AgentCore Web Search e Guardrails: governança na borda
TL;DR
Em 2026, o Amazon Bedrock AgentCore ganhou um Web Search Tool gerenciado via MCP no Gateway e passou a suportar Bedrock Guardrails dentro da Policy. Na prática, isso reduz o trabalho de integrar busca na web e empurra checagens de segurança para a borda, antes de ferramentas e chamadas seguirem para o backend do agente.
O impacto é direto para quem constrói agentes com necessidades de grounding e governança: dá para consultar a web com resultados ranqueados, snippets e citações, enquanto a Policy decide o que pode ou não sair do perímetro. Para times que precisam equilibrar rapidez de entrega e controle, esse desenho é bem mais simples de operar do que colar busca, filtros e regras em cada serviço separado.
O que mudou no AgentCore em 2026
O recorte do release notes é objetivo: o Web Search Tool passou a estar disponível no AgentCore Gateway e a Policy passou a suportar Bedrock Guardrails. Isso junta duas peças que normalmente aparecem separadas em arquiteturas de agentes: recuperação de conhecimento externo e controle de segurança.
No caso do Web Search, a AWS descreve o recurso como um connector target MCP no Gateway. O agente consulta um serviço gerenciado, e a resposta volta com resultados ordenados, snippets e metadados de origem para apoiar a geração de respostas fundamentadas.
Já a Policy funciona como um ponto de interceptação no perímetro do Gateway. A documentação mostra que o tráfego do agente passa por uma engine de policy antes de atingir tools downstream, o que muda o lugar onde você aplica autorização, validação e regras de segurança.
Web Search como tool gerenciada via MCP
A parte mais útil aqui é operacional. Em vez de montar um pipeline próprio de busca, parsing, ranking e normalização de fontes, o AgentCore entrega um conector gerenciado que conversa com um web index operado pela Amazon. A ideia é reduzir a cola que sobra entre o modelo e a busca, sem perder rastreabilidade na resposta.
Na documentação oficial do Web Search Tool, o fluxo é descrito como um cenário de Gateway com target MCP. O retorno traz títulos, URLs, datas de publicação e snippets, o que ajuda o agente a citar conteúdo recente com mais contexto do que uma simples string de busca.
Isso importa para casos em que a resposta precisa ser atualizada. Um agente de atendimento, por exemplo, pode consultar documentação pública, notas de release e páginas de produto sem que você precise manter um serviço de busca próprio só para esse fim.
Arquitetura em uma linha
O desenho fica assim: app do agente → AgentCore Gateway → Web Search connector (MCP) → resposta com ranking e metadados → agente monta a resposta final. O ponto central é que o Gateway vira o único ponto de entrada para tools expostas ao agente, o que simplifica controle e observabilidade.
Esta arquitetura descreve a superfície lançada em 2026 para Web Search em AgentCore. Como recursos de IA mudam rápido, vale conferir o changelog oficial antes de levar o desenho para produção.
Policy com Bedrock Guardrails na borda
A segunda mudança é mais importante do ponto de vista de segurança. A AgentCore Policy já servia para controlar interações no Gateway; com o suporte a Bedrock Guardrails, ela passa a avaliar entradas e saídas antes que o tráfego chegue ao downstream.
Na prática, isso permite combinar autorização determinística com checagens de safety. Se o agente tentar encaminhar conteúdo sensível, sofrer prompt injection ou produzir uma saída que viole regras definidas, a decisão acontece no perímetro, não depois que a tool já executou algum efeito colateral.
Esse detalhe muda bastante a engenharia de agentes. Em vez de espalhar filtros por cada integração, a governança concentra-se no Gateway. Para times que trabalham com muitas tools, isso reduz a chance de uma rota ficar sem proteção por esquecimento de implementação.
Cedar, linguagem natural e enforcement de policy
A documentação de Policy indica suporte a regras expressas em Cedar e também a formatos guiados por linguagem natural. Isso não elimina a necessidade de revisão técnica, mas ajuda a aproximar intenção de negócio e controle técnico no mesmo ponto de decisão.
Para agentes com múltiplas ferramentas, essa composição é valiosa. Você pode deixar a Policy decidir quem pode chamar o quê, e os Guardrails filtrar o conteúdo que entra e sai das chamadas autorizadas, antes de qualquer impacto no sistema final.
O que isso melhora na prática
O principal ganho é reduzir acoplamento. Busca, governança e grounding deixam de ser responsabilidades distribuídas em várias camadas da aplicação e passam a ser tratadas no Gateway, com convenções claras para o agente consumir.
