A corrida pela produtividade no desenvolvimento de software atingiu um ponto crítico onde a segurança tornou-se secundária em relação à velocidade de entrega. Segundo um levantamento realizado pela Checkmarx, que ouviu 2.350 desenvolvedores e gestores de segurança globalmente, 70% dos profissionais acreditam que o código gerado por inteligência artificial apresenta mais vulnerabilidades do que o escrito manualmente. A despeito dessa percepção, 30% dos entrevistados admitem enviar deliberadamente código vulnerável para o ambiente de produção.

O cenário aponta para uma normalização do risco dentro das organizações, impulsionada pela pressão constante por lançamentos mais rápidos. Com cerca de metade da base de código atual sendo gerada por ferramentas de IA, a falha na segurança deixa de ser um erro técnico isolado para se tornar uma característica estrutural dos processos modernos de desenvolvimento, elevando a frequência de incidentes de segurança nas empresas.

A falha sistêmica na origem do código

A raiz do problema reside na própria natureza do treinamento dos modelos de linguagem. Como a IA é alimentada por vastos repositórios de código público, ela acaba replicando padrões de codificação obsoletos ou inseguros que já existiam na base de dados. Estudos acadêmicos, como os realizados pela Universidade da Flórida Central, indicam que esses modelos frequentemente ignoram recursos modernos de compiladores e linguagens, optando por práticas defasadas que são mais suscetíveis a ataques.

Além disso, o uso extensivo de componentes de código aberto, que compõem 59% do software atual, adiciona uma camada de complexidade. Muitas vezes, esses pacotes contêm vulnerabilidades que não são detectadas a tempo, seja por falta de manutenção ou por ataques maliciosos injetados em repositórios populares. O resultado é um ecossistema onde a segurança é frequentemente comprometida pela dependência de bibliotecas externas que não passaram por uma auditoria rigorosa.

O mecanismo do risco acelerado

Existe uma correlação direta identificada pelo estudo entre o volume de código gerado por IA e a frequência de brechas de segurança. Organizações com níveis de adoção de IA entre 81% e 100% apresentam uma taxa de envio de código vulnerável 3,4 vezes maior do que aquelas com adoção inicial. O problema não é a falta de ferramentas de análise, mas a incapacidade organizacional de integrar essas defesas ao fluxo de trabalho.

As empresas dispõem de soluções de análise estática e novas ferramentas baseadas em IA para correção, mas falham na tradução desses diagnósticos em processos de desenvolvimento seguros. A pressão por deploy rápido faz com que as equipes priorizem a funcionalidade em detrimento da mitigação de riscos, tratando a segurança como um gargalo que pode ser contornado ou resolvido posteriormente, o que raramente ocorre na prática.

Tensões na cadeia de valor

Para os CISOs e gestores de tecnologia, o desafio é equilibrar a agilidade competitiva com a proteção do ambiente digital. A normalização do risco cria uma dívida técnica e de segurança que pode se tornar impagável a longo prazo. Reguladores e clientes, por sua vez, começam a exigir maior transparência sobre a procedência e a segurança do código, o que pode forçar uma mudança de postura em setores mais críticos, como o financeiro e o de infraestrutura.

No Brasil, onde o ecossistema de tecnologia tem adotado rapidamente ferramentas de IA para compensar a escassez de talentos seniores, esse fenômeno merece atenção. A adoção desenfreada sem processos de governança robustos pode colocar empresas locais em risco de ataques recorrentes, minando a confiança de usuários e parceiros em um momento onde a resiliência digital é um diferencial competitivo.

O futuro da governança técnica

A incerteza permanece sobre se a próxima geração de ferramentas de IA será capaz de auto-corrigir essas falhas ou se a intervenção humana continuará sendo o único filtro confiável. Observar como as empresas ajustarão seus ciclos de desenvolvimento para incluir a verificação de segurança como etapa inegociável será fundamental nos próximos meses.

O debate sobre a responsabilidade técnica na era da automação apenas começou, e a indústria terá que decidir se o custo da agilidade compensa a exposição a brechas recorrentes. A questão central é se o mercado aceitará a insegurança crônica como um subproduto inevitável da inovação ou se exigirá padrões de qualidade mais rigorosos para o código gerado por máquinas.

Com reportagem de Brazil Valley

Source · The Register