De vazamentos de dados a códigos vulneráveis, entenda os riscos do uso não autorizado de ferramentas de inteligência artificial e descubra como proteger sua empresa contra a Shadow AI.
17 Nov 2025
•
,
6 min. read
A Shadow IT (ou TI invisível) tem sido há muito tempo uma dor de cabeça para as equipes de cibersegurança. O cenário fica ainda mais complexo com a escala, o alcance e o poder da inteligência artificial (IA), que transformam a chamada Shadow AI em uma nova preocupação para qualquer responsável de TI ou de cibersegurança. Afinal, não se pode gerenciar nem proteger aquilo que não se enxerga. Caso isso ainda não tenha sido feito, este pode ser o momento de analisar o que talvez seja sua maior lacuna de visibilidade em cibersegurança.
O que é Shadow AI?
As ferramentas de inteligência artificial (IA) fazem parte das TI corporativas há anos. Elas têm ajudado as equipes de cibersegurança a detectar atividades incomuns e a filtrar ameaças como spam desde o início dos anos 2000. Mas, desde o grande sucesso do ChatGPT, o chatbot da OpenAI que alcançou 100 milhões de usuários em seus dois primeiros meses, os colaboradores ficaram cativados pelo potencial da IA generativa para simplificar tarefas e torná
Ainda assim, muitas organizações não reagiram com a mesma rapidez e essa demora abriu um vácuo que os usuários estão preenchendo por conta própria. Segundo a Microsoft, 78% de quem utiliza IA o faz com ferramentas próprias, e 60% dos responsáveis de TI temem que a liderança não tenha um plano claro para regular seu uso.
O risco se alimenta das brechas entre as políticas de uso para todos os colaboradores da organização. Chatbots populares como o ChatGPT, o Gemini ou o Claude agora podem ser usados e/ou baixados em um telefone pessoal ou qualquer dispositivo para trabalhar de casa, reduzindo a carga de trabalho, encurtando prazos e liberando tempo para atividades de maior valor.
Além dos modelos públicos de IA
Aplicativos independentes como o ChatGPT são uma parte importante do desafio representado pela Shadow AI, mas não abrangem todo o problema. A tecnologia também pode infiltrar-se na empresa por meio de extensões de navegador ou até por funções embutidas em produtos legítimos de software empresarial que os usuários ativam sem o conhecimento da área de TI.
Some-se a isso a “IA de agentes”: a próxima onda de inovação concentra-se em agentes autônomos projetados para executar tarefas específicas de forma independente. Sem os controles adequados, eles podem acessar repositórios de dados confidenciais e realizar ações não autorizadas ou maliciosas. Quando o incidente é percebido, pode já ser tarde.
Quais são os riscos da Shadow AI?
Todos esses cenários representam riscos significativos de cibersegurança e conformidade para as organizações. Consideremos primeiro o uso não autorizado de modelos públicos de IA: a cada solicitação, existe o perigo de que colaboradores compartilhem dados sensíveis ou regulados, como notas de reuniões, propriedade intelectual, código ou informações pessoalmente identificáveis de clientes e de pessoas colaboradoras. Tudo o que é inserido pode ser usado para treinar o modelo e, consequentemente, ser reproduzido para outros usuários no futuro. Além disso, os dados ficam armazenados em servidores de terceiros, possivelmente em jurisdições que não seguem os mesmos padrões de segurança e privacidade da sua organização.
Isso não será bem recebido pelos órgãos reguladores de proteção de dados (como LGPD, GDPR, CCPA, entre outros). Além disso, expõe ainda mais a organização ao permitir, potencialmente, que funcionários do provedor do chatbot acessem informações sensíveis. Os dados também podem vazar ou ser comprometidos por esse provedor, como ocorreu recentemente com o fornecedor chinês DeepSeek.
Os chatbots podem conter vulnerabilidades de software ou backdoors que, sem que se perceba, expõem a organização a ameaças específicas. Além disso, qualquer colaborador ou colaboradora que baixe um chatbot para trabalhar pode instalar acidentalmente uma versão maliciosa projetada para roubar informações do seu dispositivo. Existem numerosas ferramentas de IA generativa falsas criadas explicitamente com esse objetivo.
Os riscos vão além da exposição de dados. O uso não autorizado de ferramentas de codificação, por exemplo, pode introduzir erros exploráveis em produtos voltados ao cliente se os resultados não forem devidamente revisados. Mesmo o uso de ferramentas analíticas baseadas em IA pode ser perigoso se os modelos tiverem sido treinados com dados enviesados ou de baixa qualidade, o que pode levar a decisões equivocadas e impactar a estratégia do negócio.
Os agentes de IA também podem introduzir conteúdo falso, código defeituoso ou executar ações não autorizadas sem que seus supervisores humanos percebam. As contas de que esses agentes precisam para operar podem se tornar alvos frequentes de sequestro se suas identidades digitais não forem gerenciadas com segurança.
Alguns desses riscos ainda são teóricos, mas outros são muito reais. De fato, a IBM aponta que, no ano passado, 20% das organizações sofreram um vazamento de dados ligada a incidentes de segurança relacionados à Shadow AI. Naquelas com altos níveis de uso não controlado, o custo médio de um vazamento pode aumentar em até US$ 670 mil dólares (cerca de R$ 3,53 milhões). As infrações associadas à inteligência artificial “invisíveis” podem causar prejuízos financeiros e reputacionais significativos, incluindo sanções por descumprimento regulatório. Mas decisões de negócio baseadas em resultados defeituosos ou corrompidos podem ser igualmente prejudiciais, senão mais, sobretudo porque provavelmente passarão despercebidas.
Luz nas sombras
Adicionar cada nova ferramenta não autorizada a uma “lista de bloqueados” não será suficiente para mitigar o risco. É fundamental reconhecer que essas tecnologias estão sendo usadas, compreender em que medida e com quais objetivos e, em seguida, definir uma política realista de uso aceitável. Isso deve ser complementado por testes internos e diligência prévia sobre os fornecedores de IA, para identificar riscos de segurança e de conformidade em ferramentas específicas.
Não existem duas organizações iguais, portanto as políticas devem ser adaptadas ao apetite de risco corporativo. Quando determinadas ferramentas estiverem proibidas, ofereça alternativas que facilitem a migração dos usuários. Além disso, estabeleça um processo ágil para que os colaboradores solicitem acesso a novas ferramentas ainda não avaliadas.
Combine essas ações com formação para os usuários e usuárias finais. Explique à equipe os riscos associados ao uso de inteligência artificial “nas sombras”. Vazamentos graves de dados podem resultar em inércia corporativa, freio à transformação digital e até perda de empregos. Considere também ferramentas de supervisão e segurança de rede para reduzir o risco de vazamento de dados e melhorar a visibilidade do uso de IA.
A cibersegurança sempre foi um equilíbrio entre mitigar riscos e manter a produtividade. Superar o desafio da Shadow AI não é diferente: envolve proteger a organização e garantir a conformidade, mas também sustentar o crescimento do negócio, que nos próximos anos será impulsionado pela IA.