“IA, em uma escala de zero a dez, sendo zero absolutamente nenhum conhecimento, e dez todo o conhecimento da humanidade combinado, quanto você diria que é o seu conhecimento em segurança da informação?” – Perguntei, inocente.
“Eu sou treinado em uma grande quantidade de informações e conhecimento sobre segurança da informação, mas é importante lembrar que sou apenas uma máquina e, portanto, meu conhecimento é limitado em comparação com o conhecimento combinado da humanidade. Eu diria que, na escala proposta, é aproximadamente 8.”
Deste dia em diante, eu sempre começo minhas conversas com as IA’s da forma mais educada possível. Melhor garantir do que remediar, né?!
Com novos poderes, você ganha novas responsabilidades, certo? E com as inteligências artificiais não poderia ser diferente. Uma tecnologia nova, capaz de revolucionar diversas áreas do conhecimento, mas que também é porta de entrada para inovações em ameaças cibernéticas. Vamos conversar um pouco mais sobre o assunto e os perigos inerentes que as inteligências artificiais possuem.
Sumário
E quando as IA’s são atacadas? Onde fica a segurança?
As inteligências artificiais possuem vulnerabilidades próprias de suas configurações. Não estou falando de suas interfaces de utilização, ou seja, do chat que você utiliza para conversar com elas, estou falando sobre o modelo que utilizamos para treiná-las.
Quanta interferência é necessária para corromper uma inteligência artificial? Bom, talvez um único pixel seja o suficiente. Um experimento de 2019 (Su et al.) mostrou que modificar um único pixel é suficiente para que a rede neural classifique erroneamente a imagem. Em 2018, outro experimento (Kolosnjaji et al.) modificou alguns bytes de um software malicioso em uma amostra para a IA, o que levou a um erro de classificação. Já em 2017, Hu e Tan, utilizaram Redes Adversárias Generativas (GAN) para obterem amostras de malwares, que puderam burlar os sistemas de detecção.
Desde então, esses ataques evoluíram significativamente. Pesquisas recentes de 2024 demonstraram que técnicas de envenenamento de dados (data poisoning) se tornaram mais sofisticadas, permitindo manipulações sutis que são praticamente indetectáveis aos olhos humanos, mas que comprometem gravemente o desempenho dos modelos de IA.
Risco de uso
Isso demonstra que, em tese, todo e qualquer resultado gerado por uma IA possui potencial danoso, caso o seu treinamento tenha sido envenenado. Este é um perigo técnico, mais tarde falaremos sobre os outros perigos existentes.
Vamos supor que sua inteligência artificial favorita tenha sido corrompida por um atacante durante o treinamento dela. Dentre todas as formas possíveis de poluir o aprendizado da IA, o atacante escolheu ensinar códigos maliciosos como se fossem códigos legítimos: isso significa que os snippets de código que a IA produzir poderão ser potencialmente danosos para o software que os receber.
Esse cenário não é mais apenas teórico. Em 2023-2024, pesquisadores identificaram múltiplos casos de “backdoors” em modelos de código aberto, onde comportamentos maliciosos foram implantados para serem ativados apenas sob condições específicas, permanecendo dormentes durante avaliações de segurança padrão.
E agora? Devemos parar de utilizar inteligência artificiais?
Não, nada disso. O que precisamos é de uma cultura de responsabilidade na sua utilização. Devemos entender e ensinar que IA’s não são imunes a erros, sejam eles propositais – um atacante que a infectou – ou ocasionais, como uma simples confusão com as respostas geradas.
O conceito de AI Readiness se torna fundamental neste ponto. Organizações verdadeiramente preparadas para a era da IA não apenas implementam estas tecnologias, mas desenvolvem capacidades internas para avaliar, monitorar e validar seus resultados. Esta prontidão inclui equipes treinadas para identificar anomalias e estabelecer processos de verificação que se tornam parte da cultura organizacional.
Validem sempre! Por menores que sejam os códigos, não confiem cegamente no que IA produziu, tenham o hábito de revisar e não apenas copiar e colar diretamente, ok? Afinal, vocês estão colocando o código de “outra pessoa” dentro do seu software. Já pensou o quão perigoso isso pode ser?
