Como a SecOps enxerga a IA? Parte 2: Proteção de dados
A IA provoca muitas reações. Alguns veem como mais uma moda passageira, prestes a desbancar NFTs e TVs 3D. Outros criam bunkers para se proteger de possíveis AGIs malignos que ganham consciência. Entre tantos exageros, há um fato claro e inegável: A IA depende de grande quantidade de dados.
Muita gente fala sobre IA causando animação, medo ou ceticismo, mas na F5, queremos saber como você, profissional do dia a dia, realmente se sente sobre o tema. Para entender os desafios e preocupações atuais de forma concreta, fizemos uma análise detalhada do sentimento da maior comunidade online de especialistas em segurança, o Reddit r/cybersecurity. O blog da Parte 1 de Shawn Wormke neste estudo, “Como o SecOps se sente sobre IA?”, resumiu os principais resultados da pesquisa. Todas as citações foram retiradas diretamente dos comentários de profissionais de segurança entre julho de 2024 e junho de 2025. Aqui, vamos aprofundar a principal preocupação relacionada à IA em 2024: a segurança de dados.
A segurança de dados se tornou a maior preocupação relacionada à IA em 2025, e o ataque DeepSeek de janeiro acelerou ainda mais essa realidade.
Preocupações surgiram com divulgações confidenciais, IA paralela e conformidade
Muitos imaginam um cenário de ameaças de IA com agentes mal-intencionados usando IA para planejar ataques complexos de engenharia social e disparar hordas de bots inteligentes. Essas ameaças existem, mas os profissionais de segurança mostram um panorama muito mais simples, igualmente grave e muito mais comum. Por isso, preocupações do SecOps sobre uso indevido interno de IA aparecem 2,3 vezes mais do que abusos mal-intencionados .
Isso vai direto ao ponto central da primeira questão: divulgações sensíveis. Como um profissional colocou de forma clara, “Vamos ser realistas, todos estão usando LLMs no trabalho e inserindo todo tipo de informação sensível nos prompts.” À medida que os modelos ganham janelas de contexto maiores e mais tipos de arquivo ficam disponíveis para uso com a geração aumentada por recuperação (RAG), os funcionários perceberam que o caminho mais rápido para uma resposta informada é fornecer ao LLM toda a informação que ele pode precisar. Isso contraria diretamente o princípio do menor privilégio, um pilar fundamental da confiança zero. Simplificando, “sempre há um conflito entre segurança e capacidade”.
As estratégias tradicionais para aplicação de políticas não estão dando resultado
A ação lógica que a maioria das organizações adota para proteger a IA é implementar uma política de uso aceitável (PUA). Diversas estratégias existem, mas o consenso aponta que métodos tradicionais de restrição e dissuasão não são suficientes.
Como um usuário relata, ferramentas tradicionais como firewalls de aplicação web (WAFs) e filtragem de DNS só adiam o inevitável: “Bloqueá-los significa obrigar seus dados a usarem esses serviços gratuitos. Lidar com listas negras será sempre um jogo interminável de repor as ameaças.” Isso revela um dos maiores desafios do último ano: a IA invisível. Novos modelos surgem todos os dias e os encapsuladores desses modelos são atualizados a toda hora. Você sempre encontrará formas de contornar políticas que enxergam como barreiras para suas prioridades.
Essas duas principais preocupações — IA paralela e divulgação de dados confidenciais — criam o cenário mais crítico para as equipes de segurança: ampla exposição sem nenhum controle visual. Você pode usar LLMs convencionais para agilizar a leitura, correndo o risco de enviar documentos confidenciais durante o processo. Com soluções de IA paralela, sua equipe de SecOps monitora essas interações e aplica várias medidas para mitigar riscos. Podem focar no usuário específico para monitorar futuras ações ou bloquear recursos críticos até que o comportamento se ajuste. Sem uma solução de IA paralela, contramedidas tradicionais como firewalls e bloqueios de DNS apenas empurram os usuários para camadas escondidas dos mesmos modelos básicos, dificultando a visibilidade do formato, da forma e da localização desses comportamentos de risco.
A conformidade reúne todas as exposições de segurança
Com o aumento das exigências de conformidade, como a Lei de IA da UE e o Regulamento Geral de Proteção de Dados (GDPR), além das normas específicas de cada setor, você corre riscos de multas severas, responsabilização legal e perda da confiança do público se não implementar uma governança adequada para os dados de IA.
Profissionais de segurança já passaram por tecnologias nas quais o entusiasmo e o desejo por igualdade competitiva superaram as preocupações com segurança. A computação em nuvem seguiu caminho semelhante ao da IA hoje: rápida adoção e alta expectativa por novas possibilidades, seguida por configurações incorretas generalizadas, acessos excessivos e falhas no modelo de responsabilidade compartilhada. Soa familiar? A principal diferença é que a nuvem envolvia um grupo bem menor de pessoas capazes de aumentar o risco geral. Na nova fronteira da segurança em IA, ampliamos o foco imediato: além de arquitetos e engenheiros de nuvem, qualquer pessoa com acesso a dados sensíveis – incluindo os próprios modelos – pode ser um risco.
Os profissionais entendem a tarefa
Nunca existiu tecnologia que não carregasse algum nível de risco, nem uma que o mundo tivesse decidido parar imediatamente por ser "riscosa demais". Você, como profissional de segurança, sabe que tem uma jornada importante e desafiadora pela frente.
Garantir que as interações da IA com dados tenham proteções eficazes e observação contínua é um desafio, mas uma exigência essencial para manter o ritmo atual de adoção da IA.
A F5 já age de forma decisiva para superar esses desafios, e continuaremos ouvindo as equipes de SecOps para definir nossas prioridades. Saiba mais aqui.