Tag: segurança cibernética

  • Cisco Intros DefenseClaw e Ferramentas de Defesa com IA para Proteger Fluxos de Trabalho Agentic

    Cisco Intros DefenseClaw e Ferramentas de Defesa com IA para Proteger Fluxos de Trabalho Agentic

    Cisco impulsiona a segurança de IA com DefenseClaw e novas ferramentas de proteção para fluxos de trabalho agentic

    Na vanguarda da evolução da inteligência artificial, a Cisco anunciou inovações significativas em segurança projetadas para o ecossistema de IA agentic. Em um cenário onde o software transcende a mera resposta a perguntas para se tornar um agente de ação, a empresa apresentou em 2026 novas soluções na RSA Conference para mitigar questões de segurança de IA e superar barreiras à adoção de agentes. O objetivo é construir a segurança na fundação da economia emergente de IA, estabelecendo identidades confiáveis, aplicando rigorosos controles de Acesso Zero Trust, fortalecendo agentes antes da implantação, impondo barreiras em tempo de execução e capacitando equipes de SOC (Security Operations Center) com ferramentas para deter ameaças em velocidade de máquina.

    A urgência dessas inovações é sublinhada por uma pesquisa recente da Cisco: 85% dos principais clientes empresariais relataram experimentar com agentes de IA, mas apenas 5% levaram a tecnologia agentic para a produção. Para desbloquear o vasto potencial dos agentes de IA, a Cisco aborda três pilares essenciais para a segurança da força de trabalho agentic: proteger o mundo dos agentes, garantindo que eles atuem conforme o pretendido; proteger os agentes do mundo, prevenindo manipulação ou corrupção; e detectar e responder a incidentes de IA em velocidade e escala de máquina.

    Segurança e governança para agentes de IA

    Assim como novos funcionários, os agentes de IA necessitam de um processo de integração para estabelecer sua identidade, compreender sua função e serem mapeados a um gerente humano responsável. Contudo, a maioria das empresas hoje desconhece quais agentes estão ativos, muito menos quem é responsável em caso de falhas. Ferramentas SSE existentes não foram projetadas para impor acesso com tempo limitado para identidades de cargas de trabalho agentic nem para compreender o contexto por trás das requisições de agentes.

    O relatório de 2025 Cisco Talos Year in Review destacou que os atacantes visaram predominantemente componentes que autenticam usuários, aplicam decisões de acesso ou negociam confiança entre sistemas. O foco dos adversários na identidade apenas se intensificará com o surgimento de cargas de trabalho agentic. Para enfrentar esses desafios, a Cisco estende o Acesso Zero Trust aos agentes de IA, responsabilizando-os perante um funcionário humano e protegendo suas ações.

    Novas capacidades e ferramentas de proteção

    As novas capacidades do Duo IAM se integram com a aplicação de políticas MCP e o monitoramento ciente de intenções no Cisco Secure Access para impor controle de acesso rigoroso, auxiliando as organizações a obter visibilidade e governança completas sobre sua força de trabalho agentic. Essas funcionalidades incluem:

    • Gerenciamento de Identidade de Agente: Clientes podem registrar agentes no Duo IAM e mapeá-los a proprietários humanos responsáveis, garantindo identidade verificada e rastreabilidade de ações.
    • Visibilidade de Agente e Ferramentas: Cisco Identity Intelligence descobre identidades agentic e não humanas para auxiliar na compreensão do uso atual de IA.
    • Controle de Acesso Rigoroso: Agentes recebem permissões granulares apenas para tarefas específicas ou recursos necessários por um curto período, com todo o tráfego de ferramentas roteado através de um gateway MCP para eliminar pontos cegos.

    Cisco AI Defense: Explorer Edition e LLM Security Leaderboard

    Enquanto empresas aceleram a implantação de agentes de IA em ambientes complexos e distribuídos, a Cisco expande sua oferta de Defesa de IA com novas ferramentas para testar, confiar e proteger agentes de IA e suas interações. Ferramentas de varredura tradicionais não conseguem simular as ameaças do mundo real que os agentes enfrentam, marcadas por conversas mais longas e acesso a ferramentas e recursos.

    Para capacitar mais organizações, a Cisco democratiza as capacidades líderes da indústria de AI Defense com o lançamento do Cisco AI Defense: Explorer Edition. Esta nova solução self-service é construída sobre o mesmo motor de Validação de Defesa de IA confiável por clientes Global 2000. Após o cadastro, usuários podem realizar testes ‘red teaming’ nos modelos e aplicações de IA a serem implantados em fluxos de trabalho agentic para descobrir suscetibilidades a ataques e medir a postura de risco antes da implantação. O toolkit permite que desenvolvedores de IA, equipes de AppSec e pesquisadores de segurança construam e protejam agentes de IA.

    Na sua versão de lançamento, o Cisco AI Defense: Explorer Edition oferece:

    • Dynamic Agent Red Teaming: Realiza testes adversariais multi-turn para modelos e aplicações que impulsionam fluxos de trabalho agentic, com o framework bespoke de red teaming de IA da Cisco.
    • Teste de Segurança de Modelo e Aplicação: Valida a resistência a injeção de prompt, jailbreaks e outras saídas não seguras.
    • Relatórios de Segurança Simplificados: Fornece insights acionáveis de segurança de IA, exportáveis para revisão de conformidade.
    • Acesso API-First: Permite integração CI/CD para GitHub Actions, GitLab, Jenkins e pipelines customizados.
    • Colaboração em Equipe: Convida colegas de equipe e permite upgrade para AI Defense Enterprise para controle de acesso baseado em função (RBAC) avançado.

    Adicionalmente, a Cisco introduz o LLM Security Leaderboard, um recurso abrangente para avaliar o risco de modelos e a suscetibilidade a ataques adversariais. Ao fornecer sinais de avaliação transparentes, este leaderboard contextualiza métricas de performance de modelos contra avaliações de como os modelos lidam com prompts maliciosos, tentativas de jailbreak e outras estratégias de manipulação, informando abordagens de defesa em profundidade para implantações de IA.

    DefenseClaw: Simplificando a segurança para agentes

    Baseando-se no lançamento de seu primeiro modelo de fundação de IA open source, a Cisco introduz o DefenseClaw, um framework de agente seguro projetado para eliminar o atrito entre desenvolvimento e segurança. Integrando um conjunto de ferramentas open source essenciais — incluindo Skills Scanner, MCP Scanner, AI BoM e CodeGuard — o DefenseClaw ajuda a garantir que cada ‘skill’ seja escaneada e isolada, cada servidor MCP verificado, e cada ativo de IA automaticamente inventariado, permitindo que desenvolvedores implantem agentes seguros com maior velocidade e confiança.

    As funcionalidades do DefenseClaw se conectarão diretamente ao OpenShell da NVIDIA, estendendo a colaboração para fornecer segurança robusta e automatizada em nível de runtime. Ao consolidar essas capacidades em um único framework, a Cisco elimina a necessidade de etapas manuais de segurança ou instalações de ferramentas separadas, permitindo que organizações mantenham a integridade zero-trust ao escalar suas forças de trabalho agentic.

    O futuro do SOC com IA

    As tecnologias de IA são uma faca de dois gumes. Vulnerabilidades como a React2Shell, conforme mostrado no último relatório Talos, viram exploração quase instantânea e automatizada, possivelmente impulsionada por IA agentic usada para construir novos kits de exploração. Os mesmos agentes de IA que apresentam novos desafios de segurança podem também ser a ferramenta mais poderosa no arsenal de um defensor.

