Tag: segurança da informação

  • Governança de Inteligência Artificial: Como Evitar Riscos Corporativos | SEGS Portal Nacional de Seguros

    Governança de Inteligência Artificial: Como Evitar Riscos Corporativos | SEGS Portal Nacional de Seguros

    Governança de inteligência artificial: como evitar riscos corporativos

    Atualmente, a inteligência artificial (IA) está presente em praticamente todas as organizações, seja em testes, implementações ou discussões. O entusiasmo é justificado pelo potencial imediato de impacto na produtividade e eficiência operacional. Pesquisas da McKinsey, como “Superagency in the Workplace” e “Seizing the Agentic AI Advantage”, indicam que empresas que integram IA registram ganhos de produtividade entre 25% e 40% e reduções de custos operacionais de 20% a 30%.

    Contudo, o que nem sempre recebe a devida atenção é que esses resultados dependem crucialmente da forma como a IA é conduzida internamente. A velocidade da implementação muitas vezes supera a capacidade das empresas de estabelecer regras claras, responsabilidades e limites para seu uso. O momento exige mais do que experimentação; é hora de administrar a tecnologia de forma profissionalizada.

    A necessidade de governança na era da IA

    Quando a governança não acompanha a inovação em IA, as empresas perdem visibilidade sobre como as decisões são apoiadas por algoritmos, quais informações são compartilhadas e quais riscos, especialmente reputacionais e regulatórios, emergem. O avanço das ferramentas de IA amplia as responsabilidades, tornando a governança um pilar essencial. Sem ela, decisões automatizadas podem carecer de accountability clara, e processos críticos podem depender de sistemas cujo funcionamento não é totalmente compreendido pelos gestores.

    Fabio Soto, CEO da Agility, defende a profissionalização da adoção da IA, superando o improviso da fase inicial. O cenário atual, com iniciativas individuais e experimentações desconectadas de uma visão organizacional, levanta preocupações. O uso de ferramentas abertas sem diretrizes, áreas distintas com soluções próprias e a circulação de dados sensíveis fora de ambientes controlados são riscos iminentes.

    Profissionalizando a adoção da IA

    A IA deve ser tratada como uma capacidade corporativa, gerenciada com o mesmo rigor aplicado a finanças, compliance ou segurança da informação. A dúvida sobre quem deve governar a IA é comum, e a resposta reside na convergência entre tecnologia, negócio e gestão de riscos.

    • Tecnologia: CIOs e CTOs lideram a integração técnica.
    • Segurança: CISOs garantem a proteção da informação.
    • Ética e Regulação: Áreas jurídicas e de compliance estruturam princípios éticos e a aderência regulatória.
    • Cultura: O RH assume papel crescente na formação de uma cultura de responsabilidade digital.

    A agenda da governança de IA só se consolida quando atinge o nível estratégico, com o envolvimento direto da alta liderança e dos conselhos. É fundamental entender que governar IA não é frear a inovação, mas sim criar um ambiente de confiança para que ela possa escalar de forma segura e eficaz.

    Controles para uma IA responsável

    Para garantir um ambiente de confiança e mitigar riscos, prioriza-se a implementação de controles objetivos:

    • Políticas claras: Definição de quais ferramentas podem ser utilizadas.
    • Proteção de dados: Classificação e proteção rigorosa de dados sensíveis.
    • Rastreabilidade: Criação de mecanismos para rastrear as aplicações baseadas em IA.
    • Supervisão humana: Garantia de supervisão em decisões críticas.
    • Monitoramento contínuo: Acompanhamento da qualidade e segurança dos modelos de IA.

    A preparação das pessoas para utilizar a IA com consciência, responsabilidade e sob princípios éticos é tão crucial quanto a própria tecnologia adotada. A Agility, especialista em Arquitetura de Missão Crítica, oferece soluções para garantir que sistemas essenciais operem com resiliência, escala e eficiência, proporcionando tranquilidade na gestão de ambientes de alta complexidade e sofisticação de ameaças.

