Relatórios de ataques em IA dividem especialistas e expõem a crise de confiança na cibersegurança

Durante anos, profissionais de cibersegurança cobraram mais abertura nas comunicações sobre incidentes. Agora, quando empresas de IA começam a fazer justamente isso, revelando como seus sistemas são explorados por agentes maliciosos, a reação da comunidade se divide. O relatório analisado pela Forrester mostra que especialistas veem essas publicações como material valioso para aprimorar defesas, enquanto outra parcela enxerga apenas estratégia de marketing.

Esse ceticismo tem raízes profundas. A indústria de cibersegurança, historicamente pouco transparente, tende a divulgar falhas apenas quando obrigada. Informações mais ricas sobre ataques costumam circular sob confidencialidade, via NDAs. Mas, segundo os analistas da Forrester, a postura excessivamente desconfiada se tornou um problema: cria paralisação, reduz a capacidade de leitura de ameaças e afasta equipes de inteligência útil.

Entre os pontos trazidos pelos relatórios publicados por fornecedores como OpenAI e Anthropic, a Forrester destaca que atacantes têm usado IA principalmente para turbinar técnicas já existentes, não para criar classes inéditas de ataques. Isso inclui campanhas de phishing sofisticadas, desenvolvimento ágil de malware e operações de influência em múltiplos idiomas.

A vantagem real está na escala e na velocidade. A IA reduz barreiras, aumenta a produtividade dos adversários e antecipa um cenário de ataques mais autônomos. Segundo os analistas, relatos recentes mostram tentativas ainda rudimentares de agentes que operam com mínima intervenção humana, informação que só chega ao mercado porque as plataformas abriram seus dados.

Um raro movimento de autocrítica técnica

A Forrester também aponta que, em contraste com práticas tradicionais, os fornecedores de IA passaram a expor suas próprias falhas. Relatórios sobre vulnerabilidades de produto e vetores de subversão têm sido publicados de forma proativa, algo incomum na indústria tradicional de segurança, onde muitas vezes é necessária intervenção governamental para que uma empresa admita riscos.

Para os analistas, essas divulgações exercem pressão positiva: forçam outras empresas a rever padrões de transparência e aproximam o setor de um modelo mais colaborativo de defesa.

Transparência estratégica, mas ainda com interesses comerciais

Os analistas lembram que a abertura dos fornecedores de IA não é puramente altruísta. Com a confiança sendo um dos maiores entraves à adoção corporativa de IA, publicar relatórios detalhados ajuda a reforçar a narrativa de que as empresas detectam, interrompem e mitigam abusos em seus sistemas.

Ainda assim, a Forrester afirma que esse movimento contribui para o ecossistema ao: reduzir a percepção de “caixa-preta” dos modelos; mostrar capacidade de autorregulação; criar uma base mais sólida para discussões regulatórias; estimular defesa coletiva no estilo dos centros de compartilhamento de inteligência.

A análise destaca que muitas organizações subestimam o valor prático desses documentos, tratando-os como ruído. Para a Forrester, essa postura precisa mudar. Publicações detalhando como criminosos tentam explorar ou contornar modelos de IA devem ser incorporadas às estratégias corporativas.

Os analistas recomendam que líderes de segurança usem essas informações para dialogar com seus conselhos, justificar investimentos e reforçar políticas de governança para IA. O material também pode guiar exercícios de red team focados em IA, validando controles e revelando brechas antes que atacantes as explorem.

Fonte: It Fórum.