Black Hat 2025: Snyk Mostra o Caminho para Proteger o Código na Era da IA
Por Altevir Ferezin Junior
Ao caminhar pelos corredores da Black Hat 2025, uma pergunta estava na mente de todos: se os desenvolvedores estão usando Inteligência Artificial para escrever código, quem garante a segurança desse código? Durante minha cobertura do evento em Las Vegas, vi várias empresas tentando responder a essa questão, mas a Snyk apresentou uma das visões mais coesas e focadas no desenvolvedor com sua nova iniciativa, “Secure At Inception” (Segurança Desde a Concepção).
Ficou claro, ao acompanhar as apresentações da Snyk, que a estratégia da empresa não é lutar contra o uso de IA, mas sim integrar-se a ela, tornando a segurança uma parte invisível e natural do processo de desenvolvimento auxiliado por máquinas.
Segurança em Tempo Real para o Código Gerado por IA
O anúncio que mais me chamou a atenção foi, sem dúvida, o MCP Server (Model Context Protocol). Na prática, é a tecnologia que permite que a plataforma da Snyk “converse” em tempo real com assistentes de codificação como o GitHub Copilot.
O que vi em Las Vegas foi a demonstração de um futuro próximo: um desenvolvedor pede ao seu assistente de IA para criar uma função, e o código é gerado em segundos. Instantaneamente, a tecnologia da Snyk o analisa e, se encontrar uma vulnerabilidade, notifica o assistente de IA, que então tenta gerar uma versão corrigida. É a segurança “shift-left” levada ao extremo, atuando antes mesmo que o código vulnerável seja salvo no projeto.
O “RG” do Software de IA: O AI-Bill of Materials (AI-BOM)
Outro conceito poderoso que a Snyk trouxe para o debate foi o AI-BOM (AI-Bill of Materials). Se o SBOM já é uma realidade para sabermos quais componentes de código aberto usamos, o AI-BOM expande essa ideia para o universo da IA.
A proposta é criar um “inventário” completo de tudo o que foi usado para criar um software com IA: os modelos, os conjuntos de dados de treinamento e até os prompts utilizados. Para qualquer gestor de TI ou segurança, ter essa rastreabilidade é fundamental para auditar e confiar nas aplicações que estão sendo construídas.
Ampliando a Visão para APIs e Aplicações Web
Além do foco em código, a Snyk também anunciou o Snyk API & Web, sua nova abordagem para testes dinâmicos (DAST). A solução foi pensada para se integrar de forma automatizada às esteiras de CI/CD, ajudando a encontrar vulnerabilidades em APIs e aplicações já em execução, um complemento essencial à análise estática do código.
Minha impressão ao final do evento é que a Snyk compreendeu profundamente a mudança de paradigma que a IA está causando. A empresa está apostando que o futuro da segurança de aplicações não está em ferramentas que interrompem o desenvolvedor, mas naquelas que o capacitam, oferecendo feedback instantâneo e se integrando de forma nativa ao seu novo fluxo de trabalho movido por IA. Para nós do Café com Bytes, fica a certeza de que a forma como medimos e aplicamos a segurança no desenvolvimento de software está mudando para sempre.
