A expansão da inteligência artificial (IA) nas empresas está acontecendo mais rápido do que as estruturas de segurança conseguem acompanhar. Essa é a principal conclusão do 2026 CISO AI Risk Report, estudo divulgado pela Cybersecurity Insiders com base em uma pesquisa realizada com 235 CISOs, CIOs e líderes seniores de segurança nos Estados Unidos e no Reino Unido.
Segundo o relatório, divulgados pela Cybersecurity Insiders, a adoção de copilotos, agentes autônomos e assistentes baseados em IA não ocorreu, na maioria das organizações, como um movimento planejado e autorizado. Em muitos casos, ferramentas foram incorporadas a aplicações SaaS, ambientes de engenharia ou áreas de negócio sem passar pelos fluxos tradicionais de aprovação. Isoladamente, essas decisões parecem pequenas. Em conjunto, criam sistemas que atuam em nome das pessoas, com acesso relevante, mas sem os mecanismos clássicos de governança.
Os dados mostram que 71% das organizações já permitem que sistemas de IA acessem aplicações centrais do negócio, como plataformas de CRM e ERP. No entanto, apenas 16% afirmam governar esse acesso de forma eficaz. Para os líderes de segurança, o problema não está apenas na presença da IA, mas no fato de que essas identidades não se comportam como usuários humanos nem como contas técnicas tradicionais.
Leia também: Por que 90% das transformações digitais falham, segundo CEO do Cesar
Agentes de IA leem dados de clientes, alteram configurações, invocam APIs e encadeiam ações automaticamente. Muitas vezes, geram registros incompletos ou temporários, dificultando auditoria e rastreabilidade. Isso fragiliza perguntas básicas da segurança corporativa, como quem executou determinada ação e se ela deveria ter sido permitida.
A falta de visibilidade aparece como um dos principais gargalos. O relatório indica que 92% das empresas não têm visão completa das identidades de IA em operação, e 95% duvidam que conseguiriam detectar ou conter um uso indevido caso ele ocorresse. Para os CISOs, esses agentes já estão ativos em ambientes que a segurança simplesmente não consegue monitorar de forma consistente.
Outro ponto crítico é a ausência de políticas claras de acesso. O estudo revela que 86% das organizações não aplicam ou não fazem cumprir regras específicas para identidades de IA. Apenas 17% dizem governar ao menos metade dessas identidades com o mesmo rigor aplicado a usuários humanos. Apenas 5% se consideram preparadas para conter um agente de IA comprometido.
A pesquisa também chama atenção para o fenômeno do “Shadow AI”. Três em cada quatro líderes de segurança afirmam já ter identificado ferramentas de IA não autorizadas rodando em seus ambientes. Em muitos casos, essas soluções trazem credenciais embutidas, tokens de acesso ou integrações diretas com sistemas corporativos, operando fora dos fluxos de provisionamento e revisão tradicionais.
Ferramentas para outros contextos
Para os entrevistados, o desafio é agravado pelo uso de ferramentas de identidade e acesso projetadas para outro contexto. Sessenta por cento das organizações ainda tentam gerenciar identidades de IA com modelos baseados em login, sessão e senha, inadequados para agentes autônomos que exigem controle por API, limitação de escopo, gestão de tokens e fiscalização em tempo de execução.
Diante desse cenário, o relatório aponta uma mudança de prioridade. Se o orçamento não fosse uma restrição, 73% dos CISOs investiriam em descoberta e inventário de identidades de workloads e APIs. Outros 68% priorizariam monitoramento contínuo e análise de postura. A meta é obter respostas rápidas e objetivas: o que esse agente acessa, quem o autorizou, o que ele está fazendo e se ainda precisa desse nível de privilégio.
O estudo conclui que a segurança baseada em perímetro não acompanha a IA nos ambientes de nuvem, e políticas de dispositivo não se aplicam a agentes sem interface humana. Nesse contexto, a identidade passa a ser o ponto mais consistente de enforcement. Organizações mais maduras já automatizam a revogação de acessos, aplicam privilégio mínimo em tempo real e encurtam o intervalo entre detecção e resposta.
A mensagem central do relatório é de que era da IA exige uma abordagem diferente de segurança. Identidades de IA já operam com autoridade real dentro das empresas, enquanto os controles ainda não evoluíram no mesmo ritmo. Para os CISOs, tratar essas identidades como usuários de alto risco, com governança contínua e visibilidade total, deixou de ser uma discussão futura e se tornou uma urgência operacional.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
