Relatórios

Relatório da Manifest Revela Lacuna de Prontidão para Inteligência Artificial à Medida que as Equipes de Segurança Empresarial Lutam com Visibilidade e Governança

mm
Publicado em
Atualizado em

Um novo relatório da Manifest, “Além da Caixa Preta: Como a Inteligência Artificial Está Forçando uma Rethink da Cadeia de Suprimentos de Software”, revela um crescente descompasso entre a confiança dos executivos e a realidade operacional quando se trata de prontidão para segurança de inteligência artificial. Com base em uma pesquisa com mais de 300 líderes e profissionais de segurança nos Estados Unidos e EMEA, o estudo descobre que, embora a maioria dos executivos acredite que suas organizações estejam preparadas para os riscos de cadeia de suprimentos impulsionados por inteligência artificial, as equipes de segurança no terreno relatam significativas lacunas de governança, uso de inteligência artificial sombra e limitada visibilidade nos componentes que alimentam os sistemas de software modernos.

As descobertas destacam uma tensão central que está surgindo na tecnologia empresarial: a adoção de inteligência artificial está acelerando rapidamente em produtos e fluxos de trabalho, mas os mecanismos necessários para rastrear, governar e proteger esses sistemas não estão acompanhando o ritmo.

A Inteligência Artificial Está Recriando Problemas de Segurança da Cadeia de Suprimentos em Novas Formas

Por mais de uma década, as organizações vêm trabalhando para melhorar a segurança da cadeia de suprimentos de software, rastreando dependências, monitorando vulnerabilidades e estabelecendo estruturas de governança. No entanto, o relatório da Manifest argumenta que a inteligência artificial está efetivamente reintroduzindo muitos dos mesmos riscos — agora espalhados por modelos, conjuntos de dados, agentes e serviços de inteligência artificial de terceiros.

Os componentes de inteligência artificial frequentemente operam como sistemas opacos. As empresas frequentemente não podem explicar completamente como os modelos foram treinados, quais conjuntos de dados foram usados ou quais serviços externos estão incorporados em suas aplicações. Como resultado, as organizações enfrentam uma nova classe de risco de cadeia de suprimentos: sistemas de software que elas não podem inspecionar, verificar ou monitorar com confiabilidade ao longo do tempo.

O relatório enfatiza que a visibilidade já está escorregando. 63% das organizações relatam a presença de “inteligência artificial sombra”, se referindo a ferramentas ou integrações de inteligência artificial adotadas sem supervisão das equipes de segurança, aquisição ou gestão de riscos.

Daniel Bardenstein, CEO e co-fundador da Manifest, disse que os dados revelam uma lacuna crescente entre a percepção dos executivos e a realidade operacional: “A confiança dos executivos na prontidão para inteligência artificial não corresponde ao que as equipes de segurança de aplicativos estão lidando diariamente. Os líderes acreditam que a governança está no lugar, mas os profissionais estão vendo uso não gerenciado de inteligência artificial, propriedade não clara e pontos cegos no que está realmente em execução em produtos e fornecedores.”

Os Executivos Dizem que Estão Prontos, as Equipes de Segurança Discordam

Uma das descobertas mais surpreendentes no relatório é a divergência entre a confiança dos líderes e as avaliações de segurança de linha de frente.

Quase 80% dos executivos de segurança dizem que suas organizações têm práticas de segurança de inteligência artificial maduras, mas apenas cerca de 40% das equipes de segurança de aplicativos concordam com essa avaliação.

As equipes de segurança de aplicativos são frequentemente as primeiras a encontrar falhas operacionais em estruturas de governança porque interagem diretamente com a cadeia de suprimentos de software. Esses profissionais relatam encontrar grandes volumes de alertas, propriedade não clara de responsabilidades de segurança e ferramentas fragmentadas em ambientes de desenvolvimento e segurança.

De acordo com o relatório, 47% dos respondentes identificaram equipes isoladas e propriedade não clara como o maior obstáculo para melhorar a segurança da cadeia de suprimentos de software.

O resultado é um ambiente em que as organizações podem acreditar que têm programas de segurança fortes, enquanto lacunas críticas permanecem em visibilidade, responsabilidade e coordenação operacional.