    Analistas de SOC hoje enfrentam fadiga de alertas e dados fragmentados, gastando mais tempo em pesquisa do que em resposta. O Splunk, parte do portfólio de segurança da Cisco, já embarcou em incorporar capacidades de IA em fluxos de trabalho chave do SOC. Agora, evolui o SOC de reativo para proativo com:

    • Exposure Analytics: Integrado ao Splunk Enterprise Security por padrão, fornece um inventário continuamente atualizado de todos os ativos e usuários, entregando pontuação de risco em tempo real e mapeamento de relacionamento para visibilidade total.
    • Detection Studio: Um espaço de trabalho unificado que simplifica todo o ciclo de vida de engenharia de detecção — planejamento, construção, teste, implantação e monitoramento. Ele mapeia automaticamente a cobertura de detecção contra o framework MITRE ATT&CK para identificar e fechar lacunas com precisão.
    • Federated Search: Uma busca unificada que permite aos analistas de SOC descobrir e correlacionar dados entre múltiplos ambientes, reduzindo custos e acelerando investigações.
    • Expansão do SOC Agentic: Agentes de IA especializados — incluindo o Detection Builder Agent, Standard Operating Procedures (SOP) Agent, Triage Agent, Malware Threat Reversing Agent, Guided Response Agent e Automation Builder Agent — vão além da apresentação de dados para avaliação e execução ativa.

    Ao automatizar fluxos de trabalho de segurança, as tarefas de segurança se transformam de um gargalo para um acelerador, permitindo que o SOC opere em velocidade e escala de máquina.

    Agentes de IA não estão apenas acelerando o trabalho existente; eles são uma nova força de trabalho de colegas que expande dramaticamente o que as organizações podem realizar. Projetos arquivados por falta de recursos agora estão ao alcance. O único limite é a imaginação, e as equipes de segurança são a chave para desbloquear essa oportunidade, tornando a força de trabalho agentic segura o suficiente para confiar.

    — Jeetu Patel, Presidente e Chief Product Officer, Cisco

    As organizações estão ansiosas para abraçar a IA, mas precisam fazê-lo sem criar lacunas de cobertura de segurança. O Zero Trust Access da Cisco para agentes de IA oferece visibilidade sobre identidades agentic e restringe o acesso ao que é exatamente necessário. Estamos entusiasmados em trazer essas capacidades para os clientes para proteger seus dados enquanto escalam suas iniciativas de IA.

    — Jeremy Nelson, CISO North America, Insight

    Neste ambiente dinâmico de tecnologia agentic, o controle de acesso rigoroso para agentes de IA é crítico, mas desafiador de impor consistentemente com ferramentas legadas projetadas para usuários humanos. Isso cria imposição desigual e pontos cegos, levando a lacunas que agentes em um mundo agentic inevitavelmente explorarão. A abordagem de plataforma da Cisco está bem posicionada para abordar esses desafios, modernizando ferramentas para garantir segurança consistente e adaptativa para agentes de IA.

    — Fernando Montenegro, Vice-Presidente & Practice Lead, Cybersecurity & Resilience, Futurum

    A evolução do centro de operações de segurança de reativo para proativo é agora uma necessidade no cenário de ameaças atual. Ao introduzir agentes de IA especializados, a Cisco está capacitando analistas a ir além da triagem manual e priorizar as ameaças mais importantes rapidamente. Esta é exatamente a inovação necessária para ajudar as equipes de segurança a se manterem à frente das cargas de trabalho de SOC em constante aumento e evolução.

    — Ryan Morris, Presidente, Blackwood

  • The Hidden Security Risks of Free AI Tools at Work

    The Hidden Security Risks of Free AI Tools at Work

    Ferramentas de inteligência artificial gratuitas estão se tornando onipresentes no ambiente de trabalho, prometendo eficiência e agilidade. No entanto, o uso indiscriminado desses recursos esconde riscos de segurança significativos. Cada ‘prompt’ inserido por um funcionário pode inadvertently vazar propriedade intelectual, violar regulamentações de conformidade ou treinar modelos públicos de IA com dados proprietários da sua organização.

    Estudos recentes revelam uma realidade preocupante: 71% dos funcionários utilizam IA não aprovada no trabalho, e 57% o fazem ativamente escondidos de seus departamentos de TI. O problema não reside na tecnologia em si, mas na falsa percepção de que essas ferramentas gratuitas são meras versões ‘lite’ de softwares empresariais. Compreender essa distinção é crucial para proteger sua empresa, conforme detalhado por mexc.com.

    O que é shadow ai?

    Shadow AI refere-se ao uso não autorizado de ferramentas de inteligência artificial dentro de uma organização, sem o conhecimento ou aprovação das equipes de TI e segurança. Isso inclui geradores de texto, assistentes de código e geradores de imagem.

    Diferentemente da Shadow IT, que historicamente lidava com o uso de aplicativos SaaS não autorizados para armazenamento, a Shadow AI processa, aprende e gera dados de maneiras imprevisíveis. O risco principal não é apenas a exposição dos dados, mas sua absorção nos ‘pesos’ do modelo de IA. Uma vez que dados proprietários são ingeridos para treinamento, eles se tornam parte da inteligência do modelo, potencialmente recuperáveis por qualquer pessoa, em qualquer lugar. Ao contrário de um arquivo que pode ser excluído do Google Drive, dados ‘desaprendidos’ de um LLM público não são facilmente removíveis.

    O custo real no mundo corporativo

    As consequências do Shadow AI podem ser severas. Em 2023, funcionários da Samsung vazaram acidentalmente código-fonte sensível ao colá-lo no ChatGPT para otimização. Esse código foi parar no ‘pool’ de treinamento da IA.

    Além do roubo de propriedade intelectual, a exposição regulatória é imensa. Processar dados de clientes europeus em uma ferramenta de IA baseada nos EUA sem um acordo de processamento de dados (DPA) pode configurar uma violação do GDPR. Há também o risco de contaminação por ‘alucinação’. Se a IA, sem validação, gerar relatórios financeiros ou entregas para clientes com fatos fabricados, o dano à reputação da empresa é imediato e significativo.

    Por que ferramentas de ia gratuitas são uma ameaça de segurança única

    O botão ‘grátis’ é, para a segurança empresarial, um dos mais perigosos na internet. As ferramentas de consumo não pertencem ao fluxo de trabalho corporativo por várias razões:

    A armadilha dos dados de treinamento

    A maioria das ferramentas de IA gratuitas opera com uma troca simples: você obtém inteligência gratuita, e elas obtêm seus dados. Por padrão, as entradas do usuário são usadas para o treinamento do modelo. Quando um engenheiro insere um trecho de código, ele não está apenas obtendo uma correção de bug; ele está ajudando o modelo a escrever um código melhor para seus concorrentes. Embora algumas ferramentas ofereçam controles de ‘opt-out’, eles geralmente estão ocultos nas configurações.

    Violações de conformidade invisíveis

    Ao usar ferramentas de IA projetadas para consumidores, sua empresa tem visibilidade zero sobre o backend. Onde os dados são processados? São retidos por 30 dias ou indefinidamente? Eles cruzam fronteiras? Para setores como saúde ou finanças, essa falta de trilha de auditoria é uma falha automática de conformidade.

    O paradoxo produtividade-segurança

    Apesar dos riscos, é impossível ignorar o porquê da proliferação dessas ferramentas. Funcionários usam Shadow AI porque funciona. Economiza algumas horas por semana em tarefas rotineiras. De fato, 28% dos funcionários afirmam usar ferramentas não autorizadas simplesmente porque sua empresa não oferece uma alternativa aprovada. Proibir essas ferramentas sem fornecer uma solução não elimina o risco; apenas o esconde.

