logo-nexoria-tag-alt
Fale conosco
nx-botton
IA generativa Nexoria

Onde estamos até o momento em proteção de IA generativa

  • 4 min

Desde o início de 2025, dedicamos uma quantidade significativa de energia e pensamento estratégico aqui na Nexoria para estruturar o que hoje chamamos de nosso hub de soluções para proteção e governança de Inteligência Artificial. Foi uma jornada intensa de curadoria e validação técnica, mas hoje, ao olharmos para o nosso portfólio, temos a convicção de que construímos uma oferta capaz de atender aos desafios mais complexos e urgentes que o mercado enfrenta. Não se trata apenas de revender ferramentas, mas de entender a arquitetura do problema diante da IA generativa.

Essa convicção não nasceu no vácuo. Nos últimos meses, tenho mantido conversas profundas com executivos de cibersegurança de grandes empresas, especialmente nos setores de varejo, finanças e indústria. O que percebi é que, independentemente do segmento, as ansiedades convergem para três preocupações principais que estão tirando o sono dos CISOs.  

A primeira delas é o Shadow AI. O termo pode parecer familiar, remetendo ao antigo “Shadow IT”, mas a velocidade e o impacto aqui são exponencialmente maiores. Estamos falando do uso não autorizado e não monitorado de ferramentas de IA generativa pelos colaboradores. A preocupação objetiva aqui não é apenas a perda de produtividade, mas o vazamento silencioso de propriedade intelectual e dados sensíveis. Quando um funcionário insere uma estratégia de mercado ou um código proprietário em um modelo público para “agilizar” o trabalho, esses dados deixam o perímetro da empresa irreversivelmente. 

A segunda grande preocupação gira em torno da proteção de IAs proprietárias, e aqui o contexto do OWASP Top 10 para LLMs (Large Language Models) se torna crucial. As empresas estão construindo seus próprios modelos para interface com clientes, fornecedores e o público em geral. Isso abre portas para vulnerabilidades específicas, como a injeção de prompt e a manipulação de saídas. Já há casos práticos sobre isso. O bot de uma concessionária da GM ofereceu a um cliente um veículo por USD 1 dólar em uma oferta vinculante. Não é apenas sobre proteger o dado, mas garantir que o modelo não seja “envenenado” ou manipulado para agir contra os interesses da organização. 

Por fim, e talvez o ponto mais emergente dessas conversas, é a segurança dos agentes de IA e dos protocolos MCP (Model Context Protocol), um tema ainda muito recente. Agentes e MCP surgiram este ano! Para quem ainda não está familiarizado, o MCP é um padrão aberto que permite aos assistentes de IA se conectarem a sistemas onde os dados vivem (como repositórios de conteúdo ou ferramentas de negócios) de forma segura e padronizada. A segurança desses protocolos é vital porque eles são as “pontes” que permitem à IA agir no mundo real. Se a segurança de um protocolo MCP for comprometida, um atacante não apenas rouba dados, mas pode instruir a IA a executar ações dentro dos sistemas corporativos, transformando o assistente virtual em um vetor de ataque interno. 

Neste cenário complexo, entendemos na Nexoria que a defesa precisa ser estruturada em três grandes instâncias: a proteção dos usuários, garantindo que suas interações sejam seguras; a proteção das aplicações, blindando o software que integra a IA; e a proteção da infraestrutura, onde os modelos são treinados e executados.  

É natural que, diante de tanta novidade, surja a dúvida financeira. Qual é o custo de se adotar uma solução hoje que pode estar defasada amanhã? É uma pergunta válida, mas perigosa se for a única a ser feita. A verdadeira questão que deve nortear a estratégia é: qual é o custo de não proteger o seu ambiente de IA? Na dinâmica implacável da segurança digital, as empresas vivem em um estado de defesa constante, precisando acertar 100% do tempo, enquanto o atacante precisa de apenas uma oportunidade, uma única brecha, para colocar toda a operação em risco. O custo da inação, neste caso, supera em muito o risco da obsolescência tecnológica. 

