Há apenas alguns anos, falar de segurança e de inteligência artificial entre executivos costumava provocar ceños fruncidos e orçamentos escassos. Hoje a situação mudou: a IA é o motor que impulsiona a produtividade em muitas empresas e, com isso, chegou o dinheiro para protegê-la. No entanto, há uma tensão silenciosa nas salas de direção: muitas organizações reconhecem que precisam de governança sobre a IA, mas não sabem exatamente o que procurar ou como converter essas preocupações em requisitos técnicos claros.
Parte do problema é conceitual. Durante décadas, a cibersegurança empresarial foi organizada em torno de aplicações, redes e endpoints. As tentativas de “catalogar” cada ferramenta que os funcionários usam funcionam em teoria, mas na prática perdem rapidamente a carreira contra a avalanche de novas interfaces, extensões de navegador e assistentes impulsionados por GPT que aparecem a cada semana. Essa dinâmica deu lugar ao que muitos técnicos chamam de “Shadow AI”: iniciativas e ferramentas de IA que proliferam fora do controle formal de TI e segurança. Sobre este fenómeno e seus riscos já escreveram vozes da indústria, por exemplo, Análise da Forbes.
Diante dessa realidade, uma ideia que reivindica mais sentido comum que moda é mudar o foco desde “quê aplicação” para “quê interação”. Em outras palavras: já não se trata apenas de bloquear ou permitir apps, mas sim de entender e controlar o instante em que um empregado introduz um prompt, pega um documento ou arrasta um arquivo para uma extensão da IA. Esse momento – a interação – é onde se decide se um dado corporativo sensível viaja fora do perímetro seguro.
Recentemente, foi publicado um guia prático destinado a ajudar equipamentos de segurança e CISOs nessa transição: um RFP projetado para avaliar soluções de controle de uso de IA (AI Usage Control). Não é um catálogo de marcas nem uma lista de verificação superficial; pretende ser um marco técnico para transformar objetivos abstratos de “governança de IA” em critérios de projeto mensuráveis e verificáveis. Você pode revisar o guia diretamente aqui.
Por que é que é preciso algo assim? Porque muitos dos controlos tradicionais — os CASB, as soluções SSE ou as políticas baseadas apenas no tráfego de rede — são insuficientes face a fluxos modernos: painéis web integrados que atuam localmente no navegador, plugins criptografados em editores de código, sessões em modo incógnito ou navegadores “AI-native” que abstraem as chamadas externas. Estas condições criam cegos operacionais para as soluções que dependem apenas da análise de pacotes na rede.
Além disso, as ameaças específicas às quais há que prestar atenção evoluíram. As técnicas de manipulação de prompts, conhecidas como prompt injections, e outras formas de exfiltração acidental ou maliciosa exigem controles que inspeccionem a interação e o contexto em tempo real. Para se orientar diante desse tipo de ataques, existe material técnico muito útil, como a folha de referência sobre prompt injection publicada por OWASP, que ajuda a entender vetores e mitigações.
O guia RFP aproxima-se da governança da IA de várias dimensões técnicas que convém considerar com atenção. Não se limita a perguntar se um fornecedor “diz que pode” mas exige descrições de como: como detecta a ferramenta de uso de IA em sessões compartilhadas, como diferencia uma identidade corporativa de um pessoal no mesmo navegador, como aplica políticas sensíveis ao contexto e como funciona antes de um dado sair da empresa. Essa ênfase na rastreabilidade e na evidência evita o perigo do “feature-wash”, onde um conjunto de casas marcadas em uma demo pode esconder lacunas reais em implantação ou escala.
Um aspecto crucial que sublinha o guia é a capacidade de aplicar controlos no ponto de interação sem impor uma carga operacional gigantesca: implantaçãos que não exijam agentes intrusivos em cada endpoint, que não quebram o funcionamento da rede e que permitam aos equipamentos de segurança oferecer proteção sem se tornar um gargalo de garrafa para o negócio. Em paralelo, a governação moderna precisa de relatórios que sejam utilizáveis em auditorias e em conjunto directivas, ou seja, evidências que tornem a política em métricas executáveis.
Esta abordagem está alinhada com os esforços de organismos e boas práticas que promovem quadros responsáveis pela IA. El quadro de gestão dos riscos da IA do NIST e recomendações de diferentes fabricantes e fornecedores de nuvem sobre práticas responsáveis ilustram por que é importante combinar controles técnicos com processos e governança corporativa. Microsoft e Google, entre outros, publicaram guias sobre práticas responsáveis e considerações de segurança em ambientes de IA que complementam esta perspectiva; por exemplo, a aproximação da Google Cloud à IA responsável oferece recursos práticos para arquitetos e equipamentos de segurança ( ver), e a Microsoft documenta princípios e ferramentas para avaliações de risco em IA ( ver).
Para as equipas que devem tomar decisões de compra ou conceber um plano de implantação, a recomendação prática é clara: definir requisitos próprios e mensuráveis antes de o mercado ser imposto. Exigir fornecedores descrições de arquitetura, referências de implantaçãos reais, testes de detecção em cenários de incógnito ou com navegadores AI-native, e métricas de latência e desempenho é mais valioso que deixar seduzir por demos pulidas mas pouco profundas.
O guia do RFP oferece um modelo e uma estrutura para padronizar essa avaliação e transformá-la em um processo reprodutível que acelere a pesquisa e reduza a subjetividade na compra. Não substitui a necessidade de pilotos e de testes técnicos em ambientes reais, mas facilita que esses pilotos midan o que importa: detecção no ponto de interação, enforcement em tempo real e auditoria que permita responder a incidentes e reguladores.
Em suma, o desafio da governação da IA nas empresas não é resolvido apenas com orçamento. É preciso mudar a pergunta de “Qual é a ferramenta que cobre tudo?” por “como controlar as interações que expõem dados sensíveis?” Adoptar critérios técnicos rigorosos, apoiar-se em quadros de risco reconhecidos e exigir provas concretas aos fornecedores converte a governação em algo operacional e verificável. Se você quiser começar por um recurso prático que ajude você a transformar a intenção em requisitos, você pode baixar o guia e o modelo do RFP aqui: RFP Guide for Evaluating AI Usage Control Solutions.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...