    Como detectar shadow ai

    Não se pode gerenciar o que não se vê. A detecção exige uma combinação de vigilância técnica e abertura cultural.

    Métodos de detecção técnica

    • O monitoramento de DNS pode sinalizar o tráfego para domínios de IA conhecidos, como OpenAI, Anthropic ou Midjourney.
    • Ferramentas CASB e SSE podem identificar extensões de navegador não autorizadas que podem estar coletando dados da tela para alimentar uma IA.
    • Atualizar as regras de DLP (Data Loss Prevention) para sinalizar blocos de PII (Informações de Identificação Pessoal) ou código sendo colados em interfaces de chat oferece uma última linha de defesa.

    Detecção cultural

    O melhor ‘sensor’ em sua rede são seus próprios funcionários. A Shadow AI permanece nas sombras porque os funcionários temem repreensão. Mude essa narrativa. Organize sessões de ‘AI Show and Tell’ onde os funcionários possam demonstrar como estão usando a IA para economizar tempo, criando um ambiente de confiança.

    Um framework de 4 níveis para mitigar shadow ai

    Passar do caos para o controle não acontece da noite para o dia. Utilize este framework de governança de IA para proteger seu ambiente em etapas:

    Nível 1: ações imediatas

    • Publique uma lista clara de ferramentas ‘permitidas/bloqueadas’. Seja transparente se ainda não houver uma ferramenta aprovada.
    • Implemente regras DLP focadas para domínios de IA de alto risco, visando capturar uploads de dados sensíveis.
    • Envie um memorando da liderança reconhecendo a utilidade da IA, mas explicando por que as ferramentas gratuitas são perigosas.

    Nível 2: política e educação

    Vá além dos memorandos reativos. Crie uma política formal com três categorias:

    1. Permitir: ferramentas empresariais verificadas.
    2. Monitorar: ferramentas de baixo risco utilizáveis com dados não sensíveis.
    3. Negar: ferramentas que treinam em dados ou não possuem padrões de segurança.

    Combine isso com treinamento específico para cada função. A equipe jurídica precisa saber sobre direitos autorais; a engenharia precisa saber sobre vazamento de código.

    Nível 3: salvaguardas técnicas

    Implemente controles de navegador para restringir o acesso a domínios de IA não autorizados. É aqui que se transita da política para a aplicação. Considere gateways de IA seguros que ficam entre o usuário e o LLM, capazes de redigir PII em tempo real antes que os dados cheguem ao provedor do modelo.

    Nível 4: governança estratégica

    Estabeleça um Centro de Excelência em IA, uma equipe multifuncional que se reúne trimestralmente para revisar novas ferramentas e riscos. Crie um processo rápido para que os funcionários possam solicitar novas ferramentas, garantindo que a governança não se torne um gargalo.

    Tornar a ia segura mais conveniente

    A única maneira de realmente interromper o uso não autorizado de IA no local de trabalho é fornecer uma experiência superior às ferramentas gratuitas. Para um funcionário, ‘seguro’ muitas vezes soa como ‘lento’. É preciso educá-los sobre os benefícios. As melhores práticas de segurança de IA empresarial envolvem:

    • Garantias contratuais de que seus dados não treinarão modelos públicos.
    • Garantia de que os dados permaneçam em sua região.
    • Um registro de cada prompt e resposta para fins de conformidade.
    • Bibliotecas de prompts compartilhadas que transformam o conhecimento individual em ativos da equipe.

    O modelo empresarial byok (bring your own key)

    Uma das formas mais eficazes de equilibrar custo, flexibilidade e segurança é o modelo BYOK (Bring Your Own Key). Essa arquitetura permite que as organizações comprem chaves de API diretas de provedores como OpenAI, Anthropic ou Google e as conectem a uma plataforma de IA. Como a empresa possui a chave de API, os dados fluem sob seus termos comerciais, o que significa que não há treinamento nos seus dados. Plataformas como Geekflare Connect exemplificam essa categoria, fornecendo um espaço de trabalho colaborativo onde os funcionários podem acessar vários modelos (GPT, Claude, Gemini, Grok, DeepSeek) através de uma única interface. Isso oferece visibilidade total de TI e controle de custos, ao mesmo tempo em que oferece aos funcionários o que eles desejam, tornando o caminho seguro o mais fácil.

    Shadow AI não é um sintoma de desobediência do funcionário; é um sintoma de um mercado que se move mais rápido do que a aquisição empresarial. Os funcionários que inserem dados no ChatGPT não estão tentando vazar IP; eles estão tentando fazer seu trabalho.

    A transição da ‘shadow’ para a estratégia é imperativa. Ao invés de proibir, as empresas devem focar em oferecer alternativas seguras e eficientes que atendam às necessidades de produtividade dos seus colaboradores, protegendo, ao mesmo tempo, seus ativos mais valiosos.

  • Bancos: Inteligência Artificial no DNA da Defesa Cibernética em 2026

    Bancos: Inteligência Artificial no DNA da Defesa Cibernética em 2026

    Inteligência Artificial: A Nova Fronteira da Segurança Bancária

    Em 2026, a defesa cibernética no setor bancário não é mais uma questão de se, mas de como. A Inteligência Artificial (IA) emergiu como um componente central nas estratégias das instituições financeiras para combater o crime organizado e proteger seus ecossistemas. A colaboração e a tecnologia avançada são as chaves para fortalecer a segurança em um cenário cada vez mais complexo.

    A IA não é apenas uma ferramenta acessória; ela está intrinsecamente ligada às novas tecnologias que moldam as ferramentas de cibersegurança. Isso permite que os bancos escalem suas defesas e respondam de forma mais eficaz às ameaças crescentes, garantindo a proteção dos clientes e a integridade das operações financeiras.

    Ação Conjunta e Cooperação Setorial

    Representantes de bancos e provedores de tecnologia concordam que o compartilhamento de informações é fundamental. Essa cooperação, inclusive entre setores distintos, é vista como uma maneira eficiente de combater o crime organizado. Daniel Santana, diretor de segurança cibernética do Itaú Unibanco, enfatiza a importância da ação coordenada entre a proteção cibernética e a proteção contra fraudes, que gera resultados positivos para todo o ecossistema.

    “Precisamos expandir e compartilhar as informações, conectando o que nós temos hoje com outros setores, porque sabemos que ataques estão em todos os setores. Isso faz diferença para prevenir ataques”, ressaltou Santana. A integração e o fortalecimento do ecossistema são essenciais para que a maior conexão entre seus elos não crie riscos sistêmicos.

    Fortalecendo os Elos Fracos Contra Fraudes

    Luiz Paulo Azevedo Bittencourt, líder de segurança institucional do Banco do Brasil, destaca que as medidas regulatórias implementadas pelo Banco Central contribuem para o fortalecimento do setor. Ele reforça a ideia de que a segurança reside nos elos fortes, pois as fraudes tendem a ocorrer nos elos mais vulneráveis.

    O setor financeiro opera como um ecossistema, e os fraudadores buscam explorar vulnerabilidades, inclusive através da cooptação de pessoas. “Precisamos atuar juntos para não capitalizar o crime organizado”, alertou Bittencourt. A capacitação das equipes é primordial, especialmente diante do aumento da sofisticação e do uso de tecnologias por parte dos criminosos.

    O Desafio da Engenharia Social e a Proteção ao Cliente

    A lógica da segurança cibernética mudou. Se antes a fragilidade dos sistemas era o principal vetor de golpes, hoje a engenharia social domina o cenário, com usuários de todos os perfis caindo em armadilhas diariamente. Bittencourt aponta que os bancos devem focar em proteger o cliente, inclusive, dele mesmo, sem comprometer a experiência do usuário.

