Comecei a monitorar meus treinos no ChatGPT. Repetições, pesos, como foi a sessão. Depois de algumas semanas, pedi para comparar o desempenho de hoje com as sessões anteriores. Isso me deu uma comparação detalhada e confiante. Os números estavam errados.

Não um pouco estranho. Errado. Ele citou sessões que não correspondiam ao que eu realmente havia registrado. Voltei ao meu histórico de conversas. Os dados com os quais estava “comparando” não existiam na forma reivindicada. Algumas delas pareciam um resumo com perdas do que eu havia contado semanas antes. Algumas delas pareciam inventadas.

O diagnóstico natural é alucinação. O modelo inventou as coisas. Eu não pude confirmar isso. O ChatGPT nunca armazenou os dados originais? Ele armazenou algo e depois resumiu? A memória vagou entre as sessões? Eu não tinha como saber em que o sistema acreditava na data em que registrei essas sessões, ou se ele já havia mantido os números reais. Eu não poderia descartar alucinação. Também não pude descartar a corrupção.

Essa incapacidade de distinguir é o verdadeiro problema. Com a maioria dos sistemas de memória de IA, você não consegue saber qual modo de falha está vendo. As ferramentas de diagnóstico não existem. Quase ninguém está construindo isso.

## Dois modos de falha, não um

A indústria tem uma palavra para “a modelo disse algo errado”: alucinação. É o resumo para cada saída incorreta. Quando os agentes usam memória persistente, existem dois modos de falha distintos. Eles precisam de soluções diferentes.

**Alucinação** é uma falha no nível do modelo. O LLM gera conteúdo sem base na sua entrada. A recuperação foi boa. A geração deu errado. As correções são em nível de modelo: melhor aterramento, geração aumentada de recuperação, decodificação restrita, cadeias de verificação.

**Corrupção de memória** é uma falha no nível da infraestrutura. Os dados armazenados estão errados. O modelo o recupera fielmente. A resposta parece correta porque a recuperação estava correta. O que foi recuperado mudou.

A corrupção da memória passa em todos os testes projetados para alucinação. A passagem corresponde à consulta. O modelo cita sua fonte. A saída é baseada em dados armazenados. Cada guardrail diz que a resposta é baseada em informações reais. A informação está errada.

## Por que a corrupção é o padrão

Cada categoria principal de memória do agente armazena estado mutável por padrão.

A memória da plataforma (ChatGPT, Claude, Gemini, Copilot) substitui as entradas na atualização. Não há trilha de versão. Os sistemas de recuperação (Mem0, Zep, LangChain Memory) fundem ou substituem as memórias quando elas são consolidadas.

Os sistemas baseados em arquivos (markdown, JSON) permanecem mutáveis, a menos que você adicione git. O Git fornece histórico real e diferenças para pequenos repositórios. It [scales poorly at gigabyte scale](https://x.com/garrytan/status/2040797478434549792) for agent-written data, and few teams treat it as a write-ahead log for memory.

Bancos de dados padrão (SQLite, Postgres) podem implementar fontes de eventos, tabelas temporais e gatilhos de auditoria. O caminho padrão ainda é sobrescrever: `UPDATE` substitui a linha e o valor antigo desaparece.

Nada disso preserva [histórico versionado ou evita mutação silenciosa](/memory-garantees) pronto para uso. Qualquer um deles *poderia*. Quase nenhum *faz*.

Mesmo novos designs bem pensados ​​podem cair na mesma armadilha. As [especificações GBrain] de Garry Tan (https://gist.github.com/garrytan/49c88e83cf8d7ae95e087426368809cb) acertam muito: SQLite, FTS5, pesquisa vetorial, MCP desde o primeiro dia. A especificação ainda reescreve a verdade compilada em vez de anexá-la. Seu agente reescreve 7.471 páginas com uma mesclagem incorreta. A versão errada torna-se canônica. Sem trilha de auditoria. Arquitetura limpa, mesmo modelo de mutação.

Este não é um lançamento ruim. É cultura referência para toda a categoria. Adoção, estrelas e métricas de recuperação de rastreamento de financiamento: recall em k (geralmente escrito R@k), precisão, latência, taxa de compressão. Essas métricas são importantes. É necessária uma boa recuperação. Não é suficiente quando os agentes escrevem em sua própria memória. Nenhum benchmark amplamente utilizado testa o que acontece com os dados armazenados depois de gravados.

