A segurança da IA é crítica, mas a Google Cloud enfrenta desafios com APIs e faturamento, revelando uma lacuna entre conselhos de liderança e a realidade operacional.
A inteligência artificial transforma negócios em velocidade vertiginosa, mas com ela surge um desafio igualmente rápido: a segurança cibernética. Em Los Angeles, Francis de Souza, COO do Google Cloud, trouxe uma mensagem clara: a segurança não pode ser um item para ser encaixado depois. A ironia? O próprio Google Cloud tem sido alvo de críticas por questões recentes envolvendo faturamento inesperado e falhas na revogação de chaves de API, expondo a complexa relação entre o discurso ideal e a prática real no ambiente multicloud da IA.
O cenário da tecnologia vive um momento de redefinição, onde a adoção da inteligência artificial não é mais uma opção, mas uma necessidade estratégica. Contudo, essa corrida por inovação levanta preocupações cruciais sobre a proteção de dados e sistemas. A visão de De Souza, embora fundamental, se choca com a experiência de desenvolvedores que viram suas contas do Google Cloud dispararem devido a vulnerabilidades e políticas de faturamento questionáveis, evidenciando que até mesmo gigantes como o Google estão ajustando a rota em tempo real.
Leia também
A discussão transcende a esfera técnica, impactando diretamente o orçamento e a confiança de empresas que dependem dessas plataformas. Este descompasso não apenas eleva o risco financeiro para os usuários, mas também destaca a urgência para que os provedores de nuvem fortaleçam suas próprias práticas, garantindo que a segurança seja intrínseca à sua arquitetura, e não apenas um conselho a ser dado aos clientes.
O que está acontecendo
Em um evento recente, Francis de Souza, COO do Google Cloud, enfatizou a necessidade de uma abordagem de plataforma integrada para a segurança da IA. Segundo ele, a segurança não pode ser “parafusada” posteriormente nem deixada a cargo dos funcionários, que podem recorrer a ferramentas de consumo sem supervisão — o que ele chamou de “shadow AI”. De Souza argumenta que uma estratégia de IA é indissociável de uma estratégia de dados e segurança, especialmente em um mundo onde quase todas as empresas operam em ambientes multicloud, mesmo sem perceber.
Ele alertou sobre a mudança drástica no cenário de ameaças: o tempo médio entre uma violação inicial e a próxima fase de um ataque caiu de oito horas para 22 segundos. A superfície de ataque se expandiu para além do perímetro tradicional da rede, incluindo agora modelos de IA, pipelines de dados de treinamento, agentes e prompts. De Souza também destacou o perigo de agentes de IA encontrarem repositórios de dados esquecidos dentro das empresas, expondo informações sensíveis de servidores SharePoint antigos com controles de acesso desatualizados.
A resposta, em sua visão, é combater a velocidade da máquina com a velocidade da máquina, através de uma “defesa totalmente agêntica e nativa de IA”, onde humanos supervisionam, mas não lideram, o processo defensivo. Isso, ele reforçou, se tornou uma questão de nível de conselho e de equipe executiva, não apenas da equipe de segurança.
Contrariando os conselhos de De Souza, o próprio Google Cloud tem enfrentado problemas de segurança. Desenvolvedores foram surpreendidos com faturas altíssimas após chamadas de API não autorizadas para modelos Gemini. Em vários casos, chaves de API originalmente para Google Maps, expostas publicamente conforme as próprias instruções do Google, passaram a permitir acesso ao Gemini após uma expansão de escopo sem aviso claro. Isso resultou em contas exorbitantes e cancelamentos lentos de chaves comprometidas.
Por que isso importa
A disparidade entre o conselho do Google Cloud e seus próprios desafios operacionais realça a complexidade de gerenciar a segurança na era da IA. Para empresas embarcando na jornada da inteligência artificial, a mensagem é clara: a segurança deve ser uma prioridade desde o início, e a dependência de plataformas exige vigilância constante sobre suas próprias práticas.