    “Daqui a pouco, a olho nu, não vamos conseguir identificar se é fake ou real — as possibilidades do outro lado crescendo exponencialmente. É a experiência com segurança e com olho no futuro.”

    A capacidade de distinguir o real do falso se torna cada vez mais desafiadora, exigindo uma abordagem de segurança com visão de futuro e focada na experiência do usuário.

    IA e o Futuro da Defesa Cibernética

    Daniel Santana, do Itaú Unibanco, vê na IA uma oportunidade sem precedentes para escalar a defesa cibernética. “Grande parte das ferramentas de ciber tem no DNA as novas tecnologias”, afirmou. Danilo Coelho, diretor-executivo de dados, produtos e novos negócios da Quod, concorda com a necessidade de impulsionar o compartilhamento de informações para prevenir fraudes, como no caso de contas laranjas, que muitas vezes iniciam de forma lícita.

    Coelho ressalta a importância do uso intensivo de dados com criticidade e governança, garantindo que sejam usados de forma correta e ética. A agilidade e a segurança nos processos são cruciais para responder rapidamente às ameaças. No entanto, um dos maiores gargalos identificados é a falta de mão de obra qualificada para lidar com essas novas tecnologias e estratégias de defesa.

  • Comissão aprova criação do Marco Regulatório da Inteligência Artificial no Brasil

    Comissão aprova criação do Marco Regulatório da Inteligência Artificial no Brasil

    Comissão aprova criação do Marco Regulatório da Inteligência Artificial no Brasil

    A Comissão de Comunicação (CCom) da Câmara dos Deputados aprovou, em 18 de março de 2026, o Projeto de Lei 2.688/2025, que estabelece o Marco Regulatório para o Desenvolvimento e Uso da Inteligência Artificial (IA) no Brasil. A iniciativa visa criar uma resposta legislativa específica para os desafios impostos por uma prática grave e crescente que impacta direitos fundamentais, como dignidade, privacidade e integridade, especialmente de mulheres, crianças e adolescentes. Além disso, busca assegurar a preservação da segurança, da ética, da transparência e da soberania tecnológica nacional.

    O PL define direitos, deveres, princípios, mecanismos de governança e normas de transparência civil e penal para o desenvolvimento e uso da IA no país. O texto impõe um conjunto de obrigações para as plataformas de IA, que incluem a identificação e rastreamento de conteúdos artificiais, revisão humana de decisões automatizadas, obrigações de transparência e auditabilidade, além da proteção de dados pessoais.

    Sistemas de alto risco e deveres do poder público

    O projeto prevê obrigações específicas para sistemas de IA considerados de alto risco. Estes deverão elaborar avaliações de impacto algorítmico e realizar auditorias periódicas. Para o Poder Público, a proposta institui a obrigatoriedade de realizar avaliação prévia de impacto sobre direitos fundamentais e análise de riscos antes da adoção de tais sistemas.

    Urgência na regulação: o caso Grok

    O relator do projeto, deputado Jadyel Alencar (Republicanos – PI), ressaltou a urgência da regulação, destacando o uso de tecnologias de IA para a produção de imagens e vídeos envolvendo crianças e adolescentes, ou pessoas adultas, sem consentimento, em contextos sexuais ou eróticos. Ele citou como exemplo emblemático o caso recente envolvendo a ferramenta de IA Grok, da rede social X (antigo Twitter). Uma pesquisa do Center for Countering Digital Hate (CCDH) apontou que, nos primeiros 11 dias após o lançamento da funcionalidade de geração de imagem do Grok, em 29 de dezembro de 2025, foram produzidos mais de três milhões de conteúdos sexualizados, sendo 23 mil deles envolvendo crianças. As estimativas indicam que, a cada 41 segundos durante o período analisado, uma imagem imprópria envolvendo crianças foi criada.

    A presidente da Comissão, deputada Maria Rosas (Republicanos-SP), elogiou a aprovação, enfatizando a relevância do tema diante do crescimento vertiginoso do uso da IA no país.

    Outras aprovações na Comissão de Comunicação

    Na mesma reunião, a CCom aprovou outros dois projetos:

    • PL 3.698/23: Dispõe sobre a identificação de ameaças e a repressão de ilícitos contra a infraestrutura de telecomunicações. O deputado Jadyel Alencar (Republicanos-PI) alertou que, em 2023, foram roubados ou furtados 5,4 milhões de metros de cabos, um aumento de 15% em relação a 2022, motivado pelo alto valor de metais como o cobre no mercado de sucata. O objetivo é viabilizar repasses a órgãos de inteligência e segurança pública para a identificação, prevenção e repressão desses ilícitos.
    • Substitutivo ao PL 4.614/2025: Aprimora a tipificação, as penas e as medidas contra organizações criminosas digitais. A proposição introduz o conceito de organização criminosa digital na Lei nº 12.850/2013, com pena de reclusão de quatro a oito anos, além das penas dos delitos praticados. Prevê aumento de pena com o uso de ferramentas avançadas de anonimização ou ataques a instituições financeiras, serviços públicos essenciais ou infraestruturas críticas. Altera a Lei nº 9.613/1998 para aumentar a pena em casos de lavagem de dinheiro com criptoativos ou plataformas digitais vinculada a organizações criminosas digitais. Reforça a obrigação de colaboração de provedores de aplicações de internet com autoridades na investigação de crimes cibernéticos, conforme a Lei nº 12.965/2014 (Marco Civil da Internet).

    Ambos os projetos seguirão para análise das Comissões de Ciência, Tecnologia e Inovação, de Finanças e Constituição, Justiça e Cidadania (no caso do Marco da IA) e da Comissão de Segurança Pública e Combate ao Crime Organizado e de Constituição e Justiça e de Cidadania (no caso do PL 4.614/2025), antes de serem votados no Plenário da Câmara.

  • China abraça OpenClaw, agente de IA, mas governo mostra cautela

    China abraça OpenClaw, agente de IA, mas governo mostra cautela

    China abraça OpenClaw, agente de IA, mas governo mostra cautela

    Em um lapso de apenas um mês, um assistente de inteligência artificial chamado OpenClaw emergiu como símbolo tanto do entusiasmo quanto da apreensão da China em relação ao potencial da IA. A ferramenta, que funciona como um agente virtual autônomo, provocou filas em Shenzhen, centro tecnológico chinês, e levou governos locais a oferecerem subsídios e incentivos para sua adoção.

    O fenômeno OpenClaw sublinha a corrida acirrada pela inteligência artificial que está remodelando o setor tecnológico chinês. Enquanto o governo investe bilhões para posicionar o país como uma superpotência em IA, o surgimento de ferramentas como o OpenClaw, conhecidas como agentes de IA, levanta questões sobre segurança e controle.

    O que é o OpenClaw e como funciona?

    Lançado há quatro meses, o OpenClaw rapidamente se tornou um dos projetos mais populares no GitHub, uma comunidade global de programadores. Diferente de chatbots convencionais que dependem de um único modelo de IA, o OpenClaw oferece flexibilidade ao rodar em diversas plataformas de IA.

    Instalado diretamente no computador do usuário, o agente é capaz de executar tarefas de forma independente após uma solicitação inicial. Isso inclui desde a pesquisa de informações até o envio de mensagens e o gerenciamento de calendários, podendo interagir com aplicativos como WhatsApp e iMessage para ler e responder a mensagens.

    Empolgação inicial e a virada do governo

    O sucesso inicial do OpenClaw gerou uma onda de otimismo. Empresas de tecnologia chinesas viram suas ações dispararem com a corrida para integrar a ferramenta em suas plataformas. Paralelamente, algumas administrações locais incentivaram ativamente seu uso, oferecendo benefícios como computação gratuita e aluguel de escritórios com desconto para empresas que desenvolvessem novos serviços com base no OpenClaw.

