A proliferação de ferramentas de inteligência artificial (IA) está criando novas brechas para ciberataques, afirmou Ami Luttwak, diretor de tecnologia da Wiz, durante participação recente no podcast Equity, do site TechCrunch.
Velocidade x segurança
Segundo Luttwak, empresas correm para incorporar IA em processos de desenvolvimento — com “vibe coding”, agentes autônomos ou outras soluções — e acabam sacrificando boas práticas de segurança. Testes conduzidos pela Wiz, comprada pelo Google neste ano por US$ 32 bilhões, mostraram que implementações de autenticação em aplicações geradas por IA frequentemente são frágeis porque “é mais fácil construir assim”.
Esse mesmo ritmo acelerado também beneficia criminosos. “Os invasores já usam prompt engineering e seus próprios agentes de IA para explorar sistemas”, afirmou. Ele relata casos em que o atacante convence ferramentas internas de IA a revelar segredos, excluir arquivos ou derrubar máquinas.
Ataques na cadeia de suprimentos
Integrações de IA adicionadas para elevar a produtividade interna também viraram porta de entrada. Em agosto, o ataque batizado de “s1ingularity” introduziu malware no Nx, popular sistema de build para JavaScript, que detectava a presença de assistentes como Claude e Gemini e os sequestrava para vasculhar dados. Milhares de tokens e chaves de desenvolvedores foram expostos, concedendo acesso a repositórios privados no GitHub.
No mês passado, a startup Drift — fornecedora de chatbots de IA para vendas e marketing — sofreu violação que expôs dados do Salesforce de clientes corporativos, incluindo Cloudflare, Palo Alto Networks e o próprio Google. Os invasores obtiveram tokens, imitaram o chatbot e movimentaram-se lateralmente nos ambientes dos clientes. Parte do código malicioso, destaca Luttwak, também foi criado por “vibe coding”.
Adoção tímida, impactos amplos
Embora estime que apenas 1 % das empresas tenha adotado IA de forma abrangente, o executivo afirma que a Wiz já observa ataques semanais que atingem milhares de clientes corporativos. “A IA está presente em todas as etapas do fluxo de ataque. Esta revolução é mais rápida do que qualquer outra”, disse.
Resposta da Wiz
Fundada em 2020 para identificar falhas em nuvens públicas, a Wiz passou o último ano ampliando suas ofertas. Em setembro de 2024, lançou o Wiz Code, voltado à segurança do ciclo de desenvolvimento. Em abril de 2025, apresentou o Wiz Defend, que monitora e responde a ameaças em tempo de execução.
Dicas para startups de IA
Luttwak aconselha novas empresas a colocarem segurança no centro desde o primeiro dia, incluindo a contratação de um CISO, adoção de logs de auditoria, autenticação robusta e single sign-on. Ele lembra que a Wiz obteve certificação SOC 2 antes mesmo de escrever a primeira linha de código, processo que considera mais simples com poucos funcionários.
Para startups que pretendem vender a grandes empresas, o executivo defende arquiteturas onde os dados do cliente permaneçam em seu próprio ambiente. “Se cada área da segurança tem novos ataques, precisamos repensar todas elas”, concluiu.
Palavras-chave: IA, cibersegurança, Wiz, Ami Luttwak, ataques, vibe coding, supply chain, Drift, Nx, Google
Com informações de TechCrunch
