José Sousa Gonçalves
A Inteligência Artificial deixou de ser uma promessa para se tornar uma parte essencial do nosso dia a dia. Desde sistemas de recomendação a plataformas de suporte clínico, abrangendo setores como o financeiro e telecomunicações, a IA está transformando indústrias e redefinindo modelos de negócios. Embora essa expansão traga benefícios inegáveis, também acarreta riscos significativos, especialmente quando a adoção ocorre de maneira massiva e, muitas vezes, apressada. Entre os principais desafios estão a violação da privacidade, a falta de transparência e o descumprimento regulamentar.
O último aspecto se torna especialmente relevante no contexto empresarial, à medida que novas normas surgem recomendando a integração de medidas de segurança desde a fase de concepção dos sistemas inteligentes. Atualmente, a questão não é se a IA será utilizada, mas como garantir que sua utilização seja segura, ética e em conformidade com a legislação vigente. É neste cenário que se destaca um novo domínio para a cibersegurança: a segurança aplicada à inteligência artificial.
As defesas tradicionais contra falhas de software já não são suficientes. Além das vulnerabilidades conhecidas, é essencial antecipar os riscos específicos dos sistemas inteligentes, como a manipulação de dados de treino ou os ataques adversariais. Esses riscos são intensificados pela democratização da IA: não é mais necessário ter grandes conhecimentos técnicos para explorar fragilidades, pois atualmente é possível comprometer um sistema apenas “dialogando” com ele.
Assim como o conceito de privacy by design moldou a proteção de dados, a segurança da IA deve ser considerada desde o início. A confiança só pode ser alcançada se a segurança estiver integrada em todas as fases do ciclo de vida da tecnologia, desde o planejamento até a utilização contínua, incluindo o desenvolvimento e a validação. Isso implica a combinação de práticas sólidas de cibersegurança com princípios de ética digital e conformidade regulamentar.
Os riscos de desconsiderar essa abordagem são excessivamente elevados. No setor de telecomunicações, algoritmos que gerenciam a interação automática com os usuários podem expor dados pessoais sensíveis, passíveis de exploração em campanhas de phishing. No setor de saúde, sistemas de diagnóstico baseados em IA precisam garantir a integridade e a confiabilidade das previsões, sob pena de comprometer a segurança do paciente. No setor financeiro, modelos que avaliam o risco de crédito ou detectam fraudes devem estar protegidos contra manipulações e viés, mantendo sua eficácia e conformidade com normas europeias e internacionais.
Um exemplo recente ilustra o impacto da falta de uma visão holística da segurança em um sistema baseado em IA. Pesquisadores descobriram vulnerabilidades na plataforma Yellow.ai, uma IA agêntica utilizada por empresas como Sony, Logitech e Hyundai. Conseguiram manipular o modelo para gerar instruções com código malicioso, que eram armazenadas nos sistemas da plataforma, permitindo que um atacante, ao interagir com o serviço de assistência, pudesse acessar dados sensíveis do operador humano. Este caso demonstra como técnicas de ataque “clássicas”, como XSS, podem ser combinadas com ataques a modelos de IA, aumentando o risco de comprometimento de organizações inteiras.
O futuro da IA dependerá da capacidade das empresas de adotarem estruturas de segurança robustas, alinhadas com as diretrizes da União Europeia e com padrões globais emergentes. A mensagem é clara: é preciso agir imediatamente. Incorporar segurança, ética e conformidade na base dos sistemas de IA não é apenas uma vantagem competitiva, mas uma condição essencial para garantir uma inovação sustentável e proteger a sociedade digital em que vivemos.
Application Security Analyst na Celfocus