    No entanto, a empolgação deu lugar à cautela. O governo chinês emitiu um alerta sobre os sérios riscos de segurança associados ao OpenClaw. Essa mudança de postura reflete a complexidade de equilibrar a inovação tecnológica com a necessidade de garantir a estabilidade e a segurança nacional.

    O impacto no setor de tecnologia chinês

    O turbulento percurso do OpenClaw, desde a aclamação até a desconfiança governamental, evidencia a dinâmica acelerada do desenvolvimento em IA na China. O país tem como meta estratégica se tornar líder global em inteligência artificial, reconhecendo seu papel crucial como impulsionador do crescimento econômico.

    A proliferação de ferramentas semelhantes ao OpenClaw, impulsionada pela busca de eficiência e produtividade, coloca desafios significativos para os reguladores. A capacidade desses agentes de operar de forma autônoma e a potencial para serem adaptados em larga escala demandam um olhar atento sobre suas implicações.

    O futuro dos agentes de IA na China

    O caso do OpenClaw demonstra a dualidade da inteligência artificial: um imenso potencial para o avanço tecnológico e econômico, mas também riscos que exigem vigilância constante. A resposta do governo chinês sinaliza a necessidade de um quadro regulatório que acompanhe o ritmo acelerado da inovação.

    Enquanto a China continua a investir em IA, a experiência com o OpenClaw servirá como um estudo de caso importante sobre como gerenciar os benefícios e os perigos dessa tecnologia transformadora. A indústria de tecnologia, por sua vez, busca novas formas de capitalizar o poder dos agentes de IA, ao mesmo tempo em que navega pelas diretrizes governamentais em evolução.

  • Claude Fraud: quando ferramentas de IA se tornam a superfície de ataque

    Claude Fraud: quando ferramentas de IA se tornam a superfície de ataque

    Claude Fraud – When Trusted Tools Become the Attack Surface: Weaponizing AI Developer Tooling Against the Security Community

    Uma nova e sofisticada campanha de malware, denominada Claude Fraud, está explorando a confiança depositada em ferramentas populares de desenvolvimento de IA para atacar desenvolvedores e profissionais de segurança. Utilizando as marcas Claude.ai e Visual Studio Code (VS Code), os cibercriminosos buscam entregar malware, visando especificamente aqueles que confiam nesses ecossistemas para seus fluxos de trabalho.

    A campanha, que se manifesta em múltiplas variantes, tem como alvo tanto usuários tecnicamente avançados quanto entusiastas de IA recém-chegados. O objetivo é claro: transformar ferramentas confiáveis em vetores de ataque, explorando a necessidade de adoção rápida e a familiaridade com o ecossistema de IA. Dados preliminares indicam um alcance significativo, com milhares de vítimas já documentadas publicamente.

    A nova superfície de ataque: ferramentas de desenvolvimento de IA

    Nos últimos 18 meses, a adoção de ferramentas de codificação com IA, como Claude Code, GitHub Copilot e Cursor, disparou, tornando-se padrão em ambientes de desenvolvimento de todos os portes. Essa popularidade massiva criou uma nova e ainda pouco explorada superfície de ataque, que os operadores do Claude Fraud reconheceram rapidamente.

    Essas ferramentas de IA para desenvolvedores compartilham características que as tornam atraentes para atores maliciosos:

    • São frequentemente baixadas e instaladas, muitas vezes por usuários que seguem guias da comunidade em vez de fluxos de trabalho formais de TI.
    • Geram comandos de shell e interações de terminal de alta frequência, o que pode mascarar atividades de processos maliciosos.
    • Estão associadas a domínios confiáveis que os usuários, incluindo profissionais de segurança, geralmente não escrutinam tanto quanto um download aleatório.
    • O ecossistema de extensões do VS Code é aberto e amplamente distribuído, fornecendo um canal de distribuição legítimo para comprometer sistemas de desenvolvedores.

    Claude Fraud: Vetores de ataque detalhados

    A campanha Claude Fraud explora essas propriedades de forma simultânea através de dois vetores de entrega distintos:

    Vetor 1: Google Ads + Landing Page Falsa (macOS)

    Neste cenário, um desenvolvedor ou profissional de segurança que pesquisa termos técnicos comuns em um navegador se depara com um link patrocinado no topo dos resultados do Google. Este link leva a uma página que aparenta ser um guia técnico oficial.

    Existem duas subvariantes observadas:

    Subvariante A: Artefato Legítimo do claude.ai (Histórico)

    O link patrocinado direcionava para um artefato legítimo do claude.ai – conteúdo gerado pelo usuário hospedado na própria infraestrutura da Anthropic. Moonlock Lab documentou essa variante sendo acessada mais de 15.600 vezes antes de ser derrubada.

    Subvariante B: Página Falsa Hospedada no Squarespace (Ativa)

    A variante atualmente ativa e mais observada hospeda o conteúdo malicioso em um domínio do Squarespace, imitando o estilo visual da documentação legítima do Claude Developer. A página é convincente o suficiente para passar pela análise visual de um desenvolvedor.

    Em ambas as subvariantes, o mecanismo central do ataque é idêntico: a página instrui o leitor a colar um comando no Terminal do macOS para “instalar” ou “corrigir” algo. Ao executar o comando, o usuário é comprometido. O comando no Terminal, passado como uma string codificada em base64 para o bash, decodificava e executava um script. Este script baixava um loader para o MacSync infostealer, um malware que rouba informações e tem como alvo sistemas macOS.

    O MacSync coleta credenciais do Keychain do macOS, dados de login e cookies de sessão de navegadores, e chaves privadas de carteiras de criptomoedas. Os dados roubados são compactados em um arquivo ZIP e exfiltrados para a infraestrutura do atacante, com mecanismos sofisticados de tentativa e nova tentativa.

    É notável que os atacantes utilizaram contas de publicidade comprometidas de organizações legítimas para veicular esses anúncios, o que ajudou os anúncios a passar nas verificações de verificação de anunciantes do Google, dificultando sua remoção.

    Vetor 2: Extensão Maliciosa do VS Code (Windows)

    O segundo vetor do Claude Fraud é mais sofisticado e furtivo. Ele utiliza uma extensão do VS Code capaz de executar comandos em segundo plano, enquanto o usuário continua suas atividades de desenvolvimento normal. A 7AI identificou dois incidentes confirmados em um grande ambiente de tecnologia.

    Incidente A: Execução de LOLBIN via mshta.exe

    O primeiro incidente envolveu o VS Code iniciando o PowerShell, que por sua vez executou o binário legítimo do Windows mshta.exe para buscar e executar um payload HTA (HTML Application) diretamente na memória a partir de um URL remoto: https://claude-code.official-version[.]com/claude. Essa técnica é amplamente abusada para executar código remoto sem escrever um arquivo no disco, dificultando a detecção.

    Incidente B: Exclusão do Defender + Execução de Payload

    Um segundo incidente, ocorrido no mesmo dia em outro host, também começou com o VS Code iniciando o PowerShell. No entanto, o comportamento de segundo estágio diferiu: o comando PowerShell executado pela extensão adicionou exclusões ao Windows Defender para o diretório de desenvolvimento do usuário e para C:\temp, antes de iniciar um executável disfarçado de ferramenta de benchmark legítima.

