O futuro da segurança de aplicações na era da IA: estamos de olhos vendados
A Checkmarx acaba de publicar seu relatório global de 2026 sobre segurança de aplicações, e o diagnóstico é direto: a indústria não tem mais um problema de ferramentas — tem uma crise de execução. As empresas continuam gerando código em volume crescente, com IA e componentes open-source, mas suas práticas de segurança, seus modelos de responsabilidade e seus processos simplesmente não acompanharam esse ritmo.
A IA está agora profundamente integrada a todo o ciclo de vida de desenvolvimento de software e pela primeira vez, o código escrito à mão deixou de ser a regra para se tornar exceção. Estima-se que quase metade (49%) do código em produção seja gerado por IA e 67% das organizações relatam que componentes de código aberto constituem pelo menos metade de sua base de código. O desenvolvimento acelerou drasticamente, e a exposição a riscos também.
Na prática, o papel do desenvolvedor mudou: de autor, ele passou a editor, supervisionando um volume cada vez maior de código produzido por máquinas.
E esse volume tem um preço. 96% das organizações já usam ou testam componentes de IA em suas aplicações — o que significa que cada camada do software moderno se tornou uma porta de entrada em potencial para atacantes.
À medida que as organizações priorizam entregas mais rápidas, o código vulnerável é cada vez mais aceito como uma concessão de negócios, e não como uma exceção. Mas a velocidade é apenas parte do problema. O código em si é inerentemente mais arriscado. 70% dos desenvolvedores afirmam que a geração de código por IA criou mais vulnerabilidades em 2025, e os componentes de código aberto — que agora compõem a maior parte da maioria das bases de código — trazem riscos que as organizações herdam, mas não controlam, incluindo: dependências sem correção, pacotes maliciosos e ataques à cadeia de suprimentos.
Os dados deste relatório revelam um ciclo vicioso: o volume de código gerado por IA correlaciona-se diretamente com a implementação de código vulnerável, o que, por sua vez, correlaciona-se diretamente com a frequência de violações de segurança. Organizações onde 81% a 100% do código é gerado por IA lançam código vulnerável a uma taxa 3,4 vezes maior do que aquelas com adoção entre 1% e 20%, sofrendo também um número significativamente maior de violações.
Ao mesmo tempo, surgiu uma desconexão perigosa entre confiança e realidade. A maioria das organizações acredita que sua postura de segurança é madura, mas as violações continuam sendo persistentes e recorrentes.
A visibilidade dos riscos melhorou, mas muitas organizações optam por ignorá-los. Equipes de segurança, desenvolvedores e lideranças reconhecem os riscos, mas permanecem desalinhados quanto à responsabilidade, às prioridades e à prestação de contas para enfrentá-los.
O risco virou rotina
Talvez o achado mais desconfortável do relatório seja este: 75% das organizações admitem implantar, com conhecimento prévio, código que sabem ser vulnerável. As razões variam — prazos apertados, controles compensatórios em que se confia demais, vulnerabilidades difíceis de corrigir — mas 30% dos casos se resumem a uma aposta simples: esperar que ninguém descubra a falha.
Essa pressão não fica só no código. 95% dos CISOs relatam ter sido pressionados, com frequência ou ocasionalmente, a suprimir ou atrasar a divulgação de achados de segurança relacionados a compliance. Ou seja: o risco não está apenas passando despercebido — está sendo escondido de forma deliberada em pontos críticos de decisão.
Confiança não é sinônimo de segurança
Aqui está talvez a virada mais interessante do relatório. 73% dos CISOs e gerentes de AppSec avaliam a postura de segurança da própria empresa como madura ou avançada. Mas 93% dessas mesmas organizações relatam ter sofrido pelo menos uma violação de segurança causada por uma aplicação vulnerável que elas mesmas desenvolveram.
No entanto, a descoberta mais surpreendente vem daqueles que estão no topo dessa curva: organizações que se classificam como “altamente maduras”. Elas relatam os maiores volumes de código gerado por IA (60%), as maiores taxas de lançamento de código vulnerável (42%) e taxas de violação praticamente indistinguíveis das do restante do setor. A confiança, neste caso, não está protegendo ninguém. Está cegando.
As ferramentas funcionam. O sistema, não.
