Funcionario usando ferramenta de IA generativa nao autorizada em dispositivo corporativo, ilustrando o risco de shadow AI

Um analista financeiro cola uma planilha de projeção trimestral no ChatGPT para gerar um resumo executivo. Um desenvolvedor pede ajuda a uma extensão de IA no navegador com um trecho de código proprietário. Um gerente de RH usa uma ferramenta gratuita de IA para resumir currículos com dados de candidatos. Nenhum desses três casos passou por aprovação de TI, nenhum aparece em um log de acesso corporativo e, na maioria das empresas, ninguém no time de segurança sabe que isso está acontecendo. Esse é o problema do shadow AI: uso de ferramentas de inteligência artificial generativa fora da visibilidade e da política da organização. Ele já deixou de ser hipótese para virar estatística mensurável em relatórios de mercado.

Este artigo trata do problema de descoberta, quantificação e governança do shadow AI, não da exploração técnica de modelos de linguagem. Para quem busca os riscos de prompt injection e segurança de LLMs, esse é um artigo complementar, com foco diferente.

45% dos funcionários
já usam IA generativa regularmente em dispositivos corporativos, ante 15% no ano anterior, segundo o DBIR 2026 da Verizon.

O Que é Shadow AI e Por Que Não é Apenas Shadow IT com IA

Shadow IT é um problema conhecido de longa data: funcionários assinam SaaS sem passar pelo procurement, instalam aplicativos não homologados, sincronizam arquivos em nuvens pessoais. O shadow AI compartilha a raiz do problema, ferramentas fora do controle de TI, mas muda o tipo de dano possível. Quando um funcionário cola dados corporativos em um chat de IA generativa, o conteúdo sai da infraestrutura da empresa e entra em um sistema de terceiros que pode reter, processar e, dependendo da configuração da conta, usar esse conteúdo para treinar modelos futuros. Não existe contrato de processamento de dados, não existe acordo de confidencialidade cobrindo aquele uso específico, e não existe forma de "deletar" com certeza o que já foi absorvido por um provedor externo.

O agravante é que a maior parte desse uso não passa por conta corporativa. Segundo o mesmo DBIR 2026, 67% dos funcionários acessam serviços de IA por meio de contas pessoais, não corporativas, mesmo em dispositivos da empresa. Isso significa que ferramentas de identidade, single sign-on e políticas de acesso corporativas simplesmente não enxergam essas sessões. Do ponto de vista de um CISO, shadow IT tradicional ainda deixa rastros, uma cobrança de cartão corporativo, um domínio na lista de DNS. Shadow AI via conta pessoal muitas vezes não deixa nenhum.

Os Números Que Mostram a Escala do Problema

Dois relatórios recentes, de fornecedores independentes com metodologias distintas, convergem para o mesmo diagnóstico: shadow AI deixou de ser exceção e virou padrão de comportamento corporativo, sem que a governança tenha acompanhado o ritmo.

O DBIR 2026 da Verizon analisou 858.440 eventos de DLP envolvendo upload de dados para ferramentas de IA generativa, a maior base já usada pelo relatório para medir esse tipo de risco de insider. O resultado: shadow AI se tornou a terceira ação não maliciosa mais comum registrada por ferramentas de DLP, um crescimento de quatro vezes em relação ao ano anterior. Código-fonte é o tipo de dado mais comum enviado para esses modelos externos, à frente de documentação técnica e de pesquisa.

O relatório Cost of a Data Breach 2025, da IBM, mede o impacto financeiro desse comportamento. Violações de dados em organizações com alto uso de shadow AI custaram, em média, US$ 4,63 milhões, US$ 670 mil a mais que a média geral de incidentes. Entre as empresas que sofreram uma violação relacionada a IA, 97% não tinham controles de acesso adequados para esses sistemas, e 63% não tinham política de governança de IA ou ainda estavam desenvolvendo uma. Uma em cada cinco organizações (20%) já sofreu uma violação atribuível especificamente a shadow AI. Para dimensionar o que esse custo médio representa no cenário mais amplo de vazamentos, vale ver nosso panorama de custos de vazamento de dados em 2026.

O padrão não é imaturidade técnica, é ausência de governança. As empresas atingidas não foram vítimas de um ataque sofisticado. Elas simplesmente nunca definiram, documentaram e fiscalizaram o que pode ou não ser inserido em ferramentas de IA públicas, e pagaram a diferença de custo por isso.

Dois Casos Reais Que Mostram os Dois Lados do Risco

Samsung, 2023: o comportamento do funcionário como vetor

Em abril de 2023, menos de vinte dias depois de liberar o acesso ao ChatGPT internamente, a Samsung identificou três incidentes distintos de exposição de dados sensíveis pela mesma ferramenta. Um engenheiro colou código-fonte interno de um programa de testes de semicondutores no ChatGPT para resolver um bug. Outro gravou uma reunião interna, transcreveu o áudio e usou a IA para gerar as notas da reunião. Um terceiro usou a ferramenta para otimizar uma sequência de teste de identificação de chips defeituosos. Em nenhum dos três casos havia intenção maliciosa, e em nenhum dos três havia aprovação prévia de segurança. A Samsung respondeu banindo o uso de ferramentas de IA generativa pelos funcionários e, posteriormente, anunciou o desenvolvimento de um sistema de IA interno com controles próprios de dados.

