Expansão da IA cria brechas de segurança: 75% das empresas não monitoram agentes de IA

A rápida adoção de inteligência artificial pelas empresas está criando um ponto cego perigoso: a supervisão das contas dos próprios agentes de IA. Um novo relatório da Netwrix revela que 75% das organizações não monitoram adequadamente as atividades dessas contas, e a consequência é uma taxa de violação de dados quatro vezes maior entre as companhias que mais utilizam IA.

Por que contas de agentes de IA são o ponto cego crítico na segurança?

Diferentemente de usuários humanos, agentes de IA operam com identidades não-humanas — contas de serviço, tokens e chaves de API que frequentemente têm permissões elevadas. O relatório da Netwrix destaca que 75% das organizações não têm visibilidade total sobre essas contas, deixando-as fora dos controles tradicionais de segurança. Essa falta de supervisão é agravada pelo fato de que muitos times de TI ainda tratam agentes de IA como extensões de software, sem aplicar as mesmas políticas de governança de identidade usadas para funcionários.

Como a falta de visibilidade em agentes de IA amplifica o risco de violação?

Os números são alarmantes: a taxa de violação de dados em empresas que usam IA amplamente é de 43%, comparada a apenas 11% nas que não utilizam a tecnologia. Isso significa que, para cada violação em uma empresa sem IA, há quase quatro violações em organizações intensivas em IA. Os atacantes estão explorando justamente a invisibilidade dessas contas para se mover lateralmente nas redes e acessar dados sensíveis. Casos recentes de worms de IA autorreplicantes em modelos abertos mostram como esse vetor de ataque está se profissionalizando.

O que empresas brasileiras podem fazer contra brechas em agentes de IA?

Primeiro, é essencial mapear todas as identidades não-humanas na organização — desde bots de automação até assistentes de IA generativa. Em seguida, aplicar os mesmos princípios de privilégio mínimo e monitoramento contínuo que já são padrão para contas humanas. Ferramentas de governança de identidade e detecção de anomalias comportamentais podem ajudar a identificar acessos suspeitos antes que se transformem em incidentes graves. A Netwrix recomenda ainda auditorias periódicas e a implementação de autenticação multifator para agentes de IA sempre que possível.

Perguntas Frequentes sobre agentes de IA e segurança

O que são contas de agentes de IA?

São identidades não-humanas usadas por sistemas de inteligência artificial para acessar bancos de dados, APIs e outros recursos — como contas de serviço, tokens e chaves de API, que muitas vezes operam sem supervisão humana direta.

Quais setores são mais afetados por essa lacuna de segurança?

Setores com alta adoção de IA, como tecnologia, finanças, saúde e varejo, são os mais expostos, mas qualquer organização que implemente agentes de IA sem governança de identidade está em risco.

Como começar a monitorar contas de IA na minha empresa?

O primeiro passo é realizar um inventário completo de todas as identidades não-humanas, revisar suas permissões e implementar ferramentas de monitoramento contínuo de atividades, integradas ao SOC existente.

Fonte: Utility Dive