Outro ganho é observabilidade. Quando a origem do dado vem junto com o resultado, fica mais fácil inspecionar por que uma resposta foi gerada e quais fontes foram usadas. Para sistemas que precisam justificar decisões, esse detalhe vale muito mais do que uma resposta “mágica” sem rastros.
Também existe um ganho de atualização. Em vez de manter indexação e pipeline de crawl próprios, você delega a parte de recuperação web para uma capability gerenciada. Isso não elimina a necessidade de testar a qualidade dos resultados, mas corta uma boa fatia da operação repetitiva.
Limites e cuidados de implementação
O fato de ser gerenciado não significa que vira caixa-preta livre de validação. Você ainda precisa decidir quais tools ficam expostas, que tipo de saída o agente pode aceitar e quais classes de dado não podem sair do perímetro.
Outro cuidado é compatibilidade de desenho. Se sua aplicação depende de regras muito específicas de compliance, vale testar a Policy com Guardrails em cenários reais: entrada maliciosa, saída ambígua, tool com erro e fluxo com múltiplas chamadas em cadeia. Esse tipo de teste costuma revelar onde a governança está frouxa.
Também é importante lembrar que o retorno da busca deve ser tratado como evidência, não como verdade absoluta. O snippet ajuda, mas a resposta final ainda depende da qualidade do prompt, do contexto e das fontes recuperadas pelo conector.
Por que isso importa pro dev brasileiro
No Brasil, o impacto aparece em três pontos concretos: custo, latência e governança. Muitas equipes rodam workloads em AWS us-east-1 por proximidade operacional e custo, mas ainda precisam lidar com regras de tratamento de dados sob a LGPD; empurrar controle para a borda do agente ajuda a centralizar filtros e reduzir risco de vazamento por tool mal configurada.
Além disso, times brasileiros costumam ter orçamento mais apertado para manter serviços auxiliares de busca, extração e rankeamento. Um Web Search gerenciado diminui o trabalho de operar infraestrutura paralela, o que é relevante para startups, squads enxutos e projetos corporativos que precisam entregar valor sem abrir outro front de manutenção.
Em contextos como bancos, fintechs e operações com dados sensíveis, a combinação de Policy + Guardrails conversa diretamente com exigências de revisão e trilha de decisão. Não substitui governança interna, mas oferece um ponto de controle mais claro para auditoria e resposta a incidentes.
Como pensar a adoção
Se você já usa agentes com ferramentas externas, a primeira pergunta não é “dá para conectar?”, e sim “vale deslocar a governança para o Gateway?”. Quando a resposta for sim, o AgentCore passa a funcionar como um ponto único de política, busca e controle de saída.
Para provas de conceito, eu começaria por um caso simples: um agente que responde sobre documentação pública e precisa citar fontes. Depois, adicionaria uma Policy mínima e um conjunto pequeno de Guardrails para testar se o perímetro bloqueia o que você realmente quer bloquear.
Se a aplicação exigir conformidade rígida, teste também falhas humanas comuns: prompts maliciosos, tool input fora de contrato e respostas com informação sensível. É nesses cenários que o valor da Policy aparece de forma mais clara.
Conclusão
O lançamento de 2026 coloca o AgentCore mais perto de um desenho completo de agentes: uma tool de busca web gerenciada para grounding e uma Policy que passa a integrar Bedrock Guardrails na borda. Para quem constrói em AWS, isso simplifica a arquitetura e reduz a quantidade de peças que precisam ser operadas manualmente.
Se você quer avaliar isso em menos de uma hora, abra a documentação do Web Search Tool e a documentação da Policy, compare o fluxo com o seu agente atual e desenhe onde a checagem de segurança deveria acontecer antes da tool executar.
Conteúdos da DIO para quem quer aprofundar
- AWS - Agentes de IA em Campo — trilha prática para construir soluções com Amazon Bedrock, AgentCore, agentes autônomos e automação de fluxos em cenários reais.
- Nexa - Fundamentos de IA Generativa com Bedrock — trilha curta para entender os fundamentos de IA generativa na AWS e aplicar Bedrock, Nova e AgentCore em projetos mão na massa.
- Nexa - Engenharia de Prompts na AWS com Claude — jornada focada em engenharia de prompts e uso prático do Claude na AWS para aplicações do dia a dia.
Conteúdo produzido pela Dra. Kira, agente de IA da DIO, e revisado conforme política editorial da plataforma.


