Pular para o conteúdo principal

Qual é o risco do desenvolvimento de software com IA?

Startupi

Qual é o risco do desenvolvimento de software com IA?

* Por Ramon Ribeiro

Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades de segurança, mesmo quando parece funcional e pronto para produção. Não se trata de especulação: o relatório GenAI Code Security 2025 da Veracode, que testou mais de cem modelos de linguagem em 80 tarefas de codificação, encontrou que 45% das amostras falharam em testes de segurança, com falhas em categorias clássicas do OWASP Top 10.

Em Java, a linguagem mais utilizada em ambientes corporativos, a taxa de falha chegou a 72%. Em paralelo, pesquisa da Stanford University publicada nos anais da ACM CCS demonstrou que desenvolvedores que usam assistentes de IA não apenas produzem código menos seguro, mas também declararam acreditar na segurança do que geraram.

O Gartner projeta que 75% dos engenheiros de software em grandes empresas utilizarão assistentes de IA para codificação até 2028. No Brasil, pesquisa da GitHub com 500 respondentes em empresas de grande porte publicada em 2024 indicou que mais de 97% dos desenvolvedores já utilizam essas ferramentas no trabalho, percentual equivalente ao de economias como Estados Unidos, Alemanha e Índia.

Limitações dos modelos de linguagem

A raiz do problema está na natureza desses sistemas. Modelos de linguagem não “entendem” segurança no sentido técnico. Eles operam por probabilidade, reproduzindo padrões presentes nos dados de treinamento. Como esses dados incluem tanto boas práticas quanto implementações vulneráveis, o resultado tende a refletir essa ambiguidade.

Esse tipo de falha é particularmente perigoso porque não se apresenta como erro evidente. Uma vulnerabilidade de segurança pode permanecer invisível por meses. O sistema continua operando normalmente, enquanto expõe dados, permite acessos indevidos ou cria caminhos para exploração futura.

Na prática, o que se observa é a ampliação de falhas já conhecidas, mas agora em escala maior. Entre as mais recorrentes estão problemas de injeção, uso inadequado de queries, validação insuficiente de entrada e construção insegura de chamadas a APIs. Em muitos casos, o modelo sugere soluções que parecem padrão, mas ignoram nuances de contexto, como origem dos dados, limites de confiança ou regras específicas de negócio.

Falhas de autenticação e autorização também aparecem com frequência. Fluxos gerados por IA tendem a simplificar processos, omitindo validações intermediárias ou adotando permissões mais amplas do que o necessário. Em um ambiente corporativo, esse tipo de simplificação pode abrir acesso indevido a dados sensíveis ou funções administrativas.

Outro vetor relevante é o uso de dependências. Modelos frequentemente sugerem bibliotecas externas para resolver problemas específicos, mas nem sempre consideram a segurança ou a maturidade desses componentes. Em alguns casos, indicam pacotes desatualizados ou até inexistentes, o que cria espaço para ataques de cadeia de suprimentos, como o registro malicioso de bibliotecas com nomes sugeridos pelo próprio modelo.

Como incorporar a IA com segurança

A questão central não é mais decidir se a organização vai usar IA no desenvolvimento. A questão é construir controles proporcionais à velocidade com que esse código entra em produção. Tratar todo output de modelos de linguagem como código de terceiro não confiável, integrando análise estática e dinâmica calibrada para os padrões de vulnerabilidade específicos da IA diretamente no pipeline de CI/CD, é o ponto de partida.

Mapear e controlar o shadow AI antes que ele exponha os ativos da organização é o segundo passo, e nenhum inventário de ferramentas aprovadas substitui controles técnicos efetivos de prevenção de vazamento de dados para provedores externos.

O que se consolida, portanto, é uma mudança no próprio conceito de desenvolvimento. A IA não substitui o engenheiro de software, mas altera o papel desse profissional. O foco deixa de ser apenas escrever código e passa a ser validar, interpretar e garantir que aquilo que foi gerado atende aos requisitos de segurança, qualidade e conformidade.