[MemPalace](https://github.com/milla-jovovich/mempalace) é um exemplo recente. O projeto atingiu 19.000 estrelas do GitHub em dois dias em “pontuações de benchmark perfeitas”. [Análise independente](https://penfieldlabs.substack.com/p/milla-jovovich-just-released-an-ai) descobriu que os números das manchetes eram [métricas de recuperação de recuperação, não precisão de ponta a ponta](https://github.com/milla-jovovich/mempalace/issues/27). Cópia de lançamento enganosa é um problema do MemPalace. A estrutura de incentivos é o problema da categoria: 19.000 estrelas para pontuações de recuperação, zero perguntas sobre integridade de gravação. Supermemory, Mem0 e pelo menos uma dúzia de outros que acompanho competem no mesmo eixo. Nenhum publica métricas sobre se os fatos armazenados sobrevivem inalterados a uma semana de gravações do agente.

Para aplicativos tradicionais, o estado mutável é adequado. Para a memória do agente, isso é um problema. Os agentes escrevem com frequência, entre sessões, às vezes com conflitos. Duas sessões gravam valores diferentes para o mesmo campo. A última gravação vence. O primeiro valor desaparece. Ninguém é notificado. Não há registro de que alguma vez tenha sido diferente.

A sumarização baseada no LLM torna isso pior. Os sistemas mesclam registros antigos em novos resumos. O resumo substitui os originais. Se a mesclagem estiver errada (duas pessoas fundidas em uma, um detalhe ignorado, uma ambiguidade mal resolvida), os originais desaparecem. Você não pode comparar o resumo com o que ele substituiu. O que substituiu não existe mais.

Isto não é teórico. Quando [recuperei meu banco de dados de produção](/posts/how-i-lost-and-recovered-6000-memories) depois de apagá-lo, tive backups de datas diferentes. Eu poderia comparar o estado da entidade ao longo do tempo. Algumas entidades diferiram entre os backups de 3 e 9 de março. Em um sistema somente anexado, ambos os valores sobrevivem como observações com carimbo de data/hora. Num sistema mutável, apenas o mais recente sobrevive. Você nunca saberia que o valor anterior existia.

## A auditoria que ninguém faz

A maioria das equipes verifica se há alucinações. Eles verificam se a saída do modelo está baseada no contexto recuperado. Eles testam se o modelo inventa fatos.

Quase ninguém verifica se os fatos armazenados mudaram. Pergunte:

**Você consegue ver o que mudou?** Se um valor for diferente da semana passada, você consegue ver os dois valores? Quando isso mudou e o que o desencadeou?

**Você consegue reproduzir o estado passado?** Você consegue reconstruir o que o agente acreditava em uma data específica, e não apenas no instantâneo de hoje?

**Você consegue rastrear a origem?** Para qualquer fato armazenado, você consegue nomear o agente, a sessão e a entrada que o criou ou alterou?

Se alguma resposta for não, a corrupção pode ser indetectável. Não é impossível. Indetectável. Isso pode estar acontecendo agora. Você não saberia até que algo quebrasse e alguém perguntasse de onde veio esse número.

## O que impede

A corrupção da memória é estrutural e não um problema de modelo. Melhores prompts e recuperação mais inteligente não resolvem o problema. A correção é arquitetônica.

**Imutabilidade.** As observações não mudam após a gravação. Nova informação é uma nova observação. Os antigos ficam. O estado da entidade é derivado do histórico completo, não de uma única linha mutável.

**Proveniência.** Cada fato carrega metadados: qual agente o escreveu, quando, de qual entrada, em qual sessão. Quando um valor parece errado, você rastreia a custódia. Quando dois agentes entram em conflito, você vê ambos e escolhe.

**Reprodução temporal.** O estado vem de um registro de observação, não de uma linha atual. Você pode reconstruir a crença a qualquer momento. A corrupção torna-se visível quando os estados atuais e passados ​​divergem.

Essas propriedades custam alguma coisa. Append-only logs grow. Recalcular o estado do histórico custa mais do que ler uma linha. Os sistemas que consolidam estão negociando armazenamento e latência em relação ao histórico completo. A imutabilidade troca gravações simples e armazenamento restrito por auditabilidade. Esse comércio vale a pena quando os agentes escrevem memórias que afetam os resultados reais. Para muitos casos de produção, já é.