O Paradoxo do SBOM: Gerado, mas Raramente Usado

Outra grande percepção do estudo diz respeito aos Bills de Materiais de Software (SBOMs) — inventários de componentes de software projetados para ajudar as organizações a rastrear dependências e vulnerabilidades.

A adoção de SBOMs expandiu significativamente nos últimos anos, particularmente devido à pressão regulatória e ataques à cadeia de suprimentos. No entanto, a pesquisa da Manifest sugere que muitas organizações tratam a geração de SBOMs como uma caixa de seleção de conformidade em vez de uma capacidade operacional.

O relatório destaca várias estatísticas-chave:

  • 60% das organizações geram SBOMs
  • Mais da metade não gerencia ou consome ativamente em prática
  • 79,6% usam ferramentas de Análise de Composição de Software (SCA)
  • O uso operacional de SBOMs permanece muito mais baixo, em 41,8%

Sem ingestão centralizada, normalização, aplicação de políticas e monitoramento contínuo, os SBOMs se tornam artefatos estáticos em vez de ferramentas de gerenciamento de risco ativas.

As equipes de segurança também expressam ceticismo em relação a plataformas tradicionais de Análise de Composição de Software. 56,3% dos respondentes dizem que as ferramentas de SCA criam ruído ou atrasam as equipes de desenvolvimento, enquanto 46,4% duvidam que essas ferramentas reduzam significativamente o risco de software real.

Essa desconexão ilustra um desafio de maturidade mais amplo: as organizações podem gerar grandes volumes de dados de segurança, mas frequentemente carecem da infraestrutura operacional para traduzir esses sinais em redução de risco ativa.

Dados de Transparência Melhoram a Segurança e a Velocidade de Implantação

Apesar desses desafios, a pesquisa mostra que as organizações que alcançam transparência significativa em suas cadeias de suprimentos de software obtêm benefícios mensuráveis.

Quase metade dos respondentes (49,4%) relatam receber dados de transparência verificável — como SBOMs, registros de proveniência ou binários assinados — de fornecedores durante a aquisição.

Quando essas informações são confiáveis e operacionalizadas, o impacto é significativo:

  • 64% relatam implementação mais rápida de novas tecnologias
  • 61,6% relatam resolução mais rápida de problemas de segurança
  • 15,5% relatam redução de tempo de inatividade

As organizações que carecem de tal transparência pagam o que o relatório descreve como um “imposto de transparência” — o tempo, custo e risco adicionais associados à investigação manual de componentes de software opacos.

Indústrias altamente regulamentadas ilustram esse desafio. Organizações de serviços financeiros e saúde relatam algumas das menores taxas de recebimento de dados de transparência verificável de fornecedores — 14,3% e 19,5%, respectivamente — apesar de terem a maior necessidade disso.

A Adoção de Inteligência Artificial Está Acelerando em Todas as Empresas

O estudo também destaca como rapidamente a inteligência artificial se tornou incorporada em ecossistemas de software empresariais.

Praticamente nenhuma organização pesquisada relatou evitar completamente a inteligência artificial. Em vez disso, as empresas estão experimentando uma variedade de abordagens:

  • 80,2% usam modelos de inteligência artificial comerciais aprovados internamente
  • 79,9% usam amplamente ferramentas comerciais como ChatGPT ou Cursor
  • 56,7% treinam modelos de peso aberto em dados internos
  • 29,3% constroem modelos de inteligência artificial personalizados do zero

As empresas de serviços financeiros e tecnologia estão liderando a adoção. Quase 90% das organizações de serviços financeiros relatam modelos de inteligência artificial internos aprovados, e 46,9% constroem modelos personalizados do zero, bem acima da média geral.

Esses setores têm fortes incentivos para se mover rapidamente. Nos serviços financeiros, a inteligência artificial afeta diretamente a detecção de fraude, gestão de riscos e geração de receita. Nas empresas de tecnologia, a inteligência artificial está cada vez mais no centro das ofertas de produtos e capacidades de plataforma.

No entanto, o ritmo acelerado de adoção frequentemente supera a governança.

A Inteligência Artificial Sombra Está se Tornando um Problema Generalizado

A pesquisa confirma que a inteligência artificial sombra — ferramentas ou modelos implantados sem supervisão formal — já é generalizada.