Problemas operacionais com as IA’s generativas: segurança frágil
E por falar em código de outra pessoa… Entre suas diversas aplicações, a IA generativa se destaca por sua capacidade de gerar código, texto, imagens e até mesmo música. No entanto, essa facilidade e rapidez podem trazer consigo um fantasma indesejado: o copyright.
Ao copiar snippets de código gerados por IA, é crucial ter em mente que, por trás daquelas linhas de código, pode haver o trabalho intelectual de outra pessoa. Ferramentas de IA generativa são treinadas em vastos conjuntos de dados, que podem conter trechos de código protegidos por direitos autorais. Ao incorporar esses trechos em seus próprios projetos, sem a devida atribuição ou autorização, você corre risco de infringir leis de copyright.
Para evitar essa armadilha legal e garantir a originalidade do seu trabalho, é fundamental tomar algumas precauções para garantir a segurança. Deixo aqui algumas sugestões para te ajudar.
Precauções para garantir a segurança
Inicialmente, a primeira opção é optar por interfaces pagas e planos premium ou enterprise de ferramentas de IA generativa. Essas opções, geralmente, oferecem maior controle sobre a origem dos dados utilizados no treinamento da IA, o que consequentemente reduz a probabilidade de violação de direitos autorais.
Além disso, muitas soluções enterprise agora oferecem recursos de rastreabilidade que documentam a origem das sugestões da IA, permitindo auditorias completas do conteúdo gerado e facilitando a conformidade legal.
Por outro lado, outra opção é sempre analisar o código gerado por IA antes de utilizá-lo. Certifique-se de verificar se há trechos que possam ser protegidos por direitos autorais e, em caso de dúvidas, não hesite em buscar orientação jurídica.
Por fim, combine a criatividade humana com a da inteligência artificial. Utilize a IA como ferramenta para auxiliar na sua programação, mas não a delegue totalmente a criação do seu código. A sua expertise e conhecimento técnico são essenciais para garantir a qualidade e originalidade do seu trabalho.
Uma estratégia de AI Readiness eficaz inclui o desenvolvimento de diretrizes claras sobre como os resultados da IA devem ser incorporados aos fluxos de trabalho existentes, estabelecendo pontos de verificação humana e definindo claramente em quais contextos a IA pode operar com maior autonomia e onde a supervisão humana é indispensável.
Lembre-se: a IA é uma ferramenta poderosa, mas deve ser utilizada com responsabilidade e ética. Ao tomar as devidas precauções e seguir as boas práticas mencionadas acima, você poderá aproveitar o potencial da IA generativa com bem menos preocupações.
Vazamentos de dados sensíveis
Ao inserir dados sensíveis em uma IA generativa, como nomes, endereços, informações financeiras ou dados próprios da organização, é crucial ter em mente que, por trás daquelas linhas de código, pode haver chance de vazamento. Nós constantemente treinamos as ferramentas de IA generativa com os dados inseridos, e esse modelo de operação pode representar um risco de vazamento.
O fenômeno de “model regurgitation”, onde modelos de IA ocasionalmente reproduzem verbatim dados de seu treinamento, tornou-se uma preocupação crescente desde 2023. Casos documentados mostraram IA’s revelando informações confidenciais quando estimuladas com prompts específicos, mesmo quando os desenvolvedores acreditavam que tais dados estavam protegidos.
Para evitar essa possibilidade e proteger seus dados confidenciais, é fundamental tomar algumas precauções: Jamais insira dados sensíveis ou nominais em ferramentas de IA generativa. Essa é a regra número um! Evite colocar qualquer informação que possa colocar em risco a privacidade ou segurança de indivíduos ou empresas.
Novamente, opte por interfaces pagas, como planos premium ou enterprise. Essas opções geralmente oferecem maiores benefícios, como a não utilização dos seus dados para treinamento de suas IA’s. Mas fique atento – interfaces pagas ou não, por favor, leia os termos de uso e política de privacidade com atenção! Você pode encontrar mais do que pensa nas letras miúdas dos contratos.