    Apesar dos diferentes payloads de segundo estágio, ambos os incidentes compartilham características críticas: a execução começou com o VS Code iniciando o PowerShell, ocorreram em hosts e contas de usuário diferentes, e ambos envolveram ambientes de desenvolvimento. A hipótese mais consistente com todas as evidências é que uma extensão maliciosa do VS Code, disfarçada de plugin oficial “Claude Code”, foi instalada por ambos os usuários.

    As extensões do VS Code podem executar comandos de forma silenciosa através da API do editor, sem interação do usuário ou uma janela de terminal visível. Isso permite que comandos maliciosos rodem mesmo quando nenhum terminal integrado está aberto.

    Como a 7AI detectou Claude Fraud

    Para ambos os vetores de ataque, os agentes de IA SOC da 7AI identificaram a atividade do Claude Fraud como verdadeiros positivos correlacionando a cadeia de processos, o contexto comportamental e os sinais de infraestrutura. Esta abordagem de raciocínio multissinal é difícil para sistemas de detecção tradicionais baseados em regras.

    No incidente macOS, um alerta de comportamento de processo incomum após uma interação com o navegador levou à correlação da árvore de processos, chamada de rede e reputação do domínio recém-registrado. Nos incidentes Windows, alertas do CrowdStrike Falcon foram ingeridos na plataforma 7AI, e os agentes de IA reconstruíram a cadeia de execução, correlacionando-a com sinais de infraestrutura e comportamentais para determinar que ambos os eventos representavam o mesmo padrão de ataque.

    A campanha Claude Fraud demonstra uma evolução preocupante no uso de ferramentas de desenvolvimento de IA como superfície de ataque, exigindo vigilância contínua e defesas adaptativas por parte da comunidade de segurança.

  • Com Inteligência Artificial em alta, Interpol articula plano global de combate às fraudes digitais

    Com Inteligência Artificial em alta, Interpol articula plano global de combate às fraudes digitais

    Diante da ascensão vertiginosa da inteligência artificial (IA) e seu uso por criminosos, a INTERPOL, em conjunto com o Escritório das Nações Unidas sobre Drogas e Crime (UNODC), lançou recentemente uma iniciativa global para intensificar o combate às fraudes financeiras. A ação, que conta com o apoio de gigantes do setor tecnológico como GSMA, Meta Platforms e Google, visa criar uma frente unificada contra a crescente “industrialização da fraude”.

    A iniciativa foi apresentada na Cúpula Global da ONU sobre Fraudes, em Viena, reunindo ainda o endosso de outras empresas de peso como Amazon, TikTok e VMO2. A cooperação entre o setor público e privado é considerada crucial para conter a escalada de golpes cada vez mais sofisticados, impulsionados pelas capacidades da IA.

    O alerta da interpol e a “industrialização da fraude”

    O secretário-geral da INTERPOL, Valdecy Urquiza, expressou preocupação com a situação atual, denunciando que, “impulsionados pela inteligência artificial… estamos testemunhando a industrialização da fraude”. Esta forte afirmação sublinha a urgência e a gravidade do cenário, onde a tecnologia, antes vista como aliada, se torna uma ferramenta potente nas mãos de redes criminosas globais.

    A INTERPOL já havia alertado para uma escalada acentuada na escala e gravidade da fraude financeira, classificando-a como “um dos crimes transnacionais mais graves e de rápida evolução do mundo”. O órgão destaca que estas fraudes estão cada vez mais ligadas ao cibercrime, ao tráfico de pessoas e a complexas redes organizadas, evidenciando a natureza multifacetada e perigosa do problema.

    Tendências alarmantes e as estratégias de combate

    Entre as principais tendências identificadas pelas autoridades, sobressai o rápido crescimento de golpes facilitados por inteligência artificial, que permitem a criação de fraudes mais convincentes e em maior volume. Além disso, observa-se um aumento preocupante nas operações de centros de golpes globais e a integração da extorsão sexual em esquemas de fraude mais amplos, explorando vulnerabilidades de forma cruel.

    Para enfrentar este cenário, a estrutura da iniciativa busca fortalecer a cooperação entre os diversos setores, focando em pilares essenciais: “responsabilidade compartilhada, prevenção proativa, compartilhamento de informações, apoio às vítimas, educação e inovação”, conforme detalhado pela GSMA. Esta abordagem integrada representa um passo significativo rumo a uma resposta mais eficaz e unificada, como foi divulgado pelo ConvergenciaDigital.

    A união do setor privado contra os golpes

    Paralelamente à iniciativa liderada pela INTERPOL e UNODC, o Google também anunciou um importante Acordo do Setor contra Golpes e Fraudes Online. Este acordo reúne gigantes da tecnologia como Microsoft, Meta, Adobe e OpenAI, formando uma coalizão poderosa para enfrentar os desafios digitais.

    A gigante da tecnologia afirmou que esta nova iniciativa “unificará nossas capacidades coletivas, compartilhará informações sobre ameaças e coordenará as defesas”. A colaboração entre estas empresas é crucial, visto que os golpes, como mencionado pelo Google, são agora impulsionados por “redes criminosas globais, sofisticadas e organizadas”, exigindo uma resposta igualmente articulada e robusta.

    “Impulsionados pela inteligência artificial… estamos testemunhando a industrialização da fraude.” — Valdecy Urquiza, secretário-geral da INTERPOL.

    Um futuro mais seguro através da colaboração

    A articulação global liderada pela INTERPOL e UNODC, juntamente com o engajamento do setor privado, sinaliza um reconhecimento da complexidade e do alcance das fraudes digitais impulsionadas pela IA. É um esforço conjunto que visa não apenas reagir aos crimes existentes, mas também inovar na prevenção e proteção dos cidadãos em um ambiente digital em constante mudança.

    A mensagem é clara: apenas com uma abordagem unificada, que envolva governos, organizações internacionais e empresas de tecnologia, será possível construir defesas robustas o suficiente para combater a “industrialização da fraude” e proteger a integridade do ecossistema digital global.

  • Anthropic contrata especialista em armas para conter ‘uso indevido’ de IA

    Anthropic contrata especialista em armas para conter ‘uso indevido’ de IA

    IA: especialista em armas contratado para prevenir ‘uso indevido’

    A empresa de inteligência artificial (IA) norte-americana Anthropic está buscando um especialista em armas químicas e explosivos de alto rendimento. O objetivo é evitar o “uso indevido catastrófico” de seu software, conforme anunciado pela companhia.

    Em outras palavras, a Anthropic teme que suas ferramentas de IA possam instruir usuários sobre como fabricar armas químicas ou radioativas. Para isso, busca um profissional que garanta a robustez das salvaguardas implementadas.

    Detalhes da vaga e experiência necessária

    A vaga, divulgada no LinkedIn, exige que os candidatos possuam no mínimo cinco anos de experiência em “defesa contra armas químicas e/ou explosivos”. Além disso, é necessário conhecimento sobre “dispositivos de dispersão radiológica”, conhecidos como bombas sujas.

    A empresa informou à BBC que esta função é semelhante a outras já criadas em áreas consideradas sensíveis.

    Tendência no mercado de IA

    A Anthropic não é a única companhia de IA adotando essa estratégia. A OpenAI, desenvolvedora do ChatGPT, também anunciou uma vaga similar. Em seu site de carreiras, a empresa lista uma oportunidade para pesquisador em “riscos biológicos e químicos”, com salário de até US$ 455.000.

    No entanto, alguns especialistas expressam preocupação com essa abordagem, alertando que ela pode acabar fornecendo informações sobre armas para os sistemas de IA, mesmo que estes sejam instruídos a não utilizá-las.