Microsoft Copilot e GitHub, 2025: a exposição pelo lado do fornecedor

Em fevereiro de 2025, a empresa de segurança israelense Lasso revelou que o Microsoft Copilot ainda conseguia acessar o conteúdo de mais de 20 mil repositórios do GitHub que haviam sido tornados privados ou excluídos, expondo dados de mais de 16 mil organizações, incluindo empresas como AWS, Google, IBM e PayPal. A causa era o cache do Bing: repositórios que estiveram públicos em algum momento de 2024 continuaram acessíveis ao Copilot através de dados em cache, mesmo depois de removidos ou fechados. A Lasso notificou a Microsoft em novembro de 2024; a empresa classificou o problema como de baixa severidade.

Os dois casos mostram faces diferentes do mesmo risco. Samsung é uma falha de comportamento, funcionários decidindo, por conta própria, o que colar em uma ferramenta externa. Copilot é uma falha de arquitetura, uma ferramenta de IA já sancionada pela empresa expondo dados por um comportamento de cache que ninguém previu. Um programa de governança de IA precisa cobrir os dois cenários: o que o funcionário escolhe fazer e o que a ferramenta aprovada faz por conta própria.

Como Descobrir o Que Já Está Acontecendo na Sua Empresa

Antes de escrever qualquer política, é preciso saber o tamanho real do problema. A maioria das empresas subestima o uso de IA generativa simplesmente porque nunca mediu. Algumas fontes de dados que já existem na maior parte dos ambientes corporativos e raramente são cruzadas para esse fim específico:

  • Logs de proxy e DNS: domínios de provedores de IA generativa (ChatGPT, Claude, Gemini, e dezenas de ferramentas menores) geram tráfego identificável mesmo quando o acesso é feito por conta pessoal.
  • Inventário de extensões de navegador: extensões de IA instaladas em navegadores corporativos são um dos vetores de exfiltração menos monitorados. Levantamentos recentes de mercado apontam que mais de 15% dos usuários corporativos têm ao menos uma extensão de IA não autorizada instalada.
  • Relatórios de despesas e cartão corporativo: assinaturas individuais de ferramentas de IA pagas com cartão corporativo ou reembolsadas via despesa são um indicador direto de adoção não sancionada.
  • Eventos de DLP já existentes: se a empresa já tem prevenção de perda de dados implantada, vale revisar se as regras cobrem padrões de upload para domínios de IA, não apenas para nuvens de armazenamento tradicionais.
  • Pesquisa direta e não punitiva com times: perguntar abertamente, sem ameaça de punição, quais ferramentas de IA o time já usa no dia a dia costuma revelar mais do que meses de análise de log, porque reduz o incentivo de esconder o uso.

O objetivo dessa fase não é montar um dossiê para punir funcionários. É construir uma linha de base real de quais ferramentas, com que frequência, e com que tipo de dado, já estão em uso, para que a política que vier a seguir resolva um problema real, não um problema hipotético.

Bloquear o Acesso Resolve o Problema?

A reação mais comum, quando uma liderança descobre o volume de uso não sancionado, é bloquear o acesso a ChatGPT, Copilot e ferramentas semelhantes na rede corporativa. O problema é que bloqueio de domínio resolve apenas o acesso pelo dispositivo corporativo na rede corporativa, e o próprio dado do DBIR 2026 já mostra por que isso não fecha a lacuna: 67% do uso já acontece por conta pessoal, frequentemente pelo celular do próprio funcionário, fora da rede monitorada. Bloquear sem oferecer alternativa não elimina o comportamento, apenas o empurra para fora da visibilidade que a empresa ainda tinha.

Times sob pressão de prazo vão continuar usando IA generativa para acelerar trabalho, com ou sem aprovação. A pergunta que a liderança de segurança deveria fazer não é "como impedir o uso de IA", e sim "qual uso de IA a empresa está disposta a sancionar, com quais dados, e como monitorar o resto".

Isso não significa que controles técnicos de bloqueio não tenham valor, eles têm, especialmente para reduzir a superfície de exposição em dispositivos corporativos. Significa que bloqueio sozinho, sem política clara e sem alternativa sancionada, tende a produzir uma falsa sensação de controle.

Construindo Política e Controles Antes do Incidente

Um programa de governança de shadow AI eficaz combina quatro elementos, na ordem em que fazem sentido operacional.