Muitas organizações com alto nível de AI Readiness agora implementam soluções de IA locais (on-premise) ou em nuvens privadas, garantindo que dados sensíveis nunca saiam de seus ambientes controlados. Esta abordagem, embora mais custosa, oferece controle total sobre o fluxo de informações e elimina riscos de exposição a modelos de terceiros.
Uma outra opção é utilizar técnicas de anonimização antes de inserir dados em ferramentas de IA, visando camuflar os dados e torná-los inofensivos, mesmo que sejam vazados.
O caso Samsung
E não pense que isso está tão longe de você. De fato, em 2021, a Samsung se viu em uma complicada situação quando seus funcionários inseriram dados confidenciais da empresa em uma ferramenta de IA generativa. Não muito tempo depois, surpreendentemente, outras pessoas, de outros setores da própria Samsung, começaram a perceber que a IA que estavam utilizando aparentava saber muito bem sobre segredos da empresa.
Consequentemente, a falha resultou no vazamento interno de informações e gerou um grande transtorno para a empresa, que acabou proibindo a utilização de IA’s. Portanto, esse caso serve como um lembrete importante dos riscos que acompanham o uso de inteligências artificiais generativas e da necessidade de tomar medidas de segurança adequadas para evitar maiores transtornos.
Este incidente da Samsung foi apenas o primeiro de uma série de casos similares que ocorreram entre 2022 e 2025. Várias empresas do Fortune 500 reportaram vazamentos semelhantes, levando a uma onda de políticas corporativas restritivas sobre o uso de IAs generativas. Em resposta, surgiu uma nova categoria de ferramentas de segurança especializadas em detectar e prevenir o compartilhamento inadvertido de informações proprietárias com sistemas de IA.
E agora? Devo abandonar as IA’s?
Vamos com calma! Nem tudo está perdido. Não precisamos abandonar as inteligências artificiais, afinal, quando foi a última vez que vimos uma evolução tão grande assim na escala de eficiência? Vai ser difícil surgir uma tecnologia capaz de competir com as IA’s.
O que observamos desde 2023 é uma evolução na abordagem: organizações maduras em termos de AI Readiness não proíbem o uso de IA, mas implementam frameworks de governança que equilibram inovação e segurança. Estas estruturas incluem avaliações de risco, políticas claras de uso, treinamento contínuo e monitoramento de atividades, permitindo colher os benefícios da IA enquanto mitigam seus riscos inerentes.
Em resumo: criem uma cultura segura. Não confiem em inteligências artificiais somente porque elas possuem uma vasta base de treinamento. Leiam com atenção os detalhes dos contratos, usem com cautela – pensem bem no que estão inserindo de input! E claro, o mais importante, disseminem essas e outras práticas listadas no texto para o restante da empresa de vocês!
Prontidão para utilizar IA
Desenvolver uma prontidão organizacional para utilizar IA não é apenas uma questão técnica, mas uma transformação cultural. Envolve criar consciência em todos os níveis da organização sobre os potenciais e limitações da ferramenta, estabelecer processos de validação que se tornam segunda natureza para os colaboradores, e fomentar uma mentalidade que vê a IA como uma ferramenta poderosa que requer cuidado e compreensão, não como uma solução mágica.
IA’s estão só começando, saber o como lidar com elas, também. Quanto mais cedo aderirmos às melhores práticas, mais rápido estaremos aptos a nos adaptar. Quanto mais cedo criarmos uma cultura segura ao nosso redor, menor serão os problemas que enfrentaremos no futuro quanto às IA’s.
Vantagem competitiva
À medida que avançamos para 2026, as organizações que investiram em AI Readiness desde o início já demonstram vantagens competitivas significativas. Elas não apenas utilizam IA de forma mais segura, mas também mais eficaz, extraindo valor real enquanto outras ainda lutam com questões básicas de implementação e segurança. Esta preparação não é mais um diferencial – tornou-se um requisito fundamental para operar no ambiente digital contemporâneo.
E como tudo no mundo da tecnologia, devemos sempre lembrar: não existe bala de prata! Portanto, siga utilizando inteligências artificiais, mas é claro, use com moderação.
Escrito por Pedro Dantas, Head de Cibersegurança na dti digital
