O uso da Shadow AI está aumentando à medida que os funcionários contornam as políticas de segurança, criando riscos sem precedentes para a proteção de dados e a conformidade regulatória.
A inteligência artificial (IA) rapidamente se tornou uma ferramenta de produtividade indispensável para os funcionários. Desde a redação de e-mails até a análise de documentos e o uso de assistentes de codificação de IA, os trabalhadores estão incorporando a IA em seus fluxos de trabalho diários.
No entanto, há um problema crescente. A maioria das empresas tem dificuldade em compreender e lidar com os riscos de segurança associados a um ecossistema em expansão de ferramentas de IA, por isso proíbem totalmente a maioria (senão todas) as ferramentas e só aprovam o uso de algumas (se houver) que consideram seguras e em conformidade. Infelizmente, nem todos os funcionários cumprem as políticas da empresa, com muitos optando por usar ferramentas não aprovadas e não autorizadas — conhecidas como Shadow AI.
Semelhante à Shadow IT, a Shadow AI ocorre quando os funcionários utilizam ferramentas externas de IA — IA generativa, assistentes de codificação ou ferramentas de análise, por exemplo — das quais a equipe de TI não tem conhecimento ou supervisão. A Shadow AI é muito mais arriscada do que a Shadow IT, porque ferramentas como ChatGPT e Claude, e modelos de linguagem de código aberto (LLMs) como Llama, são facilmente acessíveis, fáceis de usar e não são facilmente visíveis. Isso cria uma superfície de risco invisível e em rápida expansão, que só aumenta à medida que o uso não aprovado de IA cresce.
Pesquisas recentes destacam os perigos da Shadow AI: 84% das ferramentas de IA já sofreram violações de dados e mais da metade (51%) das ferramentas foram vítimas de roubo de credenciais. Além disso, uma pesquisa realizada no final de 2024 com 7.000 trabalhadores empregados pela CybSafe e pela National Cybersecurity Alliance (NCA) mostra que cerca de 38% dos funcionários compartilham dados confidenciais com plataformas de IA sem aprovação.
Imagine que cada consulta ou solicitação não autorizada gera o potencial de vazar dados corporativos confidenciais para usuários mal-intencionados ou não autorizados, e você poderá entender a gravidade dos riscos da Shadow AI.
Os perigos representados pela Shadow AI
À medida que as empresas restringem o uso de ferramentas de IA — a menos que elas tenham mecanismos de segurança integrados e comprovadamente cumpram as leis e regulamentações de proteção de dados, como HIPAA e GDPR —, existe um amplo ecossistema de ferramentas não autorizadas disponíveis no mercado, cujo uso pode trazer riscos e consequências:
- Vazamento de dados → consultas confidenciais e contexto enviados para ferramentas de IA inseguras.
- Perda de propriedade intelectual → detalhes confidenciais de produtos ou estratégias expostos.
- Falhas de conformidade → dados regulamentados (saúde, financeiros, pessoais) usados em ferramentas não aprovadas.
- Roubo de credenciais → como metade das ferramentas de IA demonstraram, nem mesmo os controles de acesso são garantidos.
Simplificando: a Shadow AI não é apenas um incômodo – é uma porta aberta para invasores e um pesadelo de conformidade prestes a acontecer.
Apesar dos riscos, muitos funcionários usam IA por alguns motivos:
- A pressão pela produtividade é real → os trabalhadores querem maneiras mais rápidas e inteligentes de realizar suas tarefas. A IA parece ser a única maneira de acompanhar o ritmo.
- As ferramentas corporativas geralmente ficam para trás → aprovações lentas ou plataformas desatualizadas levam os trabalhadores a “trazer sua própria IA”.
- Eles não têm consciência dos riscos → os funcionários podem saber que estão usando ferramentas não autorizadas, mas podem não compreender o nível de risco que isso representa.
- A IA parece intuitiva e indispensável → uma vez que os funcionários experimentam o valor, raramente voltam atrás.
Saindo das sombras
A maneira de mitigar a Shadow AI não é proibir o uso de ferramentas de IA. Proibir a IA não só é ineficaz, como pode realmente introduzir mais riscos, porque o uso dos funcionários fica oculto, fora do alcance da TI. E a verdade é que os funcionários não vão parar de usar a IA. Mas as empresas podem fazer mais para fornecer canais seguros e autorizados e ferramentas de IA seguras que realmente atendam às necessidades dos funcionários.
Para isso, são necessários alguns elementos:
- Confidencialidade integrada → criptografia contínua para que nem o modelo nem os dados apareçam em texto simples.
- Controles de nível empresarial → visibilidade de como a IA é usada sem sufocar a inovação.
- Desempenho em escala → ferramentas tão rápidas e intuitivas quanto as alternativas de consumo que atraem os funcionários.
A oportunidade do CISO: adoção segura e compatível da IA
A Shadow AI pode causar dores de cabeça e noites sem dormir para os CISOs, mas existem ferramentas que eles podem aproveitar para permitir que suas empresas adotem o poder da IA, garantindo proteção completa dos dados e LLMs.
As organizações precisam de uma adoção segura da IA para proteger os dois lados da história:
- Os modelos são criptografados → protegendo IP, pesos e parâmetros contra roubo ou adulteração.
- Os dados são criptografados → garantindo que conjuntos de treinamento, consultas e resultados nunca vazem em texto simples.
Se um modelo de IA for roubado, ele será inútil, pois só pode funcionar dentro do ambiente de execução confiável (TEE). A chave de criptografia, que existe apenas dentro do TEE, protege os dados, garantindo que apenas os usuários com a chave possam visualizar os resultados gerados por cada consulta.
Uma abordagem de camada dupla (criptografia totalmente homomórfica (FHE) e TEE) garante que os provedores de IA não possam reconstruir entradas/saídas brutas do usuário, mesmo durante transformações confidenciais. O TEE gerencia brevemente as operações de texto simples dentro de seu espaço de memória seguro e, em seguida, recriptografa imediatamente os resultados, enquanto o FHE garante que os dados permaneçam criptografados durante todas as operações.
A FHE pode ser implantada para proteger qualquer número de ferramentas de IA, permitindo que as empresas adotem ferramentas de IA com a confiança de que não ocorrerá vazamento de dados e que a conformidade regulatória não será comprometida.
O resultado: as empresas recuperam o controle. Os funcionários ganham produtividade. A adoção da IA é abraçada com confiança e tranquilidade.
A IA confidencial torna a Shadow AI uma coisa do passado
A Shadow AI existe porque os funcionários estão desesperados por ferramentas melhores. A única maneira sustentável de combatê-la é oferecer alternativas seguras e poderosas que protejam tanto os dados corporativos quanto os modelos de IA.
Escrito por Ravi Srivatsav, CEO e cofundador do DataKrypto.
