Segurança e supervisãoAtualizado 2026-06-21 · Versão 1.0

Portão de Aprovação Humana (Human Approval Gate)

Um portão de aprovação humana pausa um fluxo automatizado num ponto de controle definido para que uma pessoa revise, edite ou rejeite uma ação proposta antes de executar, sobretudo em operações de alto impacto, irreversíveis ou reguladas. É a forma operacional da supervisão humana no laço.

Evidência: Observação do setorConfiança: AltaFonte: Observação do setorFonte: Paper
Legível por máquina: JSON

Definição

Um portão de aprovação humana é um ponto de controle inserido antes de uma ação automatizada de alto impacto, onde uma pessoa revisa e aprova, edita ou rejeita a ação proposta antes que ela seja executada.

Problema

Deixar um sistema de IA executar ações de alto impacto de forma autônoma arrisca erros custosos, irreversíveis ou não conformes sem possibilidade de julgamento humano.

Quando usar

Use um portão de aprovação para ações cujo custo de erro supera a latência da revisão: pagamentos, exclusões, comunicações externas, mudanças em produção ou qualquer coisa regulada.

Solução

Insira um ponto de controle antes da ação sensível: o sistema prepara a ação proposta com contexto suficiente, depois se suspende e a roteia a um humano que aprova, edita ou rejeita. Com a aprovação, prossegue; em um timeout, recorre a um fallback seguro. Cada decisão é registrada para auditoria.

Coloque portões só nos passos de alto impacto, não em tudo: o excesso de portões destrói o valor da automação e causa fadiga de aprovação. Escolha os pontos de controle por risco.

Componentes

Ponto de controle baseado em riscoPré-visualização da ação propostaAprovar / editar / rejeitarTimeout e fallback seguroRegistro de auditoria

Benefícios

  • Previne erros custosos ou irreversíveis.
  • Mantém a responsabilidade com um humano.
  • Satisfaz requisitos de conformidade e supervisão.
  • Gera confiança, habilitando uma autonomia gradual.

Riscos

  • Adiciona latência e limita a vazão.
  • Aprovação automática se os revisores carecem de contexto ou tempo.
  • Fadiga de aprovação por portões demais.
  • Gargalos se os revisores não estiverem disponíveis.

Quando não usar

  • Para ações de baixo impacto e facilmente reversíveis.
  • Quando a vazão deve ser alta e o risco é baixo.
  • Quando um guard-rail determinístico pode autoaprovar com segurança.

Tecnologias

LangGraph (interrupts)Workflow / approval systemsAudit logging

Exemplos

  • Um agente que redige um reembolso que um humano aprova antes de ser emitido.
  • Uma mudança em produção que pausa para uma assinatura antes de implantar.
  • Um e-mail de saída em fila para revisão antes de enviar.

Evidência de produção

Contexto
Fluxos empresariais onde um agente pode desencadear ações irreversíveis ou reguladas: reembolsos, mudanças de conta, comunicações externas, implantações em produção.
Cenário
O agente prepara a ação com todo o contexto e pausa; um revisor a aprova, edita ou rejeita; com a aprovação ela executa, em um timeout recorre a um fallback seguro. Cada decisão é registrada.
Tecnologia
Um motor de fluxos com interrupções (ex.: LangGraph), uma fila/UI de aprovação e um registro de auditoria.
Carga
Apenas uma minoria de passos de alto impacto tem portão; a maioria dos passos de baixo impacto roda automaticamente, então o volume para os revisores fica limitado.
Resultados
Padrão observado: erros irreversíveis são detectados antes de executar e a responsabilidade fica com um humano, ao custo de mais latência nos passos com portão. Coloque portões por risco e meça a latência de aprovação e a taxa de aprovação automática no seu próprio fluxo — são observações de referência, não números garantidos.

KPIs

Latência de aprovação
Tempo que uma ação espera no portão; o custo central do padrão e o primeiro a vigiar por gargalos.
Taxa de rejeição / edição
Proporção de propostas que um humano rejeita ou edita; quase zero costuma indicar aprovação automática, muito alta, falta de confiança no agente.
Vazão vs. passos com portão
Tarefas concluídas por hora frente a quantos passos têm portão; o excesso de portões afunda a vazão.
Taxa de timeout / fallback
Com que frequência as ações atingem o timeout e tomam o fallback seguro; se sobe, os revisores estão sobrecarregados.

Modos de falha observados

  • Aprovação automática: os revisores aprovam sem escrutínio real quando faltam contexto ou tempo, anulando o portão.
  • Fadiga de aprovação e gargalos por colocar portões em passos de baixo impacto.
  • Autoexecução silenciosa no timeout quando não se define um fallback seguro.
  • Contexto insuficiente na proposta, de modo que o humano não consegue decidir com critério.

Lições aprendidas

  • Coloque portões por risco, não por padrão: automatize o de baixo impacto e reserve os portões para ações irreversíveis ou reguladas.
  • Dê aos revisores contexto suficiente e uma escolha clara aprovar/editar/rejeitar para evitar a aprovação automática.
  • Defina sempre um fallback seguro no timeout; nunca execute em silêncio uma ação com portão.
  • Registre cada decisão para auditoria: o portão é também sua evidência de conformidade.

FAQs

Como difere do human-in-the-loop?
É a implementação concreta do princípio human-in-the-loop: um ponto de aprovação específico num fluxo antes de uma ação sensível.
As aprovações não atrasam tudo?
Só se você colocar portões demais. Aplique portões por risco: automatize os passos de baixo impacto e reserve a aprovação para ações de alto impacto, irreversíveis ou reguladas.
O que acontece num timeout?
Defina um fallback seguro: reter a ação, escalar ou cancelar. Nunca autoexecute em silêncio uma ação com portão só porque ninguém respondeu.

Referências