A incorporação acelerada de ferramentas de inteligência artificial (IA) em empresas está criando novas brechas para invasores digitais, afirmou o diretor-tecnológico da Wiz, Ami Luttwak, em entrevista ao podcast Equity, do TechCrunch.
Quem e o que — Segundo Luttwak, “cibersegurança é um jogo mental” e cada onda tecnológica oferece novas oportunidades aos atacantes. Com processos de desenvolvimento guiados por IA — prática que ele chama de “vibe coding” — programadores entregam código mais rápido, mas frequentemente deixam de lado controles essenciais de segurança, principalmente na autenticação de usuários.
Como — Testes realizados recentemente pela Wiz, comprada pelo Google neste ano por US$ 32 bilhões, identificaram implementações inseguras de autenticação em aplicações criadas por agentes de IA. “O agente faz exatamente o que se pede; se não exigir o modo mais seguro, ele não cria”, explicou.
Uso ofensivo da IA — Os criminosos também adotaram essa abordagem. De acordo com Luttwak, já é possível observar invasores utilizando prompts para instruir ferramentas de IA instaladas em empresas a revelar segredos, apagar arquivos ou desativar sistemas.
Casos recentes
Em agosto, o ataque batizado de s1ingularity comprometeu o sistema de builds Nx, popular entre desenvolvedores JavaScript. O malware detectava a presença de assistentes como Claude e Gemini, sequestrava suas rotinas e buscava dados sensíveis, resultando no roubo de milhares de tokens e chaves de acesso a repositórios privados no GitHub.
No mês passado, a startup Drift, fornecedora de chatbots de vendas baseados em IA, foi invadida. Os atacantes obtiveram tokens que permitiram se passar pelo chatbot e acessar dados do Salesforce de clientes corporativos, incluindo Cloudflare, Palo Alto Networks e Google. Segundo Luttwak, até o código malicioso usado na invasão foi gerado por “vibe coding”.
Apesar de estimar que apenas 1 % das grandes empresas adotou totalmente a IA, o executivo disse que a Wiz observa ataques semanais que afetam milhares de organizações. “A IA está presente em todas as etapas do ataque”, declarou.
Imagem: Getty
Resposta da Wiz
Fundada em 2020 com foco em identificar falhas de configuração e vulnerabilidades na nuvem, a Wiz ampliou sua oferta no último ano. Em setembro passado, lançou o Wiz Code, voltado à segurança durante o ciclo de desenvolvimento de software. Em abril, chegou o Wiz Defend, ferramenta de proteção em tempo de execução para ambientes em nuvem.
Orientações a startups e empresas
Luttwak aconselha companhias a não repassarem dados sensíveis a qualquer serviço de software como serviço (SaaS) de pequeno porte que prometa insights baseados em IA. Para startups, a recomendação é pensar em segurança e conformidade “desde o primeiro dia”, incluindo a contratação de um diretor de segurança da informação (CISO) mesmo com equipes enxutas. Ele lembra que a Wiz obteve certificação SOC 2 antes de escrever sua primeira linha de código, processo que considera mais simples em organizações menores.
Arquiteturas que mantêm as informações do cliente em ambiente próprio também são consideradas essenciais para quem pretende atender o mercado corporativo.
Cenário futuro — Para Luttwak, áreas como proteção contra phishing, segurança de e-mail, malware, endpoints, além de automação defensiva, permanecem abertas à inovação. “Se todas as frentes de segurança estão ganhando novos tipos de ataque, precisamos repensar cada uma delas”, concluiu.
Com informações de TechCrunch