O Gartner estimou em seu relatório Predicts 2026 que abordagens baseadas em geração de código por IA aumentarão os defeitos de software em 2.500% até 2028 se os processos de revisão não forem redesenhados. Não é uma previsão catastrófica, é uma projeção de escala com base nas taxas atuais de adoção e nas taxas documentadas de vulnerabilidade.

No fim, o risco não está na tecnologia em si, mas na forma como ela é incorporada ao processo. Organizações que tratam a IA como um acelerador sem ajustar seus controles tendem a acumular vulnerabilidades em ritmo superior à sua capacidade de resposta. Já aquelas que estruturam governança, observabilidade e disciplina de engenharia conseguem capturar ganhos de produtividade sem abrir mão da segurança.

* Ramon Ribeiro é diretor comercial da Solo Network e CTO da Solo Iron

O post Qual é o risco do desenvolvimento de software com IA? aparece primeiro em Startupi e foi escrito por Convidado Especial



Continue Lendo: Startupi / https://startupi.com.br/qual-e-o-risco-do-desenvolvimento-de-software-com-ia/
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Inteligência Artificial e Democracia: quem está controlando a opinião pública?

Startupi Inteligência Artificial e Democracia: quem está controlando a opinião pública? *Por Douglas Torres A relação entre inteligência artificial e democracia nunca foi tão evidente quanto agora. Nos últimos anos, testemunhamos a ascensão de ferramentas generativas com capacidade de criar textos, imagens e vídeos indistinguíveis do real, moldando percepções políticas com uma velocidade que nenhum outro instrumento tecnológico conseguiu alcançar. O problema é que tudo isso acontece sem transparência — e, em muitos casos, sem que o próprio eleitor perceba que está sendo influenciado. Quando afirmo que não teremos eleições sem IA, não estou fazendo uma previsão futurista. Estou descrevendo o presente. Hoje, campanhas políticas utilizam modelos generativos para segmentar mensagens, testar narrativas, ampliar presença digital e responder...
Postar um comentário
Leia mais

SAP adquire SmartRecruiters

Startupi SAP adquire SmartRecruiters A SAP anunciou a aquisição da SmartRecruiters , fornecedora global de software para aquisição de talentos, como parte de sua estratégia para fortalecer o portfólio de soluções SuccessFactors, voltadas à gestão de capital humano (HCM). A transação, prevista para ser concluída no quarto trimestre de 2025, ainda depende das aprovações regulatórias. Os termos financeiros do acordo não foram divulgados. Com mais de 4 mil clientes globais, a adquirida se destaca por sua atuação em recrutamento de alto volume, automação de processos seletivos e uso de inteligência artificial para engajamento de candidatos. A plataforma SaaS da empresa continuará disponível de forma independente por um período após a aquisição. Segundo Muhammad Alam, membro do Conselho Executivo da SAP SE , a aquisição permitirá à empresa integrar todo o ciclo de vida do candidato. “Contratar as pessoas certas não é apenas uma prioridade de RH – é uma prioridade de negócios. Com esta...
Postar um comentário
Leia mais

Unico adquire OwnID

Startupi Unico adquire OwnID A Unico, maior rede de verificação de identidade da América Latina, anunciou a aquisição da OwnID, referência em autenticação descentralizada, sem senha e com uso de passkeys. Com sede em São Francisco (EUA) e escritório de pesquisa e desenvolvimento em Tel Aviv (Israel), a operação marca a entrada oficial da Unico no mercado norte-americano e reforça sua visão de se tornar a principal e mais segura rede de identidade do mundo. Segundo Diego Martins, fundador e CEO da Unico , a integração do time técnico da OwnID é estratégica para abrir o primeiro hub da companhia em Israel, país conhecido como a “nação das startups” e um dos principais polos globais de tecnologia e inovação. “Essa cultura empreendedora vibrante, fortes investimentos em P&D e soluções robustas de segurança serão importantes diferenciais para a nossa rede global de identidade”, afirma. Unico já fez 9 aquisições nos últimos anos Com a fusão, a companhia amplia seu portfólio para cl...
Postar um comentário
Leia mais