Estudo revela Shadow AI como novo vetor de risco nas empresas; relatório mostra alta no compartilhamento de dados confidenciais com aplicações de IA.
O uso de ferramentas de inteligência artificial generativa (genAI) em ambientes corporativos deu um salto expressivo — e preocupante. Um levantamento divulgado pela Netskope, especializada em segurança de redes, aponta um crescimento de 30 vezes no volume de dados enviados por usuários corporativos a aplicações de IA generativa nos últimos 12 meses. O mais alarmante: boa parte desse tráfego envolve dados confidenciais, como códigos-fonte, credenciais de acesso, dados regulamentados e propriedade intelectual.
O relatório mostra que a expansão acelerada do uso dessas ferramentas — como ChatGPT, Google Gemini e GitHub Copilot — está ocorrendo, na maior parte dos casos, fora da alçada dos times de segurança. Trata-se de um fenômeno classificado no estudo como shadow AI, o uso não supervisionado de tecnologias de IA dentro das organizações. Segundo o levantamento, 72% dos usuários corporativos acessam ferramentas genAI por meio de contas pessoais, sem qualquer controle formal.
“A shadow IT evoluiu para shadow AI. Apesar dos esforços das empresas para estabelecer governança sobre essas tecnologias, quase três quartos dos usuários ainda utilizam suas próprias contas para acessar aplicações genAI. Isso amplia o risco de perda de dados sensíveis”, alerta James Robinson, CISO da Netskop
O cenário atual: adoção disseminada e risco invisível
O “Relatório de Ameaças e Nuvem de IA Generativa 2025”, produzido pelo laboratório de pesquisa Netskope Threat Labs, revela que o uso de genAI deixou de ser pontual: 75% dos usuários corporativos já acessam alguma aplicação com recursos de IA generativa, muitas vezes sem ter clareza sobre os riscos envolvidos.
Ao todo, a Netskope identificou o uso de 317 aplicações com funcionalidades de genAI nos ambientes monitorados. O problema, segundo especialistas, é que essa popularização ocorre em paralelo à falta de políticas internas robustas, o que torna a ameaça interna não-intencional um dos maiores pontos de fragilidade das organizações.
Ray Canzanese, diretor do Netskope Threat Labs, resume o desafio: “A genAI não é mais uma tendência emergente — ela está integrada a quase tudo. O risco de vazamento de dados sensíveis, que podem acabar sendo usados para treinar novos modelos de IA, cresce na mesma proporção que a adesão descontrolada a essas tecnologias.”
Estratégias corporativas: da contenção à adaptação
O relatório também aponta que quase 100% das empresas já estão adotando políticas de contenção ao uso de IA, seja por bloqueio direto ao acesso, seja por meio de controles sobre quais dados podem ser compartilhados. Mas a maioria ainda não tem uma estratégia de governança adaptada à nova realidade.
Entre as principais recomendações estão:
- Mapear o uso de genAI: identificar quais aplicações estão sendo utilizadas, por quem e com qual finalidade.
- Reforçar políticas de segurança: implementar ferramentas de DLP (prevenção contra perda de dados) para impedir o envio de informações sensíveis a ferramentas não autorizadas.
- Capacitar os colaboradores: promover treinamentos e alertas em tempo real sobre riscos e boas práticas.
- Revisar controles locais: caso a empresa utilize infraestrutura própria de IA, aplicar referências como o OWASP Top 10 para LLMs, o NIST AI RMF e o MITRE ATLAS.
A corrida pela infraestrutura local
Uma tendência detectada pelo estudo é a migração de parte das empresas para soluções de IA generativa rodando localmente. Em 2023, menos de 1% das organizações tinham infraestrutura local de genAI; hoje, esse número já chega a 54%.
Essa mudança visa minimizar o risco de exposição de dados em nuvem, mas não elimina desafios. A infraestrutura interna também está sujeita a falhas de configuração, vulnerabilidades na cadeia de suprimentos, vazamento de saídas de dados, entre outros riscos.
“À medida que os atacantes passam a utilizar IA para criar ameaças cada vez mais sofisticadas, as defesas também precisam ser generativas. Estamos em uma era de inovação inflacionada — e as regras do jogo estão sendo reescritas”, afirma Ari Giguere, VP de Segurança e Operações de Inteligência da Netskope.
O papel do CISO na nova era da IA corporativa
Com a inteligência artificial se tornando parte estrutural das operações e decisões empresariais, cabe aos CISOs e líderes de TI adotar uma abordagem holística. Isso envolve equilibrar inovação com segurança, permitir uso responsável de novas tecnologias e garantir que a empresa não comprometa sua integridade digital no processo.
O momento pede mais do que bloqueios pontuais ou políticas reativas. A gestão de riscos em IA requer visibilidade, controle e uma cultura organizacional que compreenda os benefícios da tecnologia — mas também seus limites e ameaças.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