Classificar dados antes de decidir o que pode ir para IA pública

Sem uma base de classificação de dados, qualquer política de uso de IA vira uma lista genérica de proibições que ninguém segue. O ponto de partida é definir, por categoria de dado (código-fonte, dados de cliente, informação financeira não pública, propriedade intelectual), o que nunca pode ir para uma ferramenta de IA pública, independentemente da conveniência.

Publicar uma política de uso de IA com exemplos concretos

Políticas genéricas do tipo "não insira dados sensíveis em ferramentas externas" não mudam comportamento. Políticas eficazes trazem exemplos do dia a dia da empresa: pode usar IA pública para revisar um rascunho de e-mail, não pode para resumir uma ata com números financeiros não divulgados; pode usar para gerar pseudocódigo genérico, não pode para depurar um trecho de código proprietário.

Implantar controles técnicos que não dependam de boa vontade

Regras de DLP ajustadas para padrões de upload em domínios de IA, CASB para visibilidade de SaaS não sancionado e gestão de extensões de navegador via MDM reduzem a dependência de que cada funcionário lembre e siga a política manualmente.

Oferecer uma alternativa sancionada e um canal rápido de aprovação

Parte do uso não sancionado existe porque pedir aprovação para uma nova ferramenta demora semanas. Disponibilizar uma versão corporativa de IA generativa, com garantias contratuais de não retenção para treinamento, e um processo de aprovação de novas ferramentas em dias, não meses, remove o principal motivo prático para contornar a política.

Sua empresa sabe quanto uso de IA generativa já acontece fora do radar de TI?

Ajudamos empresas a descobrir o uso real de shadow AI, classificar dados antes de liberar ferramentas e estruturar política e controles técnicos de governança de IA antes que um incidente force essa conversa.

Falar com Especialista

Perguntas Frequentes

O que é shadow AI e como difere de shadow IT tradicional?

Shadow AI é o uso de ferramentas de inteligência artificial generativa sem aprovação ou visibilidade de TI e segurança. A diferença para shadow IT tradicional está no dano potencial: dados colados em uma IA generativa saem da infraestrutura da empresa e entram em um sistema de terceiros que pode reter e processar esse conteúdo, muitas vezes sem contrato de confidencialidade cobrindo o uso específico.

Como descobrir quais ferramentas de IA os funcionários já usam sem aprovação?

Cruzando fontes que já existem na maioria dos ambientes: logs de proxy e DNS para domínios de IA generativa, inventário de extensões de navegador, relatórios de despesas com assinaturas de ferramentas, regras de DLP existentes e pesquisa direta e não punitiva com os times. A combinação dessas fontes revela a linha de base real de uso, que costuma ser maior do que a liderança espera.

Bloquear o acesso a ChatGPT e Copilot resolve o problema?

Não sozinho. Segundo o DBIR 2026 da Verizon, 67% do acesso a ferramentas de IA já acontece por conta pessoal, muitas vezes fora da rede corporativa monitorada. Bloquear o domínio na rede da empresa reduz parte da exposição, mas não elimina o comportamento nem devolve a visibilidade perdida quando o funcionário simplesmente usa o celular pessoal.

Uma política de uso de IA é suficiente sem controles técnicos?

Não. O relatório Cost of a Data Breach 2025 da IBM mostra que 97% das organizações com uma violação relacionada a IA não tinham controles de acesso adequados, mesmo quando havia alguma política escrita. Política define o que é permitido; controles técnicos como DLP e CASB garantem que a regra seja aplicada mesmo quando um funcionário não a segue.

Quais dados nunca devem ser inseridos em ferramentas de IA públicas?

Código-fonte proprietário, dados pessoais de clientes ou funcionários, informação financeira não divulgada publicamente e qualquer segredo comercial protegido por contrato ou regulação exigem tratamento especial. Uma classificação de dados prévia é o que permite transformar essa lista genérica em regras específicas para cada tipo de informação da empresa.

Conclusao

Shadow AI não é um risco futuro nem um problema exclusivo de empresas de tecnologia. Os números do DBIR 2026 da Verizon e do Cost of a Data Breach 2025 da IBM descrevem um comportamento já consolidado: quase metade da força de trabalho usa IA generativa regularmente, a maior parte por conta pessoal, fora de qualquer controle corporativo. Os casos da Samsung e do Copilot mostram que esse risco tem duas origens distintas, a decisão individual de um funcionário e uma falha de arquitetura em uma ferramenta já sancionada, e que um programa de governança precisa responder às duas.

Nenhuma dessas ações, descobrir o uso real, classificar dados, publicar política com exemplos concretos e implantar controles técnicos, depende de esperar por um incidente para começar. O custo médio adicional de US$ 670 mil em violações com alto uso de shadow AI é, essencialmente, o preço de adiar essa conversa.

Inteligencia Brasil

Roberto Lima

Especialista em Seguranca Ofensiva, Threat Intelligence e Detection Engineering na Inteligencia Brasil.