Entre em contato

O risco da IA ​​que ninguém está monitorando: a exposição de segredos em fluxos de trabalho corporativos.

Líderes de pensamento

O risco da IA ​​que ninguém está monitorando: a exposição de segredos em fluxos de trabalho corporativos.

mm
Publicado

A maioria das discussões sobre os riscos da IA ​​empresarial começa com uma preocupação comum: funcionários colando dados de clientes em chatbots. Privacidade e exposição regulatória dominam as manchetes e as reuniões de diretoria, e Pesquisa da Deloitte Mostra que a privacidade e a segurança dos dados estão entre os principais riscos da IA ​​que preocupam as organizações.

No entanto, os dados que emergem do uso empresarial no mundo real contam uma história diferente. As informações sensíveis mais comuns que chegam às ferramentas de IA não são dados pessoais. São segredos e credenciais.

Chaves de API, tokens de acesso, webhooks e artefatos de autenticação agora representam a maior parte das exposições de dados sensíveis observadas em solicitações de IA. Essas divulgações raramente decorrem de descuido ou intenção maliciosa, surgindo, em vez disso, de tarefas rotineiras como depurar uma integração com falha, solucionar problemas de automação, testar código ou resolver um problema do cliente. À medida que a IA se torna parte integrante dos fluxos de trabalho diários, esses momentos ocorrem constantemente e, muitas vezes, fora da visibilidade dos controles de segurança tradicionais.

As consequências são claras. À medida que a adoção da IA ​​se expande, as organizações obtêm uma visão mais precisa de onde surgem os riscos reais, e a governança precisa evoluir para lidar com eles.

Um risco de exposição de dados de IA, que tem sido negligenciado, está bem à vista de todos.

Uma IA recente análise de uso Um estudo conduzido pela Nudge Security examinou dados de telemetria anonimizados em ambientes corporativos para entender como as ferramentas de IA estão sendo realmente utilizadas no ambiente de trabalho. Em vez de se basear em pesquisas ou relatos pessoais, o estudo analisou a atividade de IA observada, as integrações e o comportamento de comandos em ecossistemas SaaS corporativos.

Os resultados fornecem novas informações sobre onde o risco da IA ​​está realmente surgindo no uso corporativo. A exposição de dados sensíveis em solicitações de IA é dominada por credenciais operacionais. Segredos e credenciais representam aproximadamente 48% dos eventos de dados sensíveis detectados, em comparação com 36% para dados financeiros e 16% para informações relacionadas à saúde. Esses padrões sugerem que o desafio mais significativo da exposição de dados por IA não é o vazamento de privacidade, mas sim a disseminação descontrolada de segredos.

A mesma pesquisa mostra que a adoção da IA ​​ultrapassou a fase de experimentação. As ferramentas de IA estão incorporadas aos fluxos de trabalho, integradas às principais plataformas de negócios e cada vez mais capazes de realizar ações autônomas. Os principais fornecedores de modelos de linguagem são agora praticamente onipresentes, com a OpenAI presente em 96% das organizações e a Anthropic em 78%.

Pesquisa da McKinsey Uma pesquisa revelou que 88% das organizações relatam o uso regular de IA em pelo menos uma função de negócios, em comparação com 78% no ano anterior. Ferramentas de inteligência para reuniões, plataformas de codificação assistida por IA, geradores de apresentações e tecnologias de voz são amplamente utilizadas, refletindo como a IA se expandiu das interfaces de bate-papo para os fluxos de trabalho do dia a dia. Essa expansão é importante porque o risco acompanha o uso. À medida que a IA se torna integrada aos ambientes de desenvolvimento, plataformas de colaboração e fluxos de trabalho de suporte ao cliente, ela se aproxima de sistemas sensíveis e dados operacionais.

A adoção também foi impulsionada de baixo para cima. estudo recente da KPMG Descobriu-se que 44% dos funcionários usam ferramentas de IA de maneiras não autorizadas por seus empregadores, o que reflete a rapidez com que essas ferramentas se integram aos fluxos de trabalho diários. Os funcionários instalam extensões de navegador, conectam assistentes e experimentam integrações para acelerar tarefas cotidianas, muitas vezes fora dos processos de aquisição centralizados. Analistas de segurança descrevem esse padrão como sombra AIEm que as ferramentas operam dentro de navegadores e fluxos de trabalho SaaS, indo além da visibilidade tradicional de TI. Como essas ferramentas podem ser implantadas instantaneamente e exigem pouca configuração técnica, os programas de governança baseados em processos de aprovação de fornecedores e políticas de uso aceitável têm dificuldade em acompanhar a forma como a IA é efetivamente introduzida e utilizada em toda a empresa.