  • Anthropic atualiza sistema de inteligência artificial após identificação de falhas de segurança

    Anthropic atualiza sistema de inteligência artificial após identificação de falhas de segurança

    Anthropic atualiza sistema de inteligência artificial após identificação de falhas de segurança

    A Anthropic anunciou nesta semana a implementação de atualizações em uma de suas ferramentas de inteligência artificial (IA) focada no ambiente de programação. A medida foi tomada após a detecção de vulnerabilidades que poderiam comprometer a segurança de informações e sistemas corporativos.

    Essa ação da Anthropic coloca em evidência a constante necessidade de vigilância e aprimoramento em tecnologias de IA. A rápida evolução dessas ferramentas traz consigo desafios significativos relacionados à proteção de dados e à integridade dos sistemas que as utilizam.

    Contexto da atualização

    A vulnerabilidade identificada na ferramenta de IA da Anthropic representava um risco potencial para a segurança de dados e sistemas corporativos. Embora os detalhes específicos das falhas não tenham sido divulgados, a natureza da ferramenta sugere que informações sensíveis ou o funcionamento de sistemas de programação poderiam ser afetados.

    Implicações para o setor tecnológico

    A situação reforça o debate contínuo sobre os riscos associados à integração de novas tecnologias em processos produtivos. A inteligência artificial, embora prometa avanços significativos em eficiência e inovação, exige medidas preventivas robustas para mitigar potenciais ameaças.

    Empresas como a Anthropic, líderes no desenvolvimento de IA, enfrentam o desafio de equilibrar a inovação com a segurança. A rápida detecção e correção dessas falhas demonstram um compromisso com a proteção dos usuários e clientes, mas também sublinham a natureza dinâmica do cenário de cibersegurança.

    A importância das medidas preventivas

    A decisão da Anthropic de atualizar seu sistema após a identificação das falhas de segurança é um lembrete da importância crucial de protocolos de segurança proativos no desenvolvimento e implementação de tecnologias de IA. A manutenção da confiança no ecossistema de IA depende da capacidade das empresas de antecipar e neutralizar ameaças.

    Segundo o portal WSCOM, a atualização visa garantir a proteção de informações e a estabilidade dos sistemas corporativos que utilizam a tecnologia. Este incidente destaca a necessidade de um olhar atento às práticas de segurança no setor tecnológico em constante expansão.

  • Agente de IA da Meta causa vazamento massivo de dados sensíveis para funcionários

    Agente de IA da Meta causa vazamento massivo de dados sensíveis para funcionários

    Agente de IA da Meta causa vazamento massivo de dados sensíveis para funcionários

    Um incidente recente na Meta, gigante da tecnologia, expôs uma quantidade significativa de dados sensíveis da empresa e de seus usuários a funcionários por um período de duas horas. A falha ocorreu após um agente de inteligência artificial (IA) fornecer uma instrução a um engenheiro, que a implementou sem perceber as consequências.

    O problema teve início quando um funcionário buscou orientação em um fórum interno da Meta para resolver um problema de engenharia. Um agente de IA respondeu com uma solução, que, ao ser aplicada pelo empregado, resultou na exposição de dados confidenciais. A Meta confirmou o vazamento, mas assegurou que nenhum dado de usuário foi indevidamente manuseado.

    O incidente e a resposta da Meta

    O vazamento, que foi reportado primeiramente pelo portal The Information, gerou um alerta de segurança interno de grande escala na Meta. Uma porta-voz da empresa destacou que o incidente demonstra a seriedade com que a companhia trata a proteção de dados e que uma orientação humana também poderia ter sido errônea.

    Este evento se soma a uma série de incidentes de alto perfil envolvendo o uso crescente de agentes de IA em grandes empresas de tecnologia nos Estados Unidos. Em março de 2026, por exemplo, um relatório do Financial Times indicou que a Amazon enfrentou pelo menos duas interrupções relacionadas à implantação de suas ferramentas internas de IA.

    A evolução e os riscos da IA agentic

    A tecnologia por trás desses incidentes, conhecida como IA agentic, evoluiu rapidamente nos últimos meses. Em dezembro de 2025, avanços na ferramenta de codificação da Anthropic, Claude Code, chamaram atenção por sua capacidade de agendar ingressos para teatro, gerenciar finanças pessoais e até cultivar plantas autonomamente. Logo depois, surgiu o OpenClaw, um assistente pessoal de IA viral que operava sobre agentes como o Claude Code, mas com autonomia total, chegando a negociar milhões de dólares em criptomoedas ou apagar e-mails em massa.