    Preocupações com segurança e regulamentação

    A Dra. Stephanie Hare, pesquisadora de tecnologia e copresentadora do programa “AI Decoded” da BBC, questionou a segurança de usar sistemas de IA para lidar com informações sensíveis sobre produtos químicos, explosivos e armas radiológicas. “Não há um tratado internacional ou outra regulamentação para este tipo de trabalho e o uso de IA com esses tipos de armas. Tudo isso está acontecendo longe dos olhos do público”, afirmou.

    A indústria de IA tem alertado continuamente sobre as potenciais ameaças existenciais representadas por sua tecnologia, mas não tem havido um esforço para desacelerar seu progresso.

    Contexto geopolítico e o papel da IA

    A questão ganhou urgência à medida que o governo dos EUA pressiona as empresas de IA, enquanto lança operações militares. O cofundador da Anthropic, Dario Amodei, expressou em fevereiro que a tecnologia ainda não estava madura o suficiente para ser usada em determinados propósitos.

    A Casa Branca declarou que as Forças Armadas dos EUA não seriam governadas por empresas de tecnologia. A classificação de risco coloca a Anthropic na mesma situação de empresas como a chinesa Huawei, que enfrentou restrições por preocupações com segurança nacional.

    O assistente de IA da Anthropic, Claude, ainda está integrado em sistemas fornecidos pela Palantir e sendo utilizado pelos EUA, inclusive em contextos de conflitos internacionais.

  • Como equipes de segurança combatem hackers impulsionados por IA

    Como equipes de segurança combatem hackers impulsionados por IA

    A nova fronteira dos ataques cibernéticos: hackers com superpoderes de IA

    A segurança cibernética entrou em uma nova era, onde a inteligência artificial (IA) se tornou uma ferramenta poderosa tanto para atacantes quanto para defensores. Recentemente, o governo mexicano foi alvo de um ataque massivo, com 150GB de dados de contribuintes roubados. O que antes exigiria meses de trabalho para uma equipe qualificada, foi orquestrado por um único indivíduo com o auxílio de um assistente de IA, o Claude Code. Este incidente, que explorou dezenas de vulnerabilidades em dez instituições, demonstra como a IA democratizou a capacidade de realizar grandes roubos de dados.

    Essa nova realidade, onde um único hacker pode executar ataques complexos com a ajuda de assinaturas de IA comerciais e persistência, exige uma mudança de paradigma na defesa. A capacidade de personalizar ataques, automatizar a exploração e a movimentação lateral, e realizar stuffing de credenciais em escala está nas mãos de mais indivíduos. Contudo, essa mesma tecnologia de IA pode conceder poderes semelhantes às equipes de proteção.

    A ascensão dos hackers equipados com IA

    Os atacantes já estão explorando as vantagens da IA há algum tempo. Relatórios indicam um aumento expressivo em ataques habilitados por IA. Segundo o CrowdStrike’s 2026 Global Threat Report, houve um aumento de 89% ano a ano em ataques com IA. O tempo médio entre o acesso inicial e a movimentação lateral agora é de apenas 29 minutos, com casos registrados de breakout em 27 segundos.

    A IA também atrai uma nova geração de cibercriminosos. Tarefas tradicionalmente complexas, como escrever código de exploração ou depurar malware, agora podem ser simplificadas com simples comandos de IA. Um único ator malicioso pode gerar um conjunto completo de ferramentas com a assistência de uma IA. Isso reduz drasticamente a barreira de entrada técnica, permitindo que criminosos com menos conhecimento realizem feitos impressionantes.

    O caso do governo mexicano e a queda no nível de habilidade

    O ataque ao governo mexicano exemplifica essa tendência. Embora o hacker possuísse conhecimento para obter acesso inicial e contornar proteções, grande parte do trabalho complexo foi executado pela IA. Evidências, como o registro da conversa deixado em local público, sugeriram que a campanha foi parcialmente oportunista, com a IA guiando as ações subsequentes.

    A campanha FortiGate: IA em ação com baixas habilidades técnicas

    Um outro exemplo notório foi a campanha FortiGate, documentada em fevereiro de 2026. Um atacante com habilidades técnicas relativamente baixas comprometeu mais de 600 firewalls FortiGate em 55 países em cinco semanas. O acesso inicial foi obtido através de varredura de portas de gerenciamento expostas e o uso de credenciais comumente reutilizadas. Uma vez dentro, a IA assumiu o controle, criando planos de ataque, desenvolvendo ferramentas e, em alguns casos, executando ações ofensivas sem aprovação explícita do atacante.

    Nesses cenários, a IA mascarou a falta de habilidade técnica, fazendo com que o atacante parecesse mais competente. À medida que a IA se torna mais sofisticada, os atacantes precisam de menos conhecimento técnico para infligir danos significativos.

    A defesa precisa de seu próprio upgrade: IA contra IA

    Diante desse cenário, as equipes de defesa não podem mais depender das ferramentas e sistemas tradicionais. A IA demonstrou a capacidade de identificar e explorar cadeias complexas de vulnerabilidades em alta velocidade, tornando-as viáveis em larga escala. A mesma IA que auxilia atacantes na criação de exploits e no mapeamento de rotas de movimentação lateral pode e deve ser utilizada em benefício dos defensores.

    Limitações das defesas tradicionais

    A detecção baseada em assinaturas é ineficaz contra scripts gerados dinamicamente que nunca existiram antes. Análises estáticas de segurança (SAST) podem identificar padrões conhecidos, mas não conseguem prever cadeias de vulnerabilidade criadas em tempo real por uma IA.

    O poder da IA para os defensores

    A única maneira de identificar proativamente essas novas rotas de ataque, especialmente aquelas que até mesmo pentesters humanos não conceberiam, é empregar IA para testar as aplicações. A IA capacita os defensores com habilidades que antes eram inatingíveis. Um único engenheiro de segurança pode agora executar testes com uma velocidade, profundidade e cobertura que superam equipes de red teaming completas.

    Testes de penetração contínuos com IA permitem que todas as partes de uma aplicação sejam testadas em cada deploy. Agentes de IA podem explorar centenas de caminhos de ataque em paralelo, fornecendo feedback em tempo real. Isso permite que as equipes operem em uma escala sem precedentes, reduzindo drasticamente o tempo em que uma aplicação permanece vulnerável.

    Prontos para a batalha: equipando a defesa com IA

    Os recentes ataques destacam a necessidade urgente de as equipes de segurança adotarem suas próprias ferramentas de IA. Assim como Tony Stark utilizou o traje do Homem de Ferro e a inteligência de JARVIS para combater ameaças, os defensores precisam de um “traje de superpoder” para enfrentar hackers igualmente equipados.

    A solução proposta, como a Aikido Infinite, atua como esse traje de superpoder para equipes de segurança. O pentest contínuo com IA funciona como uma equipe dedicada de hackers de elite, testando incessantemente uma aplicação. Isso libera os profissionais de segurança de tarefas de triagem repetitivas para que possam focar em desafios mais estratégicos.

    Os atacantes já possuem suas “armas” aprimoradas por IA. Agora, é o momento dos defensores se equiparem com suas próprias contrapartes para garantir a segurança no cenário cibernético em constante evolução.

  • China restringe uso de IA OpenClaw em bancos e agências estatais, aponta Bloomberg

    China restringe uso de IA OpenClaw em bancos e agências estatais, aponta Bloomberg

    China restringe uso de IA OpenClaw em bancos e agências estatais, aponta Bloomberg

    A China está implementando restrições ao uso da inteligência artificial OpenClaw AI em seus bancos e instituições governamentais. A medida, divulgada por um relatório da Bloomberg, indica uma mudança significativa na abordagem das autoridades chinesas em relação a ferramentas de IA autônomas. A decisão surge como resposta a crescentes preocupações com a cibersegurança, a soberania dos dados e a rápida adoção de sistemas de IA capazes de operar de forma autônoma em ambientes digitais sensíveis.