Por que segredos vazados podem criar riscos operacionais imediatos

Os dados pessoais continuam sendo sensíveis e regulamentados, mas os segredos têm impacto operacional imediato. Uma chave de API vazada pode fornecer acesso a sistemas de produção. Um token comprometido pode expor repositórios. Uma URL de webhook pode permitir automação não autorizada. Credenciais frequentemente aparecem em solicitações de IA durante fluxos de trabalho rotineiros. Desenvolvedores colam tokens em interfaces de bate-papo ao solucionar problemas de autenticação, e engenheiros podem compartilhar trechos de configuração para diagnosticar problemas de integração. Essas ações não são incomuns. Os segredos estão incorporados em fluxos de trabalho técnicos e aparecem em logs, scripts, arquivos de configuração e saídas de automação. Quando as equipes estão sob pressão para resolver problemas rapidamente, podem compartilhar esses artefatos sem se preocupar com os dados sensíveis que contêm.

As interfaces de IA amplificam esse comportamento. Os prompts incentivam o compartilhamento de contexto. O upload de arquivos facilita a resolução de problemas. Fluxos de trabalho integrados simplificam a transferência de dados entre sistemas. Uma pesquisa da Nudge Security revelou que 17% dos prompts incluem atividades de copiar e colar ou upload de arquivos. Nesse ambiente, credenciais confidenciais podem ser expostas em segundos.

A governança tradicional ignora os riscos comportamentais.

Os programas de governança de IA geralmente se concentram em controles formais, como políticas e ferramentas aprovadas. Essa abordagem pressupõe que o risco decorre do uso indevido ou do comportamento do modelo. Na prática, as exposições mais significativas ocorrem durante fluxos de trabalho rotineiros realizados por funcionários bem-intencionados.

O cenário da IA ​​está em constante evolução, com novas tecnologias sendo lançadas diariamente. À medida que seus funcionários buscam as ferramentas mais recentes, eles conseguem contornar a abordagem tradicional de controles de rede, simplesmente porque não conseguem acompanhar o ritmo. O navegador permite a observação direta do comportamento contextual, o que proporciona a flexibilidade necessária para acompanhar o cenário em constante evolução do trabalho moderno.

Essa desconexão explica por que as organizações podem implementar políticas robustas e ainda assim sofrer exposição de dados sensíveis. As políticas estabelecem expectativas. O comportamento determina os resultados. Uma governança eficaz exige visibilidade sobre como as ferramentas de IA são realmente usadas e mecanismos de proteção que orientem decisões mais seguras no momento em que os dados são compartilhados.

Integrações e agentes ampliam o escopo de exposição.

O perfil de risco de uma ferramenta de IA é definido pelo que ela pode acessar. As integrações criam caminhos confiáveis ​​entre os sistemas. Concessões OAuth, tokens de API e contas de serviço permitem que as ferramentas de IA recuperem documentos, atualizem tickets ou interajam com repositórios de código. Pesquisas sobre a adoção de IA em empresas destacam que as integrações definem efetivamente o escopo de exposição. Uma permissão mal configurada ou um token comprometido pode expor repositórios de documentos inteiros ou ambientes de desenvolvimento, pois conexões confiáveis ​​permitem a movimentação de dados na velocidade da máquina.

A IA agética introduz complexidade adicional. As primeiras implementações geralmente priorizam a funcionalidade em detrimento do princípio do menor privilégio. As permissões concedidas durante a experimentação podem persistir muito tempo depois que os casos de uso iniciais evoluírem. Com o tempo, essas permissões acumuladas criam riscos silenciosos. As equipes de segurança devem tratar as integrações e as permissões de agentes como decisões de acesso permanentes, e não como conveniências temporárias.