Os incidentes de faturamento inesperado não são apenas um problema técnico, mas um alerta financeiro e de governança. Empresas podem ser pegas de surpresa por custos elevados, impactando orçamentos e a viabilidade de projetos. Além disso, a lenta revogação de chaves de API expõe lacunas críticas na infraestrutura de segurança, permitindo que atacantes operem por tempo suficiente para exfiltrar dados valiosos, mesmo após a detecção inicial da falha.
A crise de talentos em segurança de IA, conforme alertado pela CISO do LinkedIn, Lea Kissner, adiciona outra camada de urgência. Com as vulnerabilidades da IA se multiplicando mais rápido do que as equipes podem lidar, a confiança nas plataformas se torna ainda mais crítica. É imperativo que os provedores de nuvem não apenas preguem a segurança, mas demonstrem um compromisso inabalável com ela em suas próprias operações e políticas, garantindo transparência e controle aos usuários.
Destaques e números
- A velocidade das ameaças cibernéticas mudou dramaticamente: o tempo médio entre uma violação e a próxima etapa de um ataque caiu de 8 horas para apenas 22 segundos.
- Rod Danan, CEO da Prentus, viu sua conta do Google Cloud atingir R$ 50.690 (US$ 10.138) em aproximadamente 30 minutos devido a uma chave de API comprometida.
- Isuru Fonseka, desenvolvedor de Sydney, acumulou cerca de AUD $17.000 em cobranças inesperadas, mesmo acreditando ter um limite de gastos de US$ 250 (R$ 1.250).
- Sistemas automatizados do Google, sem consentimento explícito, podem elevar os tetos de gastos para até R$ 500.000 (US$ 100.000), baseados no histórico da conta.
- A pesquisa da empresa de segurança Aikido revelou que chaves de API antigas do Google podem permanecer utilizáveis por até 23 minutos após serem excluídas, enquanto formatos mais novos (credenciais de conta de serviço e chaves Gemini AQ-prefixadas) levam 5 segundos e 1 minuto, respectivamente, para revogar.
- A chefe de segurança da informação do LinkedIn, Lea Kissner, adverte para a “bug-pocalypse” e a carência de especialistas em segurança de IA, indicando que a indústria levará anos para compreender a segurança da IA de forma sustentável.
O que observar daqui pra frente
A transição para um futuro dominado pela IA exige uma reavaliação profunda das estratégias de segurança. As empresas precisarão adotar defesas “AI-native”, capazes de operar na velocidade da máquina e gerenciar a complexidade de um ambiente de ameaças em constante evolução. Isso significa que a segurança será cada vez mais uma função orquestrada por agentes de IA, com supervisão humana, liberando equipes para lidar com desafios mais estratégicos e complexos.
Por outro lado, a pressão sobre os grandes provedores de nuvem, como o Google Cloud, aumentará. Eles precisarão não apenas educar o mercado, mas também demonstrar em suas próprias plataformas a excelência e a transparência que seus líderes defendem. A harmonização das políticas de faturamento, a clareza nas mudanças de escopo de APIs e a agilidade na revogação de credenciais serão cruciais para manter a confiança dos desenvolvedores e das empresas.
Enquanto a escassez de talentos em segurança de IA persistir, as vulnerabilidades podem continuar a superar a capacidade de resposta das equipes. Este cenário aponta para um período de adaptação e aprendizado contínuo, onde a inovação em IA deve ser acompanhada por um compromisso igualmente robusto com a segurança e a governança. O caminho para um “lugar melhor” em segurança da IA será uma jornada de colaboração e aperfeiçoamento constante entre usuários e provedores de tecnologia.
Hashtags: #navigating #security #real #time #Google #GranaBit #Tecnologia #Inovação #Startups #MercadoDigital
Curtiu essa matéria do GranaBit? Compartilhe com sua rede e acompanhe as inovações que estão moldando o futuro.
Fonte: techcrunch.com (Adaptação: GranaBit)
