Um modelo de Inteligência Artificial (IA) é, por natureza, um devorador de dados. Ele é treinado com bilhões de informações disponíveis na internet e, em muitos casos, também com o conteúdo que os próprios usuários digitam diretamente. Essa interação contínua significa que cada vez que você conversa com a IA, o modelo aprende mais sobre como as pessoas se comunicam e, potencialmente, sobre você em particular. O simples ato de interagir já se configura como um ato de exposição que muitos ignoram.

“As pessoas geralmente não percebem que, ao enviar informações para um LLM (Large Language Model), estão expondo dados a um ambiente que não diferencia conteúdo sensível de conteúdo comum. Muitos usuários copiam códigos, contratos, registros internos ou dados pessoais acreditando estar num espaço privado, mas o modelo apenas processa o que recebe, e os provedores podem manter esses dados para si, para aprendizagem da IA, além de registros técnicos para auditoria e segurança”, alerta Pollyne Zunino, Subcoordenadora do SWAT Team na Apura e especialista em Investigação de Crimes Cibernéticos, Fraudes Eletrônicas e Inteligência Digital.

O levantamento feito pela equipe da Apura joga luz sobre uma armadilha que não enxergamos e cada vez mais comum: a entrega inocente de informações sensíveis a sistemas que não foram feitos para guardá-las.

E casos reais que ilustram o risco. Um dos mais frequentes envolve desenvolvedores que enviam trechos de código para otimização, sem notar que deixaram ali embutidos tokens de acesso, URLs internas ou credenciais temporárias. Mesmo que o modelo responda com eficácia, o estrago já está feito — ou seja, aquele dado confidencial foi transmitido, processado e possivelmente registrado em logs da plataforma. E, uma vez que a informação foi usada para aprendizagem de uma IA, ela pode eventualmente fazer parte de uma resposta para outros usuários do mesmo serviço de LLM. Seja um token, um CPF, um pedaço de contrato ou um pipeline estratégico, a lógica é a mesma: o que entra no modelo passa a fazer parte da IA e não volta mais ao controle do usuário.

Nas empresas, o cenário é ainda mais crítico. A facilidade de uso e adoção espontânea e desordenada de ferramentas de IA pelos colaboradores cria um ambiente conhecido como Shadow AI, um ecossistema paralelo e invisível, onde dados corporativos circulam fora das camadas de proteção projetadas para guardá-los.

Informações de clientes, código proprietário, planos estratégicos, contratos confidenciais e ativos críticos: tudo pode ser copiado, colado e enviado a uma plataforma externa sem qualquer avaliação de risco.

Ferramentas não homologadas abrem brechas que passam despercebidas por sistemas tradicionais de defesa cibernética, como DLP, SIEM e EDR, transformando modelos de IA externos em potenciais canais de vazamento.

“Provedores como OpenAI, Google e Anthropic, só para citar alguns, possuem políticas de privacidade que limitam o uso de dados pessoais e diferenciam o tratamento entre API e interface web”, explica Zunino. “Normalmente, indicam que não utilizam dados enviados por API para treinar modelos, embora possam reter informações operacionais para segurança”.

Já no universo open source — um conjunto de softwares, ferramentas, sistemas e comunidades cujo código-fonte é aberto e pode ser visto, modificado, aprimorado e distribuído por qualquer pessoa — a proteção recai inteiramente sobre quem hospeda e opera o modelo. E, muitas vezes, essa hospedagem não está preparada ou estruturada para garantir segurança adequada.

A Apura ressalta que os cibercriminosos estão bastante atentos à esses fatos. “Hoje, grupos especializados exploram desde falhas de configuração em modelos corporativos até vazamentos involuntários em logs, repositórios e instâncias internas”, explica a especialista da Apura Cyber Intelligence.

Técnicas como model inversion, membership inference e prompt injection permitem extrair padrões sensíveis, reidentificar usuários, manipular comportamentos do modelo e reconstruir dados originalmente sigilosos. “Em outras palavras, o criminoso não precisa mais invadir a rede. Ele só precisa acessar o que vazou pelos prompts de IA”, reforça Pollyne.

Como se proteger

A especialista reforça: “A IA não é seu diário. Não é sua caixa de e-mail relareporconfidencial. Antes de colar qualquer conteúdo, a pergunta deve ser: ‘Se isso vazasse, eu ficaria tranquilo?’”.

Entre as principais orientações:

• jamais inserir dados pessoais ou corporativos sensíveis;
• seguir rigidamente as políticas internas de cibersegurança;
• priorizar ferramentas de IA homologadas pelo time de tecnologia e segurança da sua empresa;
• adotar modelos locais e agentes autônomos operados dentro da própria infraestrutura da empresa.

“LLMs locais eliminam o envio de dados para terceiros e facilitam a conformidade com legislações sobre privacidade como LGPD e GDPR. Além disso, permitem automações avançadas, com navegadores autônomos, extração de dados e geração de relatórios, sem comprometer a privacidade”, explica.

A Apura, referência em Cyber Threat Intelligence (CTI), tem acompanhado de perto a evolução desse ecossistema de risco e mapeado como criminosos incorporam IA em cada fase do ataque.

“Nós monitoramos fontes abertas, comunidades e infraestruturas onde criminosos compartilham prompts corporativos vazados, artefatos sensíveis e novas técnicas de exploração de modelos”, afirma Pollyne Zunino. “Esse trabalho identifica exposições involuntárias e também como grupos maliciosos usam a IA para automatizar engenharia social, varredura de vulnerabilidades, spear phishing e a produção de artefatos maliciosos mais sofisticados”.

A especialista finaliza afirmando: “A IA está aprendendo o tempo todo e, se você não prestar atenção, ela pode aprender muito mais do que deveria.”

Assessoria