De acordo com o Relatório de Benchmarking de Testes Adversariais e de IA 2026 da Pentera, a maioria dos líderes de segurança está tendo dificuldades para defender sistemas de IA com ferramentas e habilidades inadequadas para o desafio.
O relatório, baseado em uma pesquisa com 300 CISOs e líderes seniores de segurança dos EUA, examina como as organizações estão protegendo a infraestrutura de IA e destaca lacunas críticas relacionadas à escassez de habilidades e à dependência de controles de segurança não projetados para a era da IA.
A adoção da IA está superando a visibilidade da segurança.
Os sistemas de IA raramente são implementados de forma isolada. Eles são sobrepostos e integrados à tecnologia corporativa existente, desde plataformas em nuvem e sistemas de identidade até aplicativos e fluxos de dados. Com a responsabilidade dispersa entre equipes distintas, a supervisão centralizada eficaz tornou-se inviável.
Como resultado, 67% dos CISOs relataram visibilidade limitada sobre como a IA está sendo usada em suas organizações. Nenhum dos entrevistados indicou ter visibilidade completa; em vez disso, reconheceram estar cientes ou aceitar alguma forma de uso de IA não gerenciado ou não autorizado.
Sem uma visão clara de onde os sistemas de IA operam ou a quais recursos eles podem acessar, as equipes de segurança têm dificuldade em avaliar os riscos de forma eficaz. Questões básicas, como quais identidades os sistemas de IA utilizam, a quais dados eles podem acessar ou como se comportam quando os controles falham, muitas vezes permanecem sem resposta.
A principal barreira reside nas competências, e não no orçamento.
Embora a segurança da IA seja agora um tema recorrente em conselhos de administração e discussões executivas, o estudo mostra que os maiores desafios não são financeiros.
Os CISOs identificaram os seguintes como os principais obstáculos para proteger a infraestrutura de IA:
- Falta de conhecimento especializado interno (50%)
- Visibilidade limitada do uso de IA (48%)
- Ferramentas de segurança insuficientes, projetadas especificamente para sistemas de IA (36%)
Apenas 17% citaram restrições orçamentárias como principal preocupação. Isso sugere que muitas organizações estão dispostas a investir em segurança de IA, mas ainda não possuem as habilidades especializadas necessárias para avaliar os riscos relacionados à IA em ambientes reais.
Os sistemas de IA introduzem comportamentos que as equipes de segurança ainda estão aprendendo a avaliar, incluindo tomada de decisão autônoma, caminhos de acesso indireto e interação privilegiada entre sistemas. Sem a expertise adequada e testes ativos, torna-se difícil avaliar se os controles existentes são eficazes conforme o esperado.
Os controles legados estão suportando a maior parte da carga.
Na ausência de práticas recomendadas, habilidades e ferramentas específicas para IA, a maioria das empresas está estendendo os controles de segurança existentes para abranger a infraestrutura de IA.
O estudo revelou que 75% dos CISOs dependem de controles de segurança legados, como ferramentas de segurança de endpoints, aplicativos, nuvem ou APIs, para proteger sistemas de IA. Apenas 11% relataram possuir ferramentas de segurança projetadas especificamente para proteger a infraestrutura de IA.
Essa abordagem reflete um padrão já conhecido em mudanças tecnológicas anteriores, em que as organizações inicialmente adaptam as defesas existentes antes que práticas de segurança mais personalizadas surjam. Embora isso possa fornecer uma cobertura básica, os controles criados para sistemas tradicionais podem não levar em conta como a IA altera os padrões de acesso e expande os possíveis caminhos de ataque.
Um desafio já conhecido, agora aplicado à IA.
Em conjunto, as conclusões demonstram que os desafios de segurança da IA decorrem de lacunas fundamentais, e não da falta de conhecimento ou intenção.
À medida que a IA se torna parte essencial da infraestrutura empresarial, o relatório sugere que as organizações precisarão se concentrar em desenvolver conhecimento especializado e aprimorar a forma como validam os controles de segurança em ambientes onde a IA já está em operação.
Para explorar todas as conclusões, baixe o Relatório de Benchmarking de IA e Testes Adversariais 2026 para uma análise mais aprofundada dos dados e principais insights.
fonte: THE hacker news
