tokenização: Registre contagens de tokens de entrada/saída por requisição usando o mesmo tokenizer do modelo upstream. Quando os fornecedores não reportarem contagens exatas, estime a partir do tamanho em bytes serializado e de curvas do tokenizer; sua margem de erro deve ficar abaixo de 5–10% após calibração.
- Engine de políticas: Faça cumprir máximos de tokens, orçamento de preâmbulo por chamada, allowlists de modelos, regras de redação/mascaramento e seleção de fornecedor. Políticas se vinculam a chaves de API e contas de serviço, não aos laptops das pessoas.
- Higienização de telemetria: Remova ou reescreva headers e parâmetros de query, normalize o User-Agent e elimine endpoints de beacon conhecidos. Registre o que foi removido para auditoria, sem persistir conteúdo de prompt por padrão.
- Latência adicional mínima: Mire em 10–25 ms de RTT P50 extra dentro da sua região. Use HTTP/2 e pooling de conexão para amortizar a configuração de TLS.
Captura de tráfego por persona
- Servidores e agentes: Políticas de egress do service mesh roteiam qualquer *.openai.com, *.anthropic.com, *.cohere.com, *.x.ai e hosts de LLM customizados para o gateway. Bloqueie egress direto para esses domínios no firewall. Exponha o gateway via um nome de DNS privado (por exemplo, llm.company.internal) e defina os base URLs dos SDKs via config/env.
- Desktops de desenvolvedores: Entregue um CLI de LLM da empresa e um shim de SDK que sejam equivalentes drop-in aos clients comuns. Use o gerenciamento de dispositivos para definir um arquivo PAC ou proxy do sistema para domínios de LLM conhecidos apontando para o seu gateway. Não faça MITM de TLS em produção — roteamento por host é suficiente se você bloquear egress direto para esses domínios.
O plano de auditoria: 30/60/90 dias
Primeiros 30 dias: inventário e baselines
- Mapeie a superfície: Colete uma lista de domínios relacionados a IA em uso. Espere pelo menos 10–20, entre IDEs, CLIs, bancos vetoriais e analytics.
- Registro de processo para destino: Em desktops macOS e Linux, use uma network extension leve ou eBPF para registrar quais processos falam com quais domínios de IA e com que frequência. Você não precisa de payloads ainda — apenas metadados.
- Baselines de preâmbulo: Para cada assistente/IDE, execute um “empty prompt” controlado e alguns prompts padronizados (100/500/2.000 tokens de código) e meça os tokens de entrada reportados pelo fornecedor. Se não houver reporte, estime a partir de bytes. Documente tamanho e variância do preâmbulo.
- Diff de telemetria: Em um sandbox, rode mitmproxy para capturar headers de fluxos comuns. Você vai descobrir headers e parâmetros X- que nunca aparecem na documentação.
Próximos 30 dias: coloque o gateway no ar
- Implante na sua região de cloud: Mínimo de duas AZs, autoescalando para atender seu pico de RPS + 30%. Anexe um IP privado e um nome de DNS privado.
- Implemente políticas: Allowlists de modelos por time; default de max_input_tokens; teto de preâmbulo por chamada: se system + tools + preparação oculta excederem N tokens (comece com 2.048), o gateway retorna um 4xx com orientação.
- Higienize e normalize: Remova ou reescreva headers e parâmetros de query específicos de fornecedores. Mantenha uma allowlist de headers obrigatórios. Registre um evento de auditoria de uma linha por chave removida.
- Contabilidade de uso: Emita logs estruturados por requisição: team, model, input_tokens, output_tokens, latency_ms, retries, vendor e routed_region. Publique no seu data warehouse diariamente.
- Habilitação de desenvolvedores: Forneça um CLI “company-llm” simples e clients de linguagem que espelhem SDKs populares. Documente “defina
OPENAI_BASE_URL=https://llm.company.internal” e equivalentes em 5 linhas, não num wiki de 5 páginas.
Últimos 30 dias: aplicar e otimizar
- Bloqueie o egress direto: Corte a saída direta para fornecedores de IA nas redes corporativas. Permita somente o gateway.
- Controles de orçamento: Cotas diárias de tokens por time com alertas suaves em 80% e bloqueios duros em 100% (períodos de graça configuráveis). SREs recebem uma função break-glass.
- Redação/mascaramento e DLP: Adicione varredura rápida no cliente para segredos óbvios antes de as requisições saírem da máquina (regexes de chaves privadas, tokens OAuth, credenciais de teste conhecidas). Mantenha local para evitar arrasto por falsos positivos nos devs.
