Por Edgar Zattar*

Shadow AI é um comportamento, e para falar dele é preciso entender como a automação tornou os ataques cibernéticos mais rápidos e escaláveis. Segundo o "Relatório do Cenário Global de Ameaças 2025" do Fortinet, organizações ao redor do mundo enfrentam cerca de 36 mil varreduras por segundo.

Essas varreduras são conduzidas por ferramentas que mapeiam continuamente sistemas expostos e potenciais vulnerabilidades. Esse avanço ocorre em paralelo à popularização do uso da inteligência artificial no ambiente corporativo, adicionando uma nova camada de risco à segurança da informação.

Da análise de dados à revisão de documentos e à elaboração de apresentações, ferramentas de IA de uso público, como o ChatGPT, passaram a integrar a rotina de diversas áreas.

Esse movimento proporciona eficiência, escala e maior rapidez na execução de tarefas. A utilização, no entanto, nem sempre ocorre de forma estruturada.

É nesse contexto que surge o Shadow AI: o uso de soluções de inteligência artificial sem validação formal das áreas de tecnologia e segurança.

Em vez de partir de decisões centralizadas, o fenômeno cresce de forma orgânica, impulsionado por necessidades imediatas.

O risco dos dados sensíveis e o Shadow AI

De acordo com pesquisa da LayerX Security, destacada no "Enterprise GenAI Security Report 2025", 75% dos funcionários que utilizam ferramentas de IA não aprovadas já inseriram informações sensíveis nessas plataformas.

Isso significa que dados internos, códigos proprietários e documentos estratégicos passam a ser compartilhados em ambientes externos.

Muitas vezes, não há clareza sobre o armazenamento, processamento ou reaproveitamento dessas informações.

Nesse cenário, os modelos tradicionais de segurança passam a ter dificuldade para acompanhar essa dinâmica.

Isso porque esses foram desenhados para outro contexto, em que o risco estava mais associado a transferências explícitas ou acessos indevidos. Um prompt, nesse caso, pode não ser identificado como um evento crítico, mesmo quando envolve dados sensíveis.

Governança: o caminho para a segurança

Na prática, o Shadow AI já se consolida como um novo vetor de risco corporativo, mas ainda subestimado por muitas organizações.

Com os benefícios claros das ferramentas de IA, a discussão sobre usá-las ou não se torna obsoleta e evolui para o campo da governança.

Melhor do que restringir, é orientar o uso:

• Definir quais ferramentas são autorizadas;
• Estabelecer diretrizes claras sobre o compartilhamento de informações;
• Implementar mecanismos de monitoramento e visibilidade compatíveis com esse novo contexto.

À medida que essas soluções se integram ao dia a dia, o entendimento sobre riscos precisa evoluir na mesma velocidade.

Ignorar o movimento de Shadow AI é ampliar a exposição, pois esperar até que ele se traduza em incidentes concretos é reagir, não agir.

No mundo corporativo, não há espaço para reatividade quando as consequências podem ser imensuráveis.

*Edgar Zattar é CTO de Inovação e Novos Negócios da Conversys IT Solutions.