A Segurança está mais Lenta que a IA
Enquanto empresas correm para adotar IA, o campo de batalha cibernético já opera em velocidade de máquina, mas a defesa ainda responde em velocidade humana.
Nos bastidores de um evento recente em Los Angeles, Francis de Souza, COO do Google Cloud e presidente da divisão de produtos de segurança, disse uma frase que, em sua aparente sobriedade, carrega uma das admissões mais reveladoras já feitas por um executivo de tecnologia de primeira linha: “Haverá um período de transição, e então acredito que chegaremos a um cenário melhor.” A declaração, feita com a cadência ponderada de quem escolhe cada palavra com precisão, não era otimismo corporativo. Era, pelo contrário, o reconhecimento público de que nem mesmo o Google (a empresa que praticamente inventou a infraestrutura de nuvem moderna) resolveu a equação da segurança na era da inteligência artificial. E se o próprio Google ainda está em transição, a pergunta incômoda que se impõe é: onde exatamente estão todas as outras empresas?
A resposta, para a maioria das organizações, é desconfortável. Durante a última década, segurança cibernética foi tratada como uma função de suporte, uma camada que se adicionava ao sistema depois que o sistema já existia. Firewalls, antivírus, protocolos de acesso… tudo era desenhado para proteger uma arquitetura que, em sua essência, já estava definida. O pressuposto, portanto, era o de que primeiro se constrói, depois se protege. E essa lógica, que já era frágil no mundo anterior à IA, tornou-se, no atual, insustentável.
O que De Souza articulou em Los Angeles, e que Ali Ghodsi, CEO da Databricks, vem reforçando com igual contundência desde o lançamento do Lakewatch na RSAC 2026, é que o cenário de ameaças não apenas mudou de grau, mas mudou de natureza. Ghodsi, ao afirmar que as organizações estão agora “lutando contra agentes com agentes”, não está fazendo uma metáfora. Está descrevendo, literalmente, o novo teatro de operações, que no campo de batalha, contam com ataques impulsionados por inteligência artificial que exploram vulnerabilidades em horas, não em semanas. E, diante desta nova realidade, sistemas desatualizados de monitoramento e fluxos de trabalho conduzidos por humanos simplesmente não conseguem mais acompanhar o ritmo dos atacantes, afinal, o novo tempo médio entre uma violação inicial e a progressão para a próxima etapa de um ataque caiu, segundo De Souza, de oito horas para vinte e dois segundos. Isso não é uma compressão. É um colapso temporal. E, nesse novo ritmo, a defesa que depende de decisão humana para cada passo deixa de ser lenta e passa a ser, na prática, inexistente.
A superfície de ataque, por sua vez, se expandiu de maneira que os modelos tradicionais de perímetro sequer conseguem mapear, pois desde a ascensão dos LLMs, a cibersegurança não se trata mais apenas de proteger servidores ou redes locais. Agora, nas empresas, existem modelos de linguagem em produção, pipelines de dados usados para treiná-los, agentes autônomos executando tarefas, prompts que carregam instruções sensíveis e cadeias inteiras de decisão automatizada que operam sem supervisão humana direta. Como De Souza pontuou com clareza: “Além da infraestrutura usual, agora você tem modelos. Você tem pipelines de dados usados para treinar os modelos. Você tem agentes, você tem prompts. Tudo isso precisa ser protegido.” Ou seja, o que ele quis dizer é que cada novo componente de IA que uma empresa implanta é, simultaneamente, uma capacidade e uma vulnerabilidade. E a velocidade com que essas capacidades estão sendo implantadas supera, por larga margem, a velocidade com que estão sendo protegidas.
Há, contudo, uma dimensão dessa equação que transcende a tecnologia e atinge diretamente o valor econômico das organizações, e é precisamente aqui que o tema deixa de ser uma preocupação exclusiva de equipes de TI e se torna uma questão de diretoria. Pesquisas recentes da Delinea e da Security Magazine apontam que 58% dos consumidores perdem a confiança em uma marca após uma violação de dados, e 70% afirmam que deixariam de fazer negócios por completo. Empresas que sofreram incidentes de segurança registraram aumentos de até 7% na taxa de cancelamento de clientes, o que, em escala, se traduz em milhões em receita perdida. A erosão, portanto, não é apenas reputacional; é financeira, mensurável e, em muitos casos, irreversível. E quando se considera que, segundo a Forbes Research 2025 CxO Growth Survey, mais da metade dos CMOs já lista o fortalecimento da privacidade e proteção de dados como prioridade máxima, e quase três quartos consideram a governança de dados robusta essencial para navegar os riscos introduzidos pela IA, fica evidente que a segurança cibernética migrou, nas entrelinhas, do domínio operacional para um dos centros da estratégia de marca.