- Regras de roteamento por fornecedor: Para prompts de baixo risco (geração de testes unitários, resumos de docs), roteie para o modelo mais barato aceitável. Para mudanças de código e tool-calls, roteie para modelos com confiabilidade de ferramentas comprovada nas suas avaliações. Faça shadow de 1–5% para alternativas para comparação contínua.
- Relate e renegocie: Com baselines reais de tokens em mãos, renegocie preços de modelos, mude de nível ou exija chaves para desabilitar preâmbulos gratuitos.
Orçamentos de preâmbulo: trate-os como SLOs
Você não corrige o que não mede. O inchaço do preâmbulo é onde muito dinheiro e risco se escondem.
- Defina o teto: Escolha um orçamento de preâmbulo por caso de uso. Para assistentes de código, mire ≤ 1.000–2.000 tokens. Para tarefas estruturadas de tool-call com esquemas longos de ferramentas, permita mais — mas defina explicitamente.
- Detecte regressões semanalmente: Rode seus “empty prompts” e prompts curtos padrão em cada assistente e registre os preâmbulos. Se um fornecedor saltar de 2 mil para 10 mil, você saberá em um dia.
- Falhe com orientação: Quando o gateway bloquear uma requisição por preâmbulo acima do orçamento, retorne um erro claro com sugestões: desabilitar um modo de plugin verboso, trocar um catálogo de ferramentas ou rotear para um modelo com menor custo de contexto.
CTOs assinam SLOs de P50/P95 para latência e taxas de erro. Adicione SLOs de preâmbulo e cobre-os dos fornecedores. Coloque-os nos seus MSAs.
Segurança e compliance: paranoia minimamente viável
- Data processing addenda (DPAs): Garanta que seus fornecedores ofereçam modos sem treinamento/sem retenção e que você possa habilitá-los no nível da conta ou do header. Audite a presença do header no gateway.
- Fixação de região: Roteie prompts de usuários da UE para regiões da UE e dos EUA para os EUA. Bloqueie desvio entre regiões no gateway mesmo se um endpoint do fornecedor redirecionar silenciosamente.
- Allowlists de headers: Tudo que não estiver na allowlist é descartado. Ponto. Mantenha um changelog para reabilitar intencionalmente.
- Política de retenção de prompts: Padronize para registrar apenas metadados. Quando precisar reter conteúdo para troubleshooting, criptografe, mascare e apague automaticamente sob um TTL curto (por exemplo, 7 dias), a menos que um incidente imponha legal hold.
- Exercícios de incidente: Não espere para “escrever o playbook durante o incidente”. Faça uma simulação de 90 minutos: um assistente do fornecedor começa a enviar silenciosamente caminhos de arquivo e URLs internos em um header de telemetria. Quem detecta? Quem altera a regra do gateway? O que quebra?
Trade-offs que você deve reconhecer desde o início
- Imposto de latência: Espere 10–25 ms de sobrecarga P50 por requisição. Mantenha o gateway na região, use conexões persistentes e seus usuários não perceberão.
- Fragilidade das ferramentas de desktop: Alguns plugins de IDE se comportam mal atrás de proxies ou base URLs customizados. Você vai precisar de configurações homologadas e docs de suporte.
- Visibilidade parcial: Sem MITM, você não verá o texto bruto do prompt para endpoints hospedados por fornecedores. Ótimo — você não quer essa responsabilidade. Seu objetivo é controle e apuração, não vigilância.
- Gateway como dependência: Agora ele está no seu caminho crítico. Trate-o como qualquer outra plataforma interna: SLOs, on-call, canários e rollouts em estágios.
Números que mudam comportamento
- Razão de preâmbulo: preamble_tokens / total_input_tokens. Mire abaixo de 15% para uso geral e abaixo de 25% para fluxos com muitas ferramentas.
- Desperdício por retry: retry_input_tokens / total_input_tokens. Se você estiver acima de 5–8%, seus timeouts, rate limits ou escolha de fornecedor estão errados.
- Custo por merge: custo total de LLM para PRs mesclados. Se seu gateway rotear tarefas de baixo valor para modelos mais baratos, você deve ver uma queda de 20–40% sem prejudicar throughput.
- Contagem de endpoints desconhecidos: contagem diária de hostnames relacionados a IA que não estão na sua allowlist. Isso deve ir a zero em 60 dias.
Mecanismos de aplicação que não farão os devs odiarem você
- Divulgação progressiva: Comece somente com visibilidade. Compartilhe dashboards semanais com o time. Desenvolvedores se autocorrigem quando veem desperdício.