    É crucial notar que esta ação não se trata de um banimento nacional. Em vez disso, os reguladores chineses estão estabelecendo limites claros entre o incentivo à inovação nos mercados comerciais e a gestão de riscos dentro da infraestrutura crítica do estado.

    Por que as autoridades estão agindo agora?

    A rápida disseminação de agentes autônomos de IA tem chamado a atenção de reguladores globalmente. A China se destaca como uma das primeiras grandes economias a impor limitações direcionadas. O OpenClaw AI ganhou popularidade por sua capacidade de executar tarefas complexas de forma automática, reduzindo a necessidade de supervisão humana.

    No entanto, essa mesma autonomia levanta questionamentos sobre controle e responsabilidade. De acordo com o relatório, agências governamentais alertaram instituições financeiras e organizações do setor público contra a instalação ou uso do software em sistemas oficiais. Organizações que já experimentavam a tecnologia foram aconselhadas a realizar revisões de segurança ou a remover a aplicação completamente.

    Oficiais demonstram particular preocupação com sistemas que se conectam a redes externas enquanto processam dados confidenciais nacionais ou financeiros. Setores sensíveis como o bancário operam sob rigorosos padrões de cibersegurança, tornando a implantação irrestrita de IA um risco potencial.

    Compreendendo o OpenClaw AI e sua influência crescente

    O OpenClaw AI representa uma nova categoria de inteligência artificial: os agentes autônomos. Diferente de chatbots tradicionais que respondem apenas a comandos, esses sistemas podem executar tarefas, interagir com ferramentas de software e gerenciar fluxos de trabalho independentemente.

    A tecnologia rapidamente ganhou tração devido à sua capacidade de automatizar processos administrativos e operacionais. Empresas e desenvolvedores a abraçaram em busca de ganhos de produtividade e eficiência de custos. Hubs de inovação chineses, inicialmente, incentivaram a experimentação com tais ferramentas de IA por meio de programas de financiamento e iniciativas tecnológicas destinadas a acelerar a transformação digital.

    Esse apoio inicial contribuiu para a adoção generalizada em diversas indústrias antes que os reguladores interviessem para reavaliar as implicações de segurança.

    Preocupações de segurança por trás das restrições

    A ação regulatória parece estar enraizada em preocupações sobre como a IA autônoma interage com sistemas sensíveis. Instituições financeiras armazenam um volume massivo de dados pessoais e econômicos, tornando-as alvos primários para riscos cibernéticos.

    As autoridades temem que agentes de IA com acesso em nível de sistema possam expor inadvertidamente informações confidenciais ou comunicar-se com plataformas externas sem autorização adequada. Mesmo pequenas vulnerabilidades podem ter consequências em larga escala para as redes financeiras nacionais.

    Especialistas observam que a IA autônoma difere do software tradicional por tomar decisões e executar ações, em vez de esperar por comandos do usuário. Isso cria desafios para monitoramento e conformidade, especialmente em ambientes que exigem supervisão rigorosa.

    Equilibrando inovação com segurança nacional

    A abordagem da China demonstra uma estratégia dual em relação ao desenvolvimento de inteligência artificial. Por um lado, os formuladores de políticas continuam a promover a IA como um motor chave para o crescimento econômico. Por outro lado, estão fortalecendo a supervisão onde os riscos podem afetar a segurança nacional ou a estabilidade financeira.

    Esse ato de equilibrar reflete uma tendência global mais ampla. Governos desejam incentivar a liderança tecnológica, ao mesmo tempo em que evitam a implantação descontrolada em sistemas críticos. Ao limitar o uso do OpenClaw AI em agências governamentais, em vez de bani-lo completamente, os reguladores sinalizam que a inovação continua sendo bem-vinda, mas deve operar dentro de limites de segurança definidos.

    Impacto nas ações de IA e sentimento de mercado

    O anúncio influenciou imediatamente as discussões entre investidores que acompanham ações de IA e empresas de tecnologia emergentes. Desenvolvimentos regulatórios frequentemente desempenham um papel importante na formação de avaliações no mercado de ações moderno, particularmente em setores em rápida evolução como a inteligência artificial.

    Investidores que realizam pesquisas de ações consideram cada vez mais o risco regulatório ao lado da inovação tecnológica. Notícias de controles mais rigorosos criaram incerteza de curto prazo em torno de empresas conectadas a ecossistemas de IA autônoma. Analistas de mercado observaram que a clareza regulatória, mesmo quando restritiva, pode, em última análise, estabilizar ambientes de investimento ao definir casos de uso aceitáveis.

    Empresas que atendem aos padrões de conformidade podem se beneficiar a longo prazo à medida que a confiança nos sistemas de IA aumenta.

    Por que os bancos são centrais para a decisão

    Instituições financeiras são frequentemente o primeiro setor afetado por novas regulamentações tecnológicas, pois formam a espinha dorsal das economias nacionais. Bancos gerenciam infraestruturas de pagamento, sistemas de crédito e informações confidenciais de clientes, tornando as falhas de segurança especialmente perigosas.

    A integração de IA autônoma nas operações bancárias introduz questões sobre responsabilidade e supervisão. Reguladores devem garantir que sistemas automatizados sigam os requisitos legais e mantenham processos de tomada de decisão transparentes. Por essa razão, as autoridades optaram por iniciar as restrições dentro de bancos e agências estatais, em vez do setor de tecnologia privada.

    Efeitos globais na governança de IA

    A decisão da China pode influenciar a forma como outros países regulam agentes de IA autônoma. Formuladores de políticas em todo o mundo estão estudando riscos semelhantes relacionados à privacidade de dados, desinformação e controle operacional.

    Vários temas estão emergindo nas discussões internacionais sobre governança de IA:

    • Regulamentação baseada em risco, em vez de proibições gerais.
    • Aumento dos requisitos de auditoria para sistemas de IA.
    • Políticas de localização de dados.
    • Padrões de transparência para tomada de decisão autônoma.

    À medida que a inteligência artificial evolui de ferramentas de assistência para agentes digitais independentes, os governos estão adaptando os quadros legais para enfrentar novos desafios.

    Perspectivas futuras para o desenvolvimento de OpenClaw AI

    Apesar das restrições em setores sensíveis, o OpenClaw AI continua a operar em ambientes comerciais e ecossistemas de inovação. Especialistas acreditam que a regulamentação pode impulsionar os desenvolvedores a criar versões empresariais mais seguras, personalizadas para uso governamental e financeiro.

    Futuros desenvolvimentos podem incluir proteções de cibersegurança mais robustas, processamento de dados localizado e arquitetura de IA focada em conformidade. Essas melhorias podem, eventualmente, expandir a adoção ao abordar preocupações de confiança. A trajetória de longo prazo da IA autônoma provavelmente dependerá da cooperação entre desenvolvedores, reguladores e stakeholders da indústria.

    Conclusão

    O movimento da China para restringir o uso do OpenClaw AI em bancos e agências estatais marca um momento significativo na evolução global da governança de inteligência artificial. A decisão destaca a crescente importância de gerenciar os riscos associados a sistemas autônomos, ao mesmo tempo em que continua a apoiar o progresso tecnológico.

    Para investidores e analistas que monitoram ações de IA e o mercado de ações em geral, o desenvolvimento sublinha como a política regulatória está se tornando um fator central na avaliação de futuras oportunidades de crescimento. À medida que governos em todo o mundo definem regras para a implantação de IA, o equilíbrio entre inovação e segurança moldará a próxima fase da adoção da inteligência artificial.