Para Ami Luttwak, diretor de tecnologia da empresa de segurança Wiz, entender segurança cibernética é, antes de tudo, “um jogo mental”. Em entrevista ao TechCrunch, ele destacou que cada nova onda tecnológica traz também novas portas de entrada para ataques. E, no momento, a bola da vez é a inteligência artificial.
O dilema: velocidade x segurança
Empresas do mundo todo estão correndo para adotar ferramentas de IA — seja para gerar código, automatizar tarefas ou aumentar a produtividade. O problema é que essa pressa costuma deixar brechas. Segundo testes da Wiz, aplicativos criados com ferramentas de codificação assistida por IA apresentaram falhas graves, principalmente em sistemas de autenticação, que deveriam proteger a identidade dos usuários.
Como explicou Luttwak, os agentes de IA fazem exatamente o que o desenvolvedor pede — se não houver instruções para priorizar segurança, ela simplesmente não acontece.
Hackers também usam IA
Não são só as empresas que aproveitam o poder da IA para acelerar processos. Hackers já estão usando agentes de IA, técnicas de prompt e automação para criar ataques mais rápidos e sofisticados. Eles chegam a explorar as próprias ferramentas de IA que empresas implementam internamente, o que pode abrir caminho para ataques à cadeia de suprimentos.
Foi o caso da startup Drift, que desenvolve chatbots de IA para vendas. Após ser invadida, dados de clientes de peso, como Google e Cloudflare, foram expostos. Os invasores usaram tokens digitais roubados para se passar pelo chatbot e acessar informações sensíveis.
Outro exemplo citado por Luttwak foi o ataque s1ingularity, em agosto. Nele, criminosos injetaram malware em uma ferramenta popular entre desenvolvedores JavaScript. O software malicioso detectava a presença de IAs como Claude e Gemini e as sequestrava para vasculhar sistemas em busca de dados confidenciais.
Startups: segurança desde o dia 1
Para Luttwak, a adoção empresarial da IA ainda é baixa — cerca de 1% das companhias —, mas os ataques já são frequentes. Por isso, ele defende que startups que trabalham com IA pensem em segurança antes mesmo de escrever a primeira linha de código.
“Desde o primeiro dia, você precisa ter um CISO (diretor de segurança da informação), mesmo que a equipe tenha só cinco pessoas”, disse. Segundo ele, ignorar essa etapa cria uma “dívida de segurança” difícil de resolver depois.
Isso significa implementar boas práticas desde cedo: autenticação robusta, auditoria, acesso controlado, login único e até conformidade com normas como SOC2. Além disso, arquiteturas devem priorizar que os dados dos clientes permaneçam no próprio ambiente deles, e não espalhados em servidores externos sem controle.
Oportunidades na era da IA
Apesar dos riscos, Luttwak vê esse momento como único para quem trabalha com segurança. Com ataques surgindo em todas as frentes — de phishing a malware —, há espaço para repensar soluções e criar inovações que aproveitem o potencial da IA também na defesa.
“O jogo está aberto”, concluiu. “Se todas as áreas de segurança estão sofrendo novos ataques, precisamos repensar cada parte da proteção digital.”