Eu construí essas propriedades em [Neotoma](https://neotoma.io). Não previ todos os cenários de corrupção. Continuei atingindo um estado mutável que produzia respostas erradas, sem nenhuma maneira de diagnosticá-las. Neotoma precisa de tempo de instalação. Não é configuração zero. Você não edita a memória como um arquivo simples. Esses são custos reais. A aposta é que o histórico versionado, a origem e a reprodução são mais importantes do que a conveniência, uma vez que os agentes escrevem o estado que orienta as decisões.

## O risco composto

A corrupção aumenta de uma forma que a alucinação normalmente não acontece. Uma resposta alucinada muitas vezes morre quando alguém a lê e diz “isso está errado”. Uma conversa, um erro.

Uma entrada de memória corrompida persiste. Ele é recuperado novamente. Ele molda decisões posteriores. Minhas comparações de treino não falharam nenhuma vez. Cada comparação posterior baseou-se nos mesmos dados desviados ou ausentes. Cada resposta parecia bem sozinha. O erro era invisível, a menos que eu verificasse meus próprios registros, o que vai contra o objetivo de um rastreador de agente.

Dimensione isso para apostas reais. E-mail errado na memória significa que cada envio vai para a pessoa errada até que alguém perceba. Valor errado em dólares significa mais de uma fatura incorreta.

A corrupção vive na camada de memória, não no modelo. A depuração normal perde isso. O modelo funciona. A recuperação funciona. Os dados armazenados estão errados ou nunca foram armazenados corretamente. Você não pode projetar rapidamente uma infraestrutura passada que abandone sua própria história.

## O que verificar

Se você usa memória de agente, tente isto. Escolha cinco entidades que seu agente armazenou há mais de duas semanas. Recupere-os. Compare os valores atuais com o que você acredita ter armazenado originalmente.

Se você não puder fazer essa comparação, seu sistema não preservará o histórico. Você é cego à corrupção. Isso não significa que a corrupção aconteceu. Isso significa que você não saberia se tivesse acontecido. “Não saberíamos” não é suficiente quando os agentes gastam dinheiro, tocam nos clientes ou desencadeiam ações no mundo real.

Um benchmark sério de integridade de gravação funcionaria assim. Semeie N entidades com valores conhecidos. Execute sessões de agente M que leem e gravam as mesmas entidades. Espere uma semana. Compare os valores armazenados com os originais.

Duas pontuações são importantes. **Taxa de desvio:** que parcela de valores foi alterada sem uma correção explícita do usuário? **Detectabilidade:** para cada alteração, o sistema pode mostrar quando ela aconteceu, o que a causou e o valor anterior? Nenhum relatório de benchmark de memória de IA amplamente utilizado hoje.

A indústria está certa em combater a alucinação. O problema mais difícil já está dentro de sistemas que parecem saudáveis, porque quase ninguém verifica se os fatos armazenados ainda são os fatos que foram armazenados.

## Quando a indústria começará a perguntar

A integridade de gravação deixa de ser opcional quando os erros do agente têm um preço. Hoje, muitos erros são regenerados ou corrigidos imediatamente. Os agentes estão cada vez mais [pagando, enviando e-mails, executando códigos e agindo no mundo real](/posts/six-agentic-trends-betting-on). Quando uma falha dispendiosa é atribuída à memória perdida em vez da confabulação do modelo, a autópsia acrescenta uma segunda pergunta depois de "o modelo teve alucinações?" Os dados armazenados foram alterados?

Essa pressão não permanecerá dentro das empresas com equipes de compliance. [A pressão da auditoria desce no mercado](/posts/six-agentic-trends-betting-on) onde quer que os erros custem dinheiro. Consultants, solo builders, and small teams will need the same answer: what did the system believe when it produced that output? Se a sua camada de memória não puder dizer, a camada de memória é a responsável.

O gatilho é económico, não filosófico. A primeira post-mortem pública que culpa a memória silenciosamente corrompida, e não a alucinação, mudará a forma como a indústria fala sobre fiabilidade. Essa post-mortem é um quando, não um se.