Seus funcionários já contrataram um exército de agentes de IA. Você sabe?
Shadow AI, vibe coding e Agentic AI: a maior superfície de ataque de 2026 não está no perímetro. Está na mesa ao lado. Por Rodrigo Rocha
Segunda-feira, 8h. Seu analista de marketing criou um agente de IA para automatizar relatórios de campanha. O time de vendas usa outro para qualificar leads. O dev júnior gerou um microserviço inteiro numa plataforma de vibe coding. Três linhas de prompt, zero linhas de revisão. Nenhum dos três passou por segurança, compliance ou TI.
Não é ficção. O Gartner elegeu a proliferação desgovernada de agentes de IA autônomos, a Agentic AI, como tendência nº 1 de cibersegurança para 2026. A pergunta que deveria tirar o sono de qualquer CISO: quantos agentes de IA operam na sua rede neste momento?
O salto que poucos perceberam
Até ontem, o risco de IA se resumia a alguém colar dados no ChatGPT. Ruim, mas contornável. Em 2026, agentes de IA não só recebem dados. Eles agem. Tomam decisões, executam tarefas, acessam APIs, movimentam informações entre sistemas. Com autonomia crescente e, muitas vezes, sem que a equipe de segurança saiba que existem.
Pesquisa da BlackFog (janeiro/2026): 86% dos profissionais usam IA semanalmente no trabalho. Desses, 60% consideram que o risco de segurança compensa se ajudar a bater prazos. O Gartner projeta que 40% dos aplicativos corporativos terão agentes de IA integrados até o fim de 2026, contra menos de 5% em 2025. São “funcionários digitais” que ninguém do RH contratou e ninguém do SOC monitora.
Shadow AI: o Shadow IT com esteroides
Quem viveu o Shadow IT dos anos 2010, com Dropbox e Trello adotados sem aprovação, vai reconhecer o padrão. Mas Shadow AI é exponencialmente mais perigosa. Modelos de linguagem aprendem, inferem, replicam e armazenam dados de forma imprevisível. Pesquisa do Gartner com 175 profissionais mostra que 57% usam contas pessoais de GenAI para trabalho e 33% inserem informações sensíveis em ferramentas não aprovadas.
O custo não é teórico. Segundo a IBM, organizações com alto nível de Shadow AI pagam em média US$ 670 mil a mais por incidente de violação, 16% acima da média. No Brasil, onde o custo médio já orbita R$ 6,75 milhões, faça a conta.
O que vejo na prática
Na Gruppen, vivemos isso de perto. Nossos clientes recebem demandas crescentes para adotar IA, vindas do board, das áreas de negócio, do mercado. A pressão é real e legítima. Mas quando olhamos para dentro, o cenário é outro: a TI ainda engatinha em visibilidade sobre o que já roda de IA no ambiente, a governança é incipiente e a conscientização dos colaboradores sobre os riscos de uso não sancionado é, na melhor das hipóteses, mínima. O gap entre a velocidade de adoção e a maturidade de controle é o maior risco que vejo hoje. E é silencioso.
O que fazer amanhã de manhã
Proibir IA não funciona. A história do Shadow IT provou isso. O caminho é governar sem travar.
1. Inventarie seus agentes. Descubra quantos existem, sancionados ou não. Ferramentas de CASB e DLP já detectam tráfego para APIs de modelos de linguagem. Se você não sabe o que roda, não pode proteger.
2. Estenda o IAM para identidades não humanas. Cada agente precisa de registro, credencial própria e escopo de acesso. Trate-os como trataria um terceirizado com acesso privilegiado, porque é isso que são.
3. Crie playbooks de incidente para IA. O que acontece quando um agente vaza dados? Quando código gerado por vibe coding é explorado? Seu plano de resposta precisa contemplar esses cenários. Hoje.
4. Ofereça alternativas seguras. O motivo nº 1 pelo qual funcionários adotam IA sem aprovação é a ausência de opção corporativa. Sem alternativa interna, eles vão para o ChatGPT pessoal. Simples assim.
5. Troque awareness genérico por treinamento comportamental. O módulo anual de “não clique em links” não cobre o risco de colar um contrato sigiloso num prompt. Adapte para tarefas reais do dia a dia.
O perímetro agora é comportamental
Cada agente de IA criado sem governança é uma porta sem fechadura. Cada prompt com dados sensíveis é um vazamento em potencial. A boa notícia? Estamos no ponto exato em que governança bem feita separa quem vai usar IA como alavanca competitiva de quem vai aparecer na próxima manchete de vazamento.
A pergunta não é se sua empresa usa IA. É se sua empresa governa a IA que já está usando.
Referências: Gartner, Top Cybersecurity Trends for 2026 | BlackFog, Shadow AI Research, jan/2026 | IBM, Cost of a Data Breach Report 2025 | Check Point, Cyber Security Report 2026
