A rápida adoção da inteligência artificial (IA) pelas empresas está ampliando ganhos de produtividade, mas também criando uma nova superfície de ataque para criminosos cibernéticos. O alerta é de Luiz Lopes, fundador e CEO da LC SEC, em entrevista ao IPNews Cast. Segundo o executivo, a maioria das organizações ainda não estruturou processos de governança capazes de acompanhar a velocidade da implementação da IA, o que aumenta significativamente os riscos de vazamento de dados, comprometimento de contas e exploração de vulnerabilidades.
CONTEÚDO RELACIONADO – IA amplia superfície de ataque e leva empresas a rever estratégias de cibersegurança
Para Lopes, a IA representa um cenário de “duas vias”. Ao mesmo tempo em que automatiza processos e melhora a experiência dos clientes, também exige que empresas concedam novos privilégios de acesso aos sistemas corporativos.
“Quando você automatiza um processo com IA, ela passa a ter acesso a bancos de dados, aplicações e outras informações sensíveis. Se esses privilégios forem concedidos sem critérios, abre-se um novo vetor de exposição para a empresa”, afirma.
O executivo cita como exemplo um incidente envolvendo sistemas automatizados da Meta, em que uma falha no processo de redefinição de senhas permitiu a invasão de milhares de contas. Segundo ele, ataques desse tipo mostram que criminosos já passaram a explorar diretamente agentes de IA, em vez de depender exclusivamente de campanhas tradicionais de phishing.
Governança antes da economia de custos
Na avaliação do CEO da LC/SEC, muitas empresas estão priorizando a redução de custos e a automação sem estabelecer políticas de segurança para o uso da IA.
“As empresas querem substituir atividades repetitivas por chatbots e agentes inteligentes porque isso reduz despesas no curto prazo. O problema é fazer isso sem uma governança adequada”, observa.
Ele explica que governança de IA envolve definir quem pode utilizar as ferramentas, quais informações podem ser processadas, quais acessos serão concedidos aos agentes inteligentes e quais mecanismos de monitoramento serão utilizados para acompanhar seu funcionamento.
Segundo Lopes, organizações classificadas como “AI First” já começam a perceber que colocar soluções em produção sem controles pode gerar problemas relevantes no médio e longo prazo.
Segurança deve nascer junto com a aplicação
Durante a entrevista, Luiz Lopes também defende que o conceito de security by design precisa ser aplicado desde a concepção de qualquer sistema que utilize inteligência artificial.
“O erro é querer colocar IA em uma estrutura que ainda não fez o básico em segurança. Antes de pensar na Ferrari, é preciso construir uma base sólida”, compara.
Na prática, isso significa incorporar autenticação forte, controle de privilégios, testes de invasão (pentests), gestão de vulnerabilidades e processos contínuos de monitoramento antes da implantação de soluções baseadas em IA.
Corrigir vulnerabilidades rapidamente é essencial
Outro ponto destacado pelo executivo é a necessidade de reduzir o tempo entre a identificação e a correção de vulnerabilidades.
Segundo ele, empresas precisam estabelecer políticas formais de gestão de vulnerabilidades, definindo níveis de criticidade e acordos de nível de serviço (SLAs) para cada tipo de falha.
“Não basta ter a política escrita. É preciso acompanhar se ela está sendo cumprida. Segurança depende de processo, monitoramento e envolvimento das áreas de tecnologia, infraestrutura e negócios”, explica.
IA exige novos controles
Entre os principais riscos atuais está o chamado prompt injection, técnica na qual atacantes manipulam comandos enviados aos modelos de IA para obter informações indevidas ou alterar seu comportamento.
Para reduzir esse tipo de ameaça, Lopes recomenda limitar o contexto em que a IA opera, restringir seus acessos e estabelecer regras específicas para impedir que usuários forneçam dados sensíveis, como senhas, informações confidenciais ou credenciais corporativas.
Ele também destaca que empresas devem controlar o consumo das plataformas de IA, estabelecendo limites de uso e orçamento para evitar custos inesperados.
Ainda há tempo para implementar governança
Embora muitas organizações já tenham colocado soluções de IA em produção, Luiz Lopes acredita que ainda é possível estruturar uma governança eficiente.
“Antes tarde do que nunca. O importante é começar agora, estabelecer políticas, criar processos de monitoramento contínuo e revisar esses controles constantemente, porque as vulnerabilidades evoluem muito rápido.”
Na visão do executivo, o profissional mais preparado para liderar esse processo hoje ainda é o especialista em segurança da informação, já acostumado a trabalhar com princípios como menor privilégio, confidencialidade, integridade e disponibilidade dos dados.
IA no WhatsApp também exige cautela
Ao comentar a integração da IA generativa ao WhatsApp, Luiz Lopes afirma que usuários e empresas precisam compreender que as interações com a inteligência artificial não possuem o mesmo modelo de proteção das mensagens criptografadas de ponta a ponta.
“O processamento da IA acontece na infraestrutura da plataforma. Por isso, é importante ter cuidado com as informações enviadas e evitar compartilhar dados sensíveis nas conversas com esses assistentes”, alerta.
Para o especialista, a expansão da inteligência artificial é irreversível, mas seu sucesso dependerá da capacidade das organizações de incorporar segurança e governança desde o início da jornada, e não apenas depois que os incidentes acontecerem.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn, X e WhatsApp
