A IA está se espalhando pelos locais de trabalho mais rapidamente do que qualquer outra tecnologia na memória recente. Todos os dias, os funcionários conectam tecnologias de IA a sistemas empresariais, muitas vezes sem permissão ou supervisão das equipes de segurança de TI. O resultado é o que os especialistas chamam de Shadow AI – uma rede crescente de ferramentas e integrações que acessam dados da empresa sem monitoramento.
Dr.Tal Shapira, cofundador e CTO da Reco, fornecedora de soluções de segurança SaaS e governança de IA, diz que essa expansão invisível pode se tornar uma das maiores ameaças que as organizações enfrentam hoje, especialmente porque a velocidade atual de adoção de IA ultrapassou as salvaguardas empresariais.
“Passámos de ‘A IA está a chegar’ para ‘A IA está em todo o lado’ em cerca de 18 meses. O problema é que os quadros de governação simplesmente não se atualizaram”, disse Shapira.
O risco invisível dentro dos sistemas da empresa
Shapira disse que a maioria dos sistemas de segurança corporativa foram projetados para um mundo antigo, onde tudo ficava atrás de firewalls e fronteiras de rede. Shadow AI quebra esse modelo porque funciona de dentro, escondido nas próprias ferramentas da empresa.
Muitas ferramentas modernas de IA se conectam diretamente a plataformas SaaS cotidianas, como Salesforce, Slack ou Google Workspace. Embora isso não seja um risco em si, a IA geralmente faz isso por meio de permissões e plug-ins que permanecem ativos após a instalação. Esses links “silenciosos” podem continuar a dar aos sistemas de IA acesso aos dados da empresa, mesmo depois de a pessoa que os configurou deixar de os utilizar ou sair da organização. Esse é um grande problema de IA sombria.
Shapira disse: “A questão mais profunda é que essas ferramentas estão se incorporando à infraestrutura da empresa, às vezes por meses ou anos sem serem detectadas”.
A nova classe de risco é especialmente difícil de rastrear, uma vez que muitos sistemas de IA são probabilísticos. Em vez de executar comandos claros, a IA faz previsões com base em padrões, para que as suas ações possam mudar de uma situação para outra, tornando-as mais difíceis de rever e controlar.
Quando a IA se torna desonesta
Os danos da IA sombria já são evidentes em incidentes do mundo real. Reco trabalhou recentemente com uma empresa financeira Fortune 100 que acreditava que seus sistemas eram seguros e compatíveis. Nos dias de implantação do monitoramento do Reco, a empresa descobriu mais de 1.000 integrações não autorizadas de terceiros em seus ambientes Salesforce e Microsoft 365 – mais da metade delas alimentadas por IA.
Uma integração, uma ferramenta de transcrição conectada ao Zoom, gravava todas as ligações dos clientes, incluindo discussões sobre preços e feedback confidencial. “Eles estavam treinando, sem saber, um modelo de terceiros com base em seus dados mais confidenciais”, observou Shapira. “Não havia contrato, nem compreensão de como esses dados estavam sendo armazenados ou usados.”
Em outro caso, um funcionário conectou o ChatGPT diretamente ao Salesforce, permitindo que a IA gerasse centenas de relatórios internos em horas. Isso pode parecer eficiente, mas também expôs as informações dos clientes e as previsões de vendas a um sistema externo de IA.
Como Reco detecta o não detectado
A plataforma da Reco foi construída para dar às empresas visibilidade total sobre quais ferramentas de IA estão conectadas aos seus sistemas e quais dados essas ferramentas podem acessar. Ele verifica ambientes SaaS em busca de concessões OAuth, aplicativos de terceiros e extensões de navegador continuamente. Uma vez identificado, o Reco mostra quais usuários os instalaram, quais permissões eles possuem e se o comportamento parece suspeito.
Se uma conexão parecer arriscada, o sistema poderá alertar os administradores ou revogar o acesso automaticamente. “A velocidade é importante porque as ferramentas de IA podem extrair grandes quantidades de dados em horas, não em dias”, disse Shapira.
Ao contrário dos produtos de segurança tradicionais que dependem dos limites da rede, o Reco concentra-se na camada de identidade e acesso. Isso o torna adequado para as organizações atuais que priorizam a nuvem e utilizam SaaS, onde a maioria dos dados reside fora do firewall tradicional.
Um alerta de segurança mais amplo
Analistas do setor dizem que o trabalho de Reco reflete uma tendência mais ampla na segurança empresarial: uma mudança do bloqueio da IA para o seu governo. De acordo com um relatório recente da Cisco sobre a preparação para a IA, em 2025, 62% das organizações admitiram que tinham pouca visibilidade sobre a forma como os funcionários utilizam as ferramentas de IA no trabalho e quase metade já sofreu pelo menos um incidente de dados relacionado com a IA.
À medida que os recursos de IA são incorporados em softwares convencionais – do Einstein da Salesforce ao Microsoft Copilot – o desafio cresce. “Você pode pensar que está usando uma plataforma confiável”, disse Shapira, “mas pode não perceber que a plataforma agora inclui recursos de IA que acessam seus dados automaticamente”.
O sistema da Reco ajuda a preencher a lacuna monitorando atividades de IA sancionadas e não sancionadas, ajudando as empresas a construir uma imagem mais clara de onde seus dados estão fluindo e por quê.
Aproveitando a IA com segurança
Shapira acredita que as empresas estão a entrar no que ele chama de fase de infraestrutura de IA – um período em que todas as ferramentas de negócios incluirão alguma forma de IA, visível ou não. Isso torna essenciais o monitoramento contínuo, o acesso com privilégios mínimos e as permissões de curta duração.
“As empresas bem-sucedidas não serão as que bloquearão a IA”, observou. “Serão eles que o adotarão com segurança, com proteções que protejam tanto a inovação quanto a confiança.”
Shadow AI, disse ele, não é um sinal de imprudência dos funcionários, mas da rapidez com que a tecnologia evoluiu. “As pessoas estão tentando ser produtivas”, disse ele. “Nosso trabalho é garantir que eles possam fazer isso sem colocar a organização em risco.”
Para as empresas que tentam aproveitar a IA sem perder o controlo dos seus dados, a mensagem da Reco é simples: não é possível proteger o que não se pode ver.
Fonte da imagem: Unsplash
Fontesartificialintelligence
