Já em 2016, o físico Stephen Hawking disse que “a inteligência artificial será a melhor ou a pior coisa que já aconteceu para a humanidade”, transformando todos os aspectos da nossa vida de maneira boa ou ruim, a depender de como lidaremos com ela. Para Rony Vainzof, advogado especializado em direito digital e sócio do VLK Advogados, a avaliação de Hawking serve exatamente para as questões que envolvem segurança cibernética, seja para o bem, seja para o mal.
Ele e Paulo Martins, diretor de Segurança da Informação da Claro empresas, trataram do tema no Web Summit Rio 2025, sob a ótica de que “a IA tem uma série de cuidados a serem discutidos, mas é uma das tantas revoluções pelas quais a humanidade já passou, como no caso da energia elétrica e da máquina a vapor”, definiu Martins. “Em outras palavras: é uma revolução sem volta”, completou.
Para Vainzof, conceituar a IA corretamente é o primeiro passo para entender como ela pode agir positiva ou negativamente na cibersegurança. “A IA calcula a probabilidade para encaixar uma palavra depois da outra e com isso constrói sentenças gramaticalmente perfeitas, mesmo sem saber o sentido das palavras, frases ou qualquer conteúdo que produz. Ela também não tem qualquer entendimento do mundo, nem senso comum e muito menos compromisso com a realidade”, disse.
Fazer essa distinção é uma progressão lógica para que a natureza e os riscos do uso da IA sejam aplicadas de forma correta também no aspecto da cibersegurança. E, mesmo assim, há desafios.
Desafios da IA em cibersegurança
O primeiro deles envolve os riscos presentes no uso da IA. É o caso de compartilhamento de código-fonte confidencial por programadores que usam a tecnologia como aliada, ou mesmo de gravações de reuniões para otimização ou conversão em notas.
Os especialistas da Claro empresas e do VLK chamam a atenção para a governança de IA nesses casos, partindo do princípio de que as informações confidenciais devem ser compartilhadas apenas em sistemas devidamente particularizados e seguros.
A alucinação da IA também é um risco que deve ser mapeado. Um estudo da Universidade de Stanford apresenta resultados de um ranking de alucinação dos principais aplicativos de IA generativa, concluindo que sistemas alucinam a taxas de até 3%, sendo que o GLM e o Gemini ficaram empatados com a menor taxa de alucinação (1,3%), seguidos pelos modelos o1-mini e GPT-4o, com taxas de alucinação de 1,4% e 1,5%, respectivamente.
“Apesar dos avanços significativos, os modelos de linguagem de grande porte (LLMs) ainda enfrentam desafios relacionados a imprecisões factuais e alucinações, muitas vezes gerando informações que parecem confiáveis, mas são falsas”, escreve o relatório.
Segundo Vainzof, do VLK, um dos exemplos recentes inclui advogados que apresentaram petições judiciais com citações falsas, fabricadas por sistemas de LLM, comprometendo não diretamente a segurança cibernética, mas suas reputações.
Complementando os desafios acerca da IA, Martins, da Claro empresas, destacou a necessidade de infraestrutura robusta, falta de profissionais qualificados, excesso de confiança na tecnologia e a importância da boa governança. “E, se de um lado temos os criminosos entendendo esse cenário e usando cada vez mais IA para realizar ciberataques, de outro temos a possibilidade de as empresas utilizarem a tecnologia para detectar o que está sendo feito contra elas e continuar ampliando produtividade. Em resumo, é isso que chamamos de IA do bem e IA do mal”, disse.
IA do bem e IA do mal
Enquanto a IA do bem acelera contenção de incidentes, protege a continuidade do negócio, automatiza tarefas repetitivas, libera talentos para decisões estratégicas e identifica tendências e vulnerabilidades antecipadamente, a IA do mal automatiza ataques em larga escala. Isso inclui ataques personalizados e conteúdos falsos, disfarçando movimentos e manipulando dados de monitoramento para atrasar respostas e ampliar impactos.
“Os ataques básicos de phishing que se tornaram conhecidos e pouco efetivos para os fraudadores, por exemplo, agora ganham outra escala”, advertiu Vainzof.
O último relatório de custos por violações de dados da IBM (referente a 2024), mapeia que as empresas que não implementam IA extensivamente em prevenção (gestão da superfície de ataque, red-teaming e gerenciamento de postura), perdem, em média US$ 2,2 milhões com custos de violação em comparação com aquelas que utilizam. “E esse prejuízo tende a crescer, dado o número cada vez maior de ataques impulsionados pela IA”, disse o advogado do VLK.
No ano passado, a VIPRE Security Group mapeou que 40% dos phishings direcionados a empresas agora são gerados por IA. “Além disso, 60% dos destinatários caem em golpes de phishing gerados por inteligência artificial, segundo a Harvard Business Review”, pontuou.
Em outra via da IA do mal, a Deloitte mapeou que a tecnologia aumentará as perdas causadas por deep fakes e outros ataques em 32%, atingindo US$ 40 bilhões anuais até 2027. “Não sem motivo, 66% das organizações estão implementando IA para segurança em seus centros de operações, segundo a Bitget”, pontuou o especialista do VLK.
Como implantar IA com menos riscos
Nesse contexto, Paulo Martins indica que as empresas que decidem usar inteligência artificial precisam tratar riscos com a mesma prioridade que tratam produtividade. “A área de segurança da informação tem de estar junto das aplicações de IA, portanto. Porém, não no sentido de bloquear as ações, mas sim de ajudar com que as aplicações sejam tanto produtivas quanto seguras. Se não for assim, a segurança será deixada de lado”, defendeu.
Por fim, ele destacou a necessidade dos usuários entenderem como a IA funciona, para a utilizarem adequadamente. “Fazendo uma analogia, a inteligência artificial é um bom fofoqueiro. Ou seja, ela capta tudo que ‘vê’. Portanto, se ela tem boa base de dados e é provocada com as perguntas certas, a chance de ela devolver respostas adequadas é maior”, disse.
