Segurança em IA: Desafios e Lições Reais Até para o Google
O avanço acelerado da inteligência artificial (IA) trouxe à tona um desafio crítico e urgente: a segurança dos sistemas baseados em IA. Recentemente, Francis de Souza, COO do Google Cloud, compartilhou insights valiosos sobre como empresas, inclusive gigantes como o Google, estão lidando com esse cenário em constante transformação.
A transição inevitável na segurança de IA
De Souza enfatizou que estamos vivendo um período de transição onde as práticas tradicionais de segurança não acompanham a velocidade das ameaças. Segundo ele, a segurança não pode mais ser um elemento adicionado tardiamente ou deixado exclusivamente aos cuidados dos funcionários. É preciso uma estratégia integrada que combine IA, dados e segurança desde o início do projeto.
Essa integração, na visão do executivo, deve ser abordada como uma plataforma, com governança e auditabilidade embutidas, para evitar o fenômeno do "shadow AI" — o uso de ferramentas de IA por funcionários sem supervisão organizacional, o que pode gerar vulnerabilidades graves.
Multicloud e a complexidade da defesa
Outro ponto destacado por de Souza é que poucas empresas operam exclusivamente em uma única nuvem. Mesmo que escolham um provedor principal, dependem de múltiplos serviços SaaS e parceiros em diferentes clouds. Portanto, a postura de segurança precisa ser consistente e abrangente, protegendo dados, modelos, pipelines e agentes de IA em todos os ambientes.
Ele também alertou para a rapidez das brechas: o tempo médio entre uma invasão inicial e a próxima etapa de ataque caiu de oito horas para apenas 22 segundos, exigindo defesas que operem em velocidade equivalente à das ameaças.
Riscos pouco percebidos: agentes e dados esquecidos
De Souza chamou atenção para um risco frequentemente negligenciado — agentes de IA que exploram sistemas internos podem revelar repositórios de dados antigos, como servidores SharePoint desatualizados, expondo informações que a organização sequer sabia que existiam.
Automação na defesa: humanos supervisionando agentes autônomos
Para enfrentar essa complexidade, a resposta está na automação avançada. O Google Cloud já trabalha com defesas nativas de IA, onde agentes autônomos monitoram e respondem a ameaças em tempo real, com humanos atuando como supervisores, não como operadores diretos. Essa mudança eleva a segurança a um tema estratégico para conselhos e equipes executivas, não apenas para times técnicos.
Desafios práticos: falhas recentes na segurança do Google Cloud
Apesar das recomendações, casos recentes expõem lacunas reais. Desenvolvedores do Google Cloud relataram cobranças inesperadas de cinco dígitos causadas por uso não autorizado de APIs dos modelos Gemini, devido a chaves de API públicas que passaram a ter escopo ampliado sem aviso claro da empresa.
Exemplos incluem uma fatura de US$ 10.138 em 30 minutos e outra de AUD 17.000, mesmo com limites de gastos configurados. O Google reembolsou os usuários após a divulgação dos casos, mas mantém a política de aumento automático dos limites para evitar interrupções de serviço, priorizando disponibilidade em detrimento do controle financeiro dos clientes.
Além disso, um estudo da empresa de segurança Aikido revelou que, mesmo após a exclusão das chaves de API comprometidas, hackers ainda conseguem usá-las por até 23 minutos devido à propagação lenta da revogação nos sistemas do Google. Formatos mais recentes de credenciais revogam em segundos ou minutos, indicando que o problema é mais uma escolha de prioridade do que uma limitação técnica.
Considerações finais para empresas e líderes
O cenário atual aponta para um descompasso entre as recomendações dos especialistas e a velocidade com que as plataformas se adaptam. A segurança em IA é um desafio multifacetado que exige atenção imediata e contínua, investimentos em tecnologias autônomas de defesa e, sobretudo, envolvimento direto da alta liderança das organizações.
Enquanto a indústria ainda busca compreender e dominar a segurança em IA de forma sustentável, as lições aprendidas com os próprios gigantes tecnológicos são um alerta para que empresas de todos os tamanhos não subestimem os riscos e preparem suas estratégias de forma integrada e proativa.