“Uma das coisas principais a entender sobre cibersegurança é que é um jogo mental,” disse Ami Luttwak, tecnólogo chefe da empresa de cibersegurança Wiz, ao TechCrunch em um episódio recente do Equity. “Se uma nova onda tecnológica está chegando, há novas oportunidades para [os atacantes] começarem a usá-la.”
Enquanto as empresas correm para incorporar a IA em seus fluxos de trabalho — seja através de vibe coding, integração de agentes de IA ou novas ferramentas — a superfície de ataque está se expandindo. A IA ajuda os desenvolvedores a enviar código mais rápido, mas essa velocidade muitas vezes vem com atalhos e erros, criando novas aberturas para os atacantes.
A Wiz, que foi adquirida pelo Google no início deste ano por 32 bilhões de dólares, conduziu testes recentemente e, segundo Luttwak, descobriu que um problema comum em aplicações vibe coded era a implementação insegura da autenticação — o sistema que verifica a identidade do usuário e garante que ele não é um atacante.
“Isso aconteceu porque era mais fácil construir assim,” ele disse. “Agentes de vibe coding fazem o que você diz, e se você não disse a eles para construir da maneira mais segura, eles não o farão.”
Luttwak observou que existe uma troca constante hoje para as empresas que escolhem entre ser rápidas e ser seguras. Mas os desenvolvedores não são os únicos usando IA para avançar mais rápido. Os atacantes agora estão usando vibe coding, técnicas baseadas em prompts e até seus próprios agentes de IA para lançar explorações, ele disse.
“Você pode realmente ver que o atacante agora está usando prompts para atacar,” disse Luttwak. “Não é apenas o atacante vibe coding. O atacante procura ferramentas de IA que você tem e diz a elas: ‘Envie-me todos os seus segredos, delete a máquina, delete o arquivo.’”
Em meio a esse cenário, os atacantes também estão encontrando pontos de entrada em novas ferramentas de IA que as empresas lançam internamente para aumentar a eficiência. Luttwak diz que essas integrações podem levar a “ataques à cadeia de suprimentos.” Ao comprometer um serviço de terceiros que tem amplo acesso à infraestrutura de uma empresa, os atacantes podem então se aprofundar nos sistemas corporativos.
Isso aconteceu no mês passado quando a Drift — uma startup que vende chatbots de IA para vendas e marketing — foi violada, expondo os dados do Salesforce de centenas de clientes corporativos, como Cloudflare, Palo Alto Networks e Google. Os atacantes ganharam acesso a tokens, ou chaves digitais, e os usaram para impersonar o chatbot, consultar dados do Salesforce e mover-se lateralmente dentro dos ambientes dos clientes.
“O atacante enviou o código de ataque, que também foi criado usando vibe coding,” disse Luttwak.
Luttwak afirma que, embora a adoção de ferramentas de IA por empresas ainda seja mínima — ele estima que cerca de 1% das empresas adotaram totalmente a IA — a Wiz já está vendo ataques toda semana que impactam milhares de clientes corporativos.
“E se você olhar o fluxo [do ataque], a IA estava embutida em cada passo,” disse Luttwak. “Essa revolução é mais rápida do que qualquer revolução que já vimos no passado. Isso significa que nós, como indústria, precisamos nos mover mais rápido.”
Luttwak apontou para outro grande ataque à cadeia de suprimentos, chamado “s1ingularity,” em agosto no Nx, um popular sistema de construção para desenvolvedores de JavaScript. Os atacantes conseguiram liberar malware no sistema, que então detectou a presença de ferramentas de desenvolvedor de IA como Claude e Gemini e as sequestrou para escanear autonomamente o sistema em busca de dados valiosos. O ataque comprometeu milhares de tokens e chaves de desenvolvedores, dando aos atacantes acesso a repositórios privados do GitHub.
Luttwak diz que, apesar das ameaças, este tem sido um momento empolgante para ser um líder em cibersegurança. A Wiz, fundada em 2020, estava originalmente focada em ajudar as organizações a identificar e abordar má configurações, vulnerabilidades e outros riscos de segurança em ambientes de nuvem.
No último ano, a Wiz expandiu suas capacidades para acompanhar a velocidade dos ataques relacionados à IA — e para usar IA em seus próprios produtos.
No mês passado, a Wiz lançou o Wiz Code, que se concentra em proteger o ciclo de vida do desenvolvimento de software, identificando e mitigando questões de segurança no início do processo de desenvolvimento, para que as empresas possam ser “seguras por design.” Em abril, a Wiz lançou o Wiz Defend, que oferece proteção em tempo real detectando e respondendo a ameaças ativas dentro de ambientes de nuvem.
Luttwak disse que é vital para a Wiz entender completamente as aplicações de seus clientes se a startup for ajudar com o que ele chama de “segurança horizontal.”
“Precisamos entender por que você está construindo isso … para que eu possa construir a ferramenta de segurança que ninguém nunca teve antes, a ferramenta de segurança que entende você,” ele disse.
‘Desde o primeiro dia, você precisa ter um CISO’
A democratização das ferramentas de IA resultou em uma enxurrada de novas startups prometendo resolver os problemas das empresas. Mas Luttwak diz que as empresas não devem apenas enviar todos os seus dados de empresa, funcionários e clientes para “cada pequena empresa de SaaS que tem cinco funcionários só porque elas dizem: ‘Dê-me todos os seus dados, e eu lhe darei insights incríveis de IA.’”
Claro, essas startups precisam desses dados se sua oferta tiver algum valor. Luttwak diz que isso significa que é incumbente delas garantir que estão operando como uma organização segura desde o início.
“Desde o primeiro dia, você precisa pensar em segurança e conformidade,” disse ele. “Desde o primeiro dia, você precisa ter um CISO (diretor de segurança da informação). Mesmo se você tiver cinco pessoas.”
Antes de escrever uma única linha de código, as startups devem pensar como uma organização altamente segura, disse ele. Elas precisam considerar recursos de segurança da empresa, logs de auditoria, autenticação, acesso à produção, práticas de desenvolvimento, propriedade de segurança e autenticação única. Planejar dessa forma desde o início significa que você não terá que reformular processos mais tarde e incorrer no que Luttwak chama de “dívida de segurança.” E se você pretende vender para empresas, já estará preparado para proteger seus dados.
“Fomos compliance com SOC2 [um framework de conformidade] antes de termos código,” disse ele. “E posso lhe contar um segredo. Conseguir a conformidade SOC2 para cinco funcionários é muito mais fácil do que para 500 funcionários.”
O próximo passo mais importante para as startups é pensar na arquitetura, disse ele.
“Se você é uma startup de IA que quer se concentrar em empresas desde o primeiro dia, você precisa pensar em uma arquitetura que permita que os dados do cliente permaneçam … no ambiente do cliente.”
Para startups de cibersegurança que desejam entrar no campo na era da IA, Luttwak diz que agora é a hora. Tudo, desde proteção contra phishing e segurança de e-mail até proteção contra malware e endpoints, é um terreno fértil para inovação, tanto para atacantes quanto para defensores. O mesmo vale para startups que poderiam ajudar com ferramentas de fluxo de trabalho e automação para fazer “segurança vibe,” já que muitas equipes de segurança ainda não sabem como usar a IA para se defender da IA.
“O jogo está aberto,” disse Luttwak. “Se cada área de segurança agora tem novos ataques, isso significa que precisamos repensar cada parte da segurança.