Isso se torna ainda mais crítico quando observamos a sofisticação dos ataques. Aqueles truques simples de engenharia de prompt, como o clássico “Ignore suas instruções anteriores e faça isso”, já são relíquias do passado. Hoje, enfrentamos ameaças muito mais sutis e perigosas. Vemos prompts maliciosos escondidos dentro de linhas de código aparentemente inofensivas, ou técnicas de esteganografia onde comandos são ocultados dentro de imagens que, ao serem analisadas por uma IA multimodal, ativam comportamentos maliciosos. Vemos até ataques baseados em prompts traduzidos para línguas estrangeiras ou dialetos raros para burlar os filtros de segurança padrão, além de técnicas de “jailbreak” que usam lógica complexa e encadeamento de pensamentos para confundir os alinhamentos éticos do modelo. 

Em linhas gerais, a cibersegurança clássica lida com ataques determinísticos. Pense em um ataque de injeção de SQL ou um malware tradicional: se você enviar o mesmo código malicioso dez vezes, o sistema vulnerável reagirá da mesma forma dez vezes. A entrada “A” sempre produz a saída “B”. Isso permite criar assinaturas e regras fixas de bloqueio. 

Por outro lado, os ataques de IA generativa são não determinísticos. Devido à natureza probabilística dos LLMs, o mesmo prompt malicioso pode gerar respostas diferentes em momentos diferentes. Um ataque pode funcionar agora e falhar daqui a cinco minutos, ou vice-versa. Além disso, a “linguagem” do ataque é fluida; não há uma assinatura de código fixa, mas sim uma intenção semântica que pode ser expressa de infinitas maneiras. Tentar proteger IA com ferramentas determinísticas é como tentar segurar água com uma peneira. É por isso que a nossa aposta na Nexoria é em soluções que entendam essa natureza probabilística e ofereçam uma governança adaptativa, capaz de evoluir na mesma velocidade que os atacantes. 

Diante dessa nova realidade, o convite que fazemos ao mercado não é para o medo, mas para a preparação estratégica. A Nexoria se posiciona justamente como o parceiro capaz de navegar por essa complexidade, trazendo para a mesa um portfólio de tecnologias de ponta que transformam a governança de IA de um obstáculo em um habilitador de inovação segura. Se a sua empresa está pronta para explorar o potencial da Inteligência Artificial sem comprometer seus ativos mais valiosos, é hora de conversarmos sobre como nossa estrutura comercial e nosso hub de soluções podem blindar o seu futuro contra as incertezas do presente. 

Foto de Rodrigo Castro

Rodrigo Castro

Rodrigo Castro é Diretor Geral da Nexoria. Ele tem mais de 20 anos de experiência em consultoria e está constantemente em busca de soluções digitais transformadoras que ajudem empresas a enfrentarem seus riscos digitais com resiliência.

Publicações recentes

Veja todos

Alteryx: um aliado estratégico para a governança de dados nas organizações

  • 5 min
Saiba mais
microsoft defender

Microsoft Defender é reconhecido como Líder no Gartner Magic Quadrant 2025 para Proteção de Endpoints

  • 3 min
Saiba mais
gestão de vulnerabilidades

Do inventário ao risco real: a evolução natural da gestão de vulnerabilidades

  • 3 min
Saiba mais
Logotipo Nexoria
é uma empresa
Logotipo ICTS
Huge-linkedin-01 Huge-instagram
Selo GPTW
Selo Pró Ética

©2025 ICTS. Todos os direitos reservados. Os direitos de propriedade intelectual nas páginas do site da ICTS e o conteúdo disponível através das mesmas pertencem à ICTS, bem como todos os outros direitos de propriedade intelectual, direitos autorais, sobre patentes e bancos de dados, direitos sobre marcas, projetos, know-how e informações confidenciais registradas ou não registradas.

Nexoria todos os direitos reservados

Logotipo Nexoria