    Esses desenvolvimentos alimentaram discussões sobre o advento da Inteligência Artificial Geral (AGI), um termo que descreve IA capaz de substituir humanos em uma vasta gama de tarefas. Nas semanas seguintes, os mercados de ações apresentaram instabilidade devido ao receio de que agentes de IA possam impactar negativamente empresas de software, remodelar a economia e substituir trabalhadores humanos.

    Análise de especialistas sobre o caso Meta

    “Eles não estão realmente recuando dessas coisas e, na verdade, realizando uma avaliação de risco apropriada. Se você colocasse um estagiário júnior nessas coisas, você nunca daria a esse estagiário júnior acesso a todos os seus dados críticos de RH de severidade um.”

    Tarek Nseir, cofundador de uma consultoria focada no uso de IA por empresas, avaliou que incidentes como o da Meta e da Amazon indicam que as companhias estão em “fases experimentais” na implantação da IA agentic. Ele criticou a falta de uma avaliação de risco adequada, comparando a situação à de um estagiário júnior com acesso a dados críticos de RH.

    Nseir acrescentou que a vulnerabilidade teria sido óbvia para a Meta em retrospectiva e que o ocorrido representa um “experimento em escala” da empresa, demonstrando uma abordagem ousada.

    Diferenças entre IA e o contexto humano

    Jamieson O’Reilly, especialista em segurança focado na construção de IA ofensiva, apontou que agentes de IA introduzem um tipo específico de erro que humanos não cometem. Um ser humano compreende o “contexto” de uma tarefa, possuindo um conhecimento implícito sobre o que não deve ser feito, como expor dados de usuários.

    Para IA agentic, o contexto é mais complexo. Os agentes possuem “janelas de contexto” – uma espécie de memória de trabalho – para carregar instruções, mas essas memórias podem se esgotar, levando a erros. O’Reilly explicou que um engenheiro humano com anos de experiência acumula um senso do que importa, o que pode quebrar sistemas e quais sistemas afetam os clientes. Esse contexto está em sua memória de longo prazo.

    “O agente, por outro lado, não tem nada disso, a menos que você o coloque explicitamente no prompt, e mesmo assim ele começa a desvanecer se não estiver nos dados de treinamento”, disse O’Reilly. Nseir concluiu de forma incisiva: “Inevitavelmente, haverá mais erros.”

  • AI cuts cyberattack breakout time to 29 minutes, reveals CrowdStrike report

    AI cuts cyberattack breakout time to 29 minutes, reveals CrowdStrike report

    A inteligência artificial está transformando o cenário da cibersegurança, mas não da maneira que muitos esperariam. De acordo com o 2026 Global Threat Report da CrowdStrike, o tempo médio para que um ataque cibernético avance do acesso inicial para a movimentação mais profunda em um sistema, conhecido como “tempo de eclosão” (breakout time), caiu para apenas 29 minutos. Essa aceleração representa um aumento de 65% na velocidade em relação ao ano anterior.

    Os dados revelam que a IA não apenas equipa criminosos com novas ferramentas, mas também cria pontos de vulnerabilidade dentro das empresas. Em um caso extremo, o tempo de eclosão foi de meros 27 segundos, e em outro, atacantes começaram a extrair dados apenas quatro minutos após a intrusão inicial. Essa velocidade sem precedentes exige uma reavaliação urgente das estratégias de defesa.

    A velocidade alarmante dos ataques cibernéticos

    O relatório da CrowdStrike, que compila o rastreamento de ameaças ligadas a mais de 280 adversários conhecidos, destaca uma mudança drástica no ritmo das invasões. Em 2025, a média de 29 minutos para o “breakout time” sublinha a agilidade dos atacantes. Essa é uma aceleração notável que comprime o tempo disponível para as equipes de segurança reagirem e mitigarem uma ameaça.

