IA “invisível”: 9 em cada 10 ferramentas de IA não passam pelo controle da TI
Recursos embutidos em apps como Zoom e Slack escapam dos controles tradicionais de segurança e podem comprometer informações estratégicas
Quase nove em cada 10 ferramentas de inteligência artificial usadas dentro das empresas funcionam sem que o time de TI sequer saiba. É o que mostra um estudo da LayerX que deve preocupar qualquer executivo: decisões estão sendo formatadas, reuniões resumidas e dados analisados sem o conhecimento – ou controle – das equipes responsáveis por proteger esses processos.
A IA não se limita a ferramentas famosas como o ChatGPT; ela já está embutida em softwares do dia a dia. O Zoom transcreve e resume reuniões, o Salesforce gera relatórios automaticamente, o Slack analisa conversas. Essas funções chegam por meio de atualizações invisíveis, que passam despercebidas pelo radar da TI, mesmo lidando com dados sensíveis.
A proliferação desordenada de recursos de IA acontece porque plataformas lançam funções “inteligentes” por padrão, deixando as empresas com dezenas ou até centenas de aplicativos paralelos. Em muitos casos, os times de TI monitoram apenas uma pequena parte deles.
Um relatório da plataforma de segurança Zluri apontou que quatro em cada cinco ferramentas de IA corporativas não são gerenciadas. Ou seja: os líderes não sabem quais dados estão sendo processados ou mesmo se esses recursos foram ativados.
O risco está justamente na forma como a IA chega. Ela não aparece como um novo software a ser avaliado, mas sim como uma atualização automática dentro de aplicativos já confiáveis.
Um dia o Slack é apenas aplicativo de mensagens corporativas; no outro, já está resumindo conversas e sugerindo ações, sem aviso prévio. Salesforce, Zoom e Microsoft 365 adicionam funções semelhantes, discretamente, e sem garantir que os times de compliance estejam cientes.
os sistemas em que as empresas confiam para se proteger estão mal equipados para esta nova realidade.
Ou seja, o verdadeiro perigo não está na IA visível, mas nas ferramentas ocultas que se infiltram no fluxo de trabalho. “O grande desafio não é governar a IA que você conhece. É descobrir e proteger a IA que você nem sabe que está lá”, afirma Gal Nakash, cofundador e diretor de produto da empresa de segurança Reco.
Essa lacuna transforma a IA de potencial aliada de produtividade em passivo corporativo. Recursos ativados silenciosamente escapam dos processos de compras e das revisões de segurança. Dados sensíveis podem ser processados sem supervisão.
“Se você não consegue ver onde a IA está rodando no seu ecossistema, não tem como gerenciar seu comportamento nem seus resultados”, diz Nakash.
GOVERNANÇA TRADICIONAL NÃO FUNCIONA COM IA INVISÍVEL
As ferramentas de segurança corporativa não foram feitas para essa nova realidade. Elas monitoram inventários de software e fazem revisões trimestrais, mas a IA embutida chega sem ser notada, como um botão ou recurso de fundo em aplicativos já aprovados.
O risco não é a instalação de novos programas, mas a liberação de novas capacidades: buscas que vasculham bases inteiras de dados, copilotos que redigem mensagens ou resumem documentos privados por padrão.
Dados recentes da Reco dão a dimensão do problema: 91% das ferramentas de IA dentro das empresas operam sem supervisão da TI. Pior: 8,5% das interações dos funcionários envolvem dados sensíveis, incluindo informações pessoais, dados de clientes e até financeiros – tudo processado por recursos que as equipes de segurança podem nem saber que estão ativos.
“As ferramentas tradicionais de segurança funcionam com inventários estáticos e avaliações periódicas”, explica Nakash. “Elas foram criadas para a era pré-IA, quando as mudanças aconteciam de forma lenta e visível.”
Na prática, isso significa que os próprios sistemas em que as empresas confiam para se proteger estão mal equipados para um mundo no qual fornecedores de software podem mudar as capacidades de um aplicativo da noite para o dia. Quando a revisão de segurança finalmente acontece, dados já podem ter sido expostos.
A APOSTA NA GOVERNANÇA DESDE O INÍCIO
Algumas companhias estão reagindo ao embutir a IA dentro de controles de governança desde o primeiro momento. O Maxen, solução de inteligência em comunicações da LeapXpert, é um exemplo.
Em vez de sobrepor modelos de linguagem a aplicativos de consumo, o Maxen funciona dentro dos padrões corporativos. O acesso é controlado por usuário, as saídas são explicáveis e registradas e os dados permanecem dentro dos limites do compliance.
Dima Gutzeit, CEO da LeapXpert, critica a pressa em lançar assistentes de IA em produtos sem priorizar a responsabilidade. “Muitos são lançados como acessório, priorizando a facilidade de uso em detrimento da prestação de contas”, afirma.
o verdadeiro perigo não está na IA visível, mas nas ferramentas ocultas que se infiltram no fluxo de trabalho.
A LeapXpert seguiu caminho oposto: construiu sua IA já integrada ao arcabouço de compliance, com controles de acesso, explicabilidade e retenção.
Esse modelo de governança não substitui ferramentas de segurança, mas as complementa. É preciso ter visibilidade em todas as plataformas SaaS para identificar recursos ocultos. Porém, assistentes desenhados para respeitar regras de auditoria e retenção reduzem o risco de vazamento de dados sensíveis.
O futuro da IA corporativa depende de transparência. Se não for possível ver onde ela está operando ou quais dados manipula, não há como proteger clientes, cumprir a lei ou confiar nos resultados que gera.
A boa notícia é que um caminho começa a se desenhar: descoberta em tempo real em todas as plataformas SaaS, combinada a assistentes construídos com vistas à governança desde o início. É dessa forma que as empresas podem abraçar a IA sem abrir mão do controle.