Essa convergência entre segurança, dados e valor de marca não é casual, pois ela reflete uma mudança estrutural na forma como as organizações criam e sustentam confiança. Em um mundo onde o marketing é cada vez mais impulsionado por IA, onde a personalização depende de dados granulares e onde a experiência do cliente é orquestrada por agentes autônomos, a integridade da base de dados deve deixar de ser um requisito técnico e passar a ser um dos alicerces sobre o qual toda a operação de engajamento se sustenta. Deste modo, equipes de marketing que não participam das decisões arquitetônicas sobre onde e como os dados são armazenados, governados e protegidos correm um risco duplo: o de serem marginalizadas internamente e o de herdarem, sem qualquer controle, as consequências de falhas de segurança que impactam diretamente a lealdade e a receita.
E é justamente nesse ponto que a resposta proposta por De Souza ganha sua dimensão mais provocativa. A solução, segundo ele, é igualar a velocidade das máquinas à velocidade das máquinas. Não mais uma defesa liderada por humanos, ou sequer um humano no circuito decisório de cada resposta, mas humanos supervisionando uma defesa totalmente automatizada e nativa de IA, onde agentes conduzem a proteção em tempo real. Contudo, a proposição é, em sua essência, paradoxal, afinal, faz sentido, para se proteger da IA, usar IA? A resposta do mercado, aparentemente, é não só que faz, mas que quem hesitar nessa adoção, seja por cautela regulatória, limitação orçamentária ou inércia organizacional, ficará exposto a ameaças que operam em uma escala temporal que a cognição humana simplesmente não alcança.
Entre no canal Entrelinhas no WhatsApp e siga nosso Instagram: informação rápida, em tempo real, que tangibilizam as transformações.
A dimensão geopolítica dessa equação tampouco pode ser ignorada, e os eventos das últimas semanas em Washington ilustram essa tensão que paira sobre o tema. A administração Trump preparou uma ordem executiva ambiciosa, estruturada em dois pilares: proteção cibernética e regulação dos chamados “modelos de fronteira”, que previa, entre outras medidas, a revisão voluntária de modelos avançados de IA pelo governo federal antes de seu lançamento comercial. O texto, porém, foi abruptamente retirado pelo próprio presidente horas antes da assinatura, sob a justificativa de que poderia prejudicar a competitividade dos Estados Unidos frente à China. Assim, a frase e o recuo de Trump são reveladores por ilustrarem esse embate entre segurança e regulação vs liberdade de inovação: “Estamos liderando a China, estamos liderando todos, e não quero fazer nada que atrapalhe essa liderança.”
De um lado, setores ligados à segurança nacional compreendem que modelos cada vez mais capazes representam riscos reais à infraestrutura crítica e exigem, no mínimo, mecanismos de mitigação. De outro, setores ligados ao mercado e à competitividade temem que qualquer restrição, ainda que voluntária, funcione como um freio à inovação em um momento em que a corrida geopolítica pela supremacia em IA não admite pausas. O resultado é uma paralisia, onde o governo mais poderoso do mundo reconhece que precisa agir, mas não consegue agir sem desagradar uma das duas forças que sustentam sua agenda. E enquanto essa tensão permanece irresolvida, empresas operam em um vácuo regulatório onde as regras são, na melhor das hipóteses, sugeridas, e, na pior, inexistentes.
Por fim, talvez a entrelinha mais importante que podemos tirar disso tudo está dentro do que foi dito, tanto por De Souza quanto por Ghodsi, mas que nenhum dos dois disse explicitamente, apenas deixaram transparecer: não existe estratégia de IA sem uma estratégia de segurança, e não existe estratégia de segurança que funcione se for concebida depois da estratégia de IA. As duas precisam nascer juntas, crescer juntas e evoluir juntas. Porque, no fim, a empresa que dominar a IA sem protegê-la construirá um ativo que é, ao mesmo tempo, sua maior vantagem e sua maior vulnerabilidade. E essa ambiguidade, longe de ser um problema técnico, é, na verdade, o dilema estratégico central da próxima década.