    A intrusão mais rápida registrada, de 27 segundos, e o caso de exfiltração de dados em quatro minutos, demonstram a capacidade dos criminosos de agir quase instantaneamente. Eles se movem por contas de usuário confiáveis, aplicativos SaaS e sistemas de nuvem, misturando-se ao tráfego normal e dificultando a detecção.

    Como a inteligência artificial potencializa os criminosos

    A inteligência artificial tornou-se uma ferramenta indispensável para os cibercriminosos e, paradoxalmente, um novo alvo. O relatório indica que, em mais de 90 organizações, atacantes inseriram comandos maliciosos em ferramentas legítimas de IA generativa, forçando-as a criar comandos que roubavam credenciais de login e criptomoedas.

    Além disso, criminosos exploraram falhas em plataformas de desenvolvimento de IA para plantar ransomware e configuraram servidores de IA falsos, que se passavam por serviços confiáveis para capturar dados sensíveis. A atividade impulsionada por IA aumentou 89% ano a ano, com grupos criminosos e atores patrocinados por estados utilizando a tecnologia para varreduras de rede, despejo de credenciais e ocultação de rastros.

    Atores estatais e grupos criminosos intensificam o uso de ia

    Diversos grupos conhecidos ampliaram seu uso de IA em 2025. O FANCY BEAR, ligado à Rússia, utilizou o malware LAMEHUG, habilitado para LLM (Large Language Model), para automatizar o reconhecimento e a coleta de documentos. O grupo de e-crime PUNK SPIDER empregou scripts gerados por IA para acelerar o despejo de credenciais e apagar evidências forenses.

    O FAMOUS CHOLLIMA, associado à Coreia do Norte, criou personas geradas por IA para expandir operações internas. A atividade ligada à China aumentou 38% em 2025, com empresas de logística registrando um aumento de 85% nos ataques. Dois terços das vulnerabilidades exploradas por atores chineses concederam acesso imediato ao sistema, e 40% focaram em dispositivos de borda expostos à internet. A Coreia do Norte, por sua vez, viu os incidentes do FAMOUS CHOLLIMA mais que dobrarem, e o grupo PRESSURE CHOLLIMA realizou um roubo de criptomoedas de US$ 1,46 bilhão, o maior roubo financeiro individual reportado até o momento.

    Novas táticas de ataque: zero-days, nuvem e captchas falsos

    O relatório também aponta para o aumento da exploração de vulnerabilidades “zero-day”, com cerca de 42% delas sendo abusadas antes mesmo de serem divulgadas publicamente. Essas falhas foram usadas para acesso inicial, execução remota de código e escalonamento de privilégios.

    Intrusões focadas na nuvem cresceram 37% no geral, e entre os atores estatais, os ataques a ambientes de nuvem saltaram 266%, frequentemente para coleta de inteligência. Outra mudança notável é o uso de páginas CAPTCHA falsas, que aumentou 563%. Em vez de verificar usuários, essas páginas enganam as vítimas para que baixem malware, substituindo a tática de prompts falsos de atualização de navegador.

    Em 2025, o adversário evasivo confiou em relacionamentos de confiança – parceiros da cadeia de suprimentos, softwares legítimos, sistemas internos e até funcionários – para entrar e permanecer oculto, evidenciando a complexidade da detecção.

    Uma corrida armamentista de ia: o alerta da crowdstrike

    “Esta é uma corrida armamentista de IA”, afirmou Adam Meyers, chefe de operações de contra-adversários da CrowdStrike. “O tempo de eclosão é o sinal mais claro de como a intrusão mudou. Os adversários estão se movendo do acesso inicial para o movimento lateral em minutos. A IA está comprimindo o tempo entre a intenção e a execução, enquanto transforma os sistemas de IA empresariais em alvos. As equipes de segurança devem operar mais rápido que o adversário para vencer.”

    Os números apresentados pelo relatório da CrowdStrike são um lembrete contundente: a velocidade define os ataques modernos. À medida que o uso da IA se expande nas empresas, a pressão sobre as equipes de segurança para acompanhar e superar os adversários também aumenta, tornando a agilidade e a inteligência defensiva mais cruciais do que nunca.