Apenas 34,8% dos respondentes relatam não ter inteligência artificial sombra em suas organizações, enquanto o restante admite pelo menos algum uso não gerenciado de inteligência artificial.

Esse padrão espelha ondas anteriores de “tecnologia sombra”, onde os funcionários adotavam serviços de nuvem ou ferramentas SaaS fora dos processos oficiais de aquisição.

Diferenças regionais também estão surgindo. As organizações na EMEA relatam taxas mais altas de operação sem inteligência artificial sombra (45,7%), provavelmente devido a estruturas regulatórias mais fortes e processos de aquisição mais estritos em comparação com outras regiões.

No entanto, o relatório alerta que as ferramentas de segurança tradicionais nunca foram projetadas para rastrear modelos de inteligência artificial, conjuntos de dados e serviços em ambientes de desenvolvimento distribuídos.

Riscos de Licenciamento e Legais São Outro Ponto Cego Importante

Além dos desafios de governança técnica, o estudo também destaca os desafios legais e de conformidade associados à adoção de inteligência artificial.

Entender os termos de licenciamento, direitos de propriedade intelectual e restrições de uso de modelos e conjuntos de dados de inteligência artificial permanece difícil para muitas organizações. A pesquisa encontrou:

  • 93% dos respondentes dizem que sua organização tem espaço para melhorar no gerenciamento de licenças e obrigações de propriedade intelectual de inteligência artificial
  • 54,6% concordam fortemente que isso permanece um desafio significativo

Esses riscos se tornam particularmente agudos quando as organizações treinam modelos de peso aberto em dados internos ou combinam conjuntos de dados proprietários com componentes de inteligência artificial de terceiros.

Sem estruturas de governança mais fortes, as empresas podem inadvertidamente introduzir violações de licenciamento ou exposição à conformidade em sistemas de produção.

O Alinhamento Operacional Pode Ser o Verdadeiro Desafio

Enquanto as ferramentas de segurança continuam a evoluir, o relatório sugere que a maior barreira para a segurança eficaz da cadeia de suprimentos de inteligência artificial pode não ser a tecnologia em si.

Em vez disso, muitas organizações lutam com propriedade fragmentada, fluxos de trabalho desconectados e a ausência de um sistema compartilhado de registro para componentes de software e inteligência artificial.

As restrições mais frequentemente citadas incluem:

  • 47,3% restrições organizacionais
  • 36,3% habilidades insuficientes
  • 35,7% limitações orçamentárias
  • 34,8% falta de compreensão gerencial
  • 32,6% escassez de pessoal

Essas lacunas operacionais tornam difícil para os sinais de segurança se traduzirem em aplicação de política consistente ou redução de risco mensurável.

Por Que a Segurança da Cadeia de Suprimentos de Inteligência Artificial Está se Tornando uma Prioridade Estratégica

À medida que a inteligência artificial se incorpora em cada camada de software empresarial, o conceito de cadeia de suprimentos de software está se expandindo para incluir modelos, conjuntos de dados de treinamento, serviços de inferência e plataformas de inteligência artificial de terceiros.

O relatório da Manifest conclui que as organizações devem ir além de ferramentas de visibilidade em um momento específico e construir controle operacional contínuo sobre suas cadeias de suprimentos de inteligência artificial.

Isso inclui:

  • Rastrear todos os modelos de inteligência artificial usados em ambientes de desenvolvimento
  • Verificar a proveniência e licenciamento de dados de treinamento
  • Aplicar políticas de governança durante o desenvolvimento e a implantação
  • Mantenha inventários contínuos semelhantes a SBOMs para componentes de inteligência artificial

Sem esses mecanismos, a lacuna entre a adoção de inteligência artificial e a governança de inteligência artificial continuará a se expandir.

E, como o estudo deixa claro, essa lacuna já existe dentro de muitas empresas hoje.

data Enforcing governance policies during development and deployment Maintaining continuous inventories similar to SBOMs for AI components Without these mechanisms, the gap between AI adoption and AI governance will continue to widen. And as the study makes clear, that gap already exists inside many enterprises today.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável por moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI.

Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.