O que as equipes de segurança devem fazer agora

Reduzir a exposição de segredos em fluxos de trabalho de IA exige uma mudança de controles reativos para uma governança que reflita como o trabalho realmente acontece. Os líderes de segurança podem começar com medidas práticas que melhoram a visibilidade, orientam comportamentos mais seguros e reduzem a exposição sem comprometer a produtividade:

  • Mapear onde ocorrem as interações de IA.
    Identifique os ambientes onde os dados entram nas ferramentas de IA, incluindo extensões de navegador, ambientes de desenvolvimento, plataformas de automação e interfaces de chat. A visibilidade contínua desses pontos de contato fornece a base para uma governança eficaz.
  • Intervir no momento em que as decisões são tomadas.
    Implemente a verificação de segredos, avisos de redação e alertas oportunos que notificam os usuários quando credenciais ou documentos confidenciais estão prestes a ser compartilhados. A orientação oportuna reduz a exposição acidental, preservando a velocidade do fluxo de trabalho.
  • Aplique a governança de integração com o mesmo rigor que os aplicativos OAuth.
    Analise as ferramentas de IA conectadas a e-mails, documentos, sistemas de tickets e repositórios. Imponha o princípio do menor privilégio e realize revisões periódicas de permissões para reduzir o risco de exposição a longo prazo.
  • Crie fluxos de trabalho mais seguros para resolução de problemas e suporte.
    Forneça modelos anonimizados, conectores seguros e ferramentas internas para analisar logs ou arquivos de configuração, para que as equipes possam usar IA na resolução de problemas sem expor credenciais reais.
  • Estabelecer diretrizes de segurança para a automação baseada em agentes.
    Exija aprovação humana para ações de alto impacto, registre a atividade do agente de forma centralizada e use tokens de acesso com escopo definido para evitar a proliferação de permissões e a automação não intencional.
  • Treinamento prático em fluxos de trabalho reais.
    O treinamento é mais eficaz quando reflete tarefas comuns, como depurar integrações, revisar registros ou fazer upload de arquivos. Exemplos práticos ajudam os funcionários a reconhecer riscos no momento em que surgem.

Essas medidas alinham a governança ao trabalho diário, permitindo que as organizações reduzam a exposição de segredos comerciais e, ao mesmo tempo, apoiem os ganhos de produtividade que impulsionam a adoção da IA.

Da política de IA à governança comportamental da IA

A IA está evoluindo de uma ferramenta de produtividade para uma camada operacional integrada ao trabalho diário. pesquisa mostrando Os agentes de IA estão agora integrados em fluxos de trabalho empresariais e as previsões projetam agentes específicos para tarefas em grande parte das aplicações corporativas. À medida que a adoção se aprofunda, os principais riscos vão além das violações de privacidade ou do uso indevido de modelos. Eles surgem da forma como pessoas, permissões e plataformas se interconectam em fluxos de trabalho reais.

A exposição de segredos em solicitações de IA é um sinal visível dessa transformação mais ampla. Ela destaca as limitações dos controles baseados em perímetro e da governança exclusivamente por políticas, reforçando a necessidade de mecanismos de proteção que operem onde as decisões são tomadas. As organizações que se adaptarem irão além dos controles reativos e em direção a modelos de governança fundamentados no comportamento real. Elas tratarão integrações e permissões como relações de acesso permanentes. Orientarão os funcionários no momento da ação, em vez de dependerem apenas da aplicação de políticas.

A IA está deixando de ser uma ferramenta para se tornar uma colaboradora no trabalho moderno. Garantir essa colaboração exige uma governança que acompanhe o ritmo, protegendo dados críticos, orientando decisões mais seguras e sustentando a velocidade e a eficiência que a IA torna possíveis.

Tópicos relacionados:
mm

Russell Spitler é cofundador e CEO da Empurre a segurançaRussell é líder em governança de segurança de SaaS e IA. Ele possui mais de 20 anos de experiência na criação de produtos e startups que protegem organizações em todo o mundo. Antes da Nudge, Russell ocupou cargos de liderança em produtos, engenharia e estratégia na AT&T Cybersecurity, AlienVault (adquirida pela AT&T Cybersecurity) e Fortify Software. Na AlienVault, ele cofundou o Open Threat Exchange, a maior comunidade aberta de inteligência de ameaças do mundo, com mais de 370,000 participantes globais atualmente.