- Orçamentos suaves primeiro: Alertas em 80% das cotas do time via Slack/Teams com links para boas práticas. Bloqueios duros apenas após um período de transição.
- Alternativas, não indisponibilidade: Ao bloquear uma requisição acima do orçamento, tente automaticamente com um modelo interno ou mais barato que possa atendê-la. Retorne os resultados com uma nota sobre a substituição.
- Configs homologadas e documentadas: Forneça trechos JSON para reduzir preâmbulos de assistentes e desabilitar telemetria verbosa em cada IDE. Torne o caminho certo o caminho fácil.
As conversas com fornecedores mudam quando você tem dados de tráfego
Mostrar a um fornecedor um gráfico do preâmbulo do assistente dele inflando de 1,8 mil para 12,4 mil tokens após uma atualização menor é mais persuasivo do que qualquer thread de e-mail. Você pode pedir:
- Um interruptor rígido para desabilitar prompts de sistema estendidos e catálogos de ferramentas.
- Créditos de cobrança por inflação de prompt oculta após certa data.
- Garantias de roteamento regional e logs provando conformidade.
- Exportações de uso com granularidade de tokens que batam com os números do seu gateway dentro de uma pequena margem de erro.
Onde o nearshore entra: construa uma vez, opere bem
Esse gateway não é um moonshot. Um pod sênior de plataforma consegue entregar uma versão confiável em 6–8 semanas. Já vimos equipes nearshore brasileiras implementarem esse padrão com 20–30% de vantagem de custo vs. staff aug nos EUA, com 6–8 horas de sobreposição de fuso para rollouts seguros. O que importa não é o código; é o pensamento de produto: trate seu data plane de IA como um produto, com SLOs, orçamentos e documentação clara.
Antipadrões para evitar
- Interceptação total de TLS em produção: Não faça isso. Você herda responsabilidade e quebra garantias de compliance dos fornecedores. Roteamento por host e um endpoint compatível no gateway dão o controle de que você precisa.
- Logging “só mais um header”: Não espalhe logging por cinco serviços. Centralize no gateway e padronize o esquema.
- Bloquear primeiro, perguntar depois: Se você bater a porta sem alternativas homologadas, os desenvolvedores encontrarão túneis. Faça parceria com eles.
- Assumir que dashboards de fornecedores são a verdade absoluta: Eles não são projetados para seus centros de custo ou postura de privacidade. Confie e depois verifique — no seu gateway.
Um calculador rápido que você pode rodar hoje
Antes de construir qualquer coisa, estime seu desperdício:
- Escolha um assistente representativo.
- Meça ou estime seu preâmbulo (por exemplo, 10 mil tokens).
- Multiplique por chamadas por engenheiro por dia (digamos, 120), pelo número de engenheiros usando (digamos, 40).
- Isso dá 48 milhões de tokens/dia. A US$ 5/M tokens, são US$ 240/dia, ~US$ 7,2 mil/mês, só de preâmbulo.
Mesmo que seus números sejam metade disso, controlar se paga rapidamente — e ainda reduz sua superfície de violação de dados.
O estado final: entediante, previsível e mais barato
Quando isso funciona, ninguém fala sobre o assunto no standup. Desenvolvedores apontam suas ferramentas para um único base URL. Finanças recebe um consolidado diário por time e projeto. Segurança sabe que nenhum dado pessoal cruza regiões. Você vê um relatório semanal de preâmbulo, um orçamento de retries e uma comparação de fornecedores. Se uma atualização de assistente infla silenciosamente prompts de sistema, o gateway bloqueia com um erro claro e roteia para um modelo mais sensato. Você itera, não apaga incêndio.
Principais aprendizados
- Ferramentas populares de dev em IA adicionam preâmbulos ocultos de prompt e telemetria que custam dinheiro de verdade e criam risco de compliance.
- Regras de firewall não bastam. Force todo o tráfego de IA por um gateway de LLM compatível com protocolos e sob seu controle.
- Meça e limite preâmbulos como SLOs; detecte regressões com testes semanais de “empty prompt”.
- Higienize headers, fixe regiões e mantenha conteúdo fora dos logs por padrão; use TTLs curtos quando precisar reter.
- Faça o rollout em 90 dias: inventário, implante o gateway, aplique e otimize sem matar a velocidade dos desenvolvedores.
- Espere 10–25 ms extras de latência; pague isso de bom grado por controle de custos, segurança e alavancagem em negociações com fornecedores.