As organizações também estão adotando medidas mais ativas para responder a essa situação. Houve um aumento no foco em ameaças à segurança relacionadas à IA (47%), nos investimentos em práticas de DevSecOps (43%), na automação (43%) e no treinamento de desenvolvedores (42%). Muitas organizações também estão começando a adaptar suas práticas de cadeia de suprimentos de software para lidar melhor com os riscos associados à IA. Observam-se, ainda, sinais iniciais de melhoria gradual. A proporção de organizações que implantam código vulnerável de forma consciente apresentou uma leve queda no último ano, indicando uma tendência de estabilização em um patamar elevado.
Não é falta de tecnologia. 96% dos desenvolvedores já têm ferramentas de segurança com IA integradas ao próprio ambiente de desenvolvimento, e praticamente todos (99,6%) as consideram eficazes. O problema aparece depois: apenas 18% aplicam segurança de forma contínua enquanto escrevem código. O restante ainda trabalha em checkpoints pontuais — e quando a vulnerabilidade é sinalizada tarde demais, corrigi-la significa refazer código que já seguiu adiante.
As organizações também estão adotando medidas mais ativas para responder a essa situação. Houve um aumento no foco em ameaças à segurança relacionadas à IA (47%), nos investimentos em práticas de DevSecOps (43%), na automação (43%) e no treinamento de desenvolvedores (42%). Muitas organizações também estão começando a adaptar suas práticas de cadeia de suprimentos de software para lidar melhor com os riscos associados à IA. Observam-se, ainda, sinais iniciais de melhoria gradual. A proporção de organizações que implantaram código vulnerável de forma consciente apresentou uma queda no último ano, diminuindo uma tendência de estabilização em um patamar elevado.
Em média, os desenvolvedores já dedicam quase metade (49%) do seu tempo semanal a tarefas de segurança. Ainda assim, quando uma vulnerabilidade crítica não é corrigida a tempo, são eles que arcam com as consequências: post-mortems, avaliações de desempenho impactadas, releases bloqueados. Os sistemas que falham em entregar orientação clara e workflows integrados continuam intactos — mas a cobrança recai sobre quem escreve o código, não sobre quem desenhou o processo.
Mas o resultado ainda é uma taxa de remediação baixíssima: apenas 9% das organizações corrigem mais de 90% das vulnerabilidades identificadas dentro de 90 dias. A dispersão de ferramentas de segurança — sem dono claro, sem processo unificado — é apontada como o maior desafio organizacional do setor.
Segundo o relatório níveis mais elevados de código gerado por IA estão associados a códigos mais vulneráveis chegando à produção e a uma maior frequência de violações de segurança — e os profissionais que escrevem o código sabem disso: 70% dos desenvolvedores afirmam que a geração de código por IA criou mais vulnerabilidades em 2025.
O fator Mythos: a janela de exploração encolheu para minutos
A pesquisa foi conduzida em março de 2026, um mês antes da Anthropic divulgar seu modelo Mythos, que demonstrou capacidade de descobrir e explorar vulnerabilidades em larga escala e velocidade nunca vistas antes — produzindo exploits funcionais quase 100 vezes mais rápido que seu antecessor. Isso torna ainda mais urgente um dos achados centrais do relatório: a estratégia de “esperar não ser descoberto” deixou de ser arriscada para se tornar simplesmente indefensável. Quando o tempo entre a existência de uma falha e um exploit funcional cai de meses para minutos, toda vulnerabilidade não corrigida — legada ou recente — passa a ser um zero-day em potencial.
O que precisa mudar
O relatório é claro: o problema não vai ser resolvido com mais ferramentas. As organizações precisam de:
- Priorização por risco real, não apenas por volume de achados — tratando o volume de código gerado por IA como um multiplicador de risco.
- Segurança embutida no fluxo de trabalho, dentro do IDE e dos pipelines, em vez de um checkpoint isolado no fim do processo.
- Redução da fragmentação de ferramentas e responsabilidades, hoje distribuídas sem dono claro.
- Governança mais forte sobre IA, aplicando o mesmo rigor já usado no resto da stack de software.
- Responsabilidade alinhada à capacidade real dos times — desenvolvedores precisam de sistemas que reduzam ruído, não que aumentem a carga.
- A passagem de visibilidade para execução, com segurança agêntica capaz de agir na velocidade da ameaça, sem depender de aprovação humana em cada etapa.
A venda não caiu sozinha
As respostas de CISOs e gerentes de AppSec indicam que as organizações estão adotando uma ampla gama de medidas para lidar com os riscos associados à IA em toda a cadeia de suprimentos de software. Os esforços estão distribuídos entre governança, monitoramento, avaliação e uso de *sandboxes*, mas nenhuma abordagem isolada surgiu como padrão; a adoção varia de forma equilibrada, situando-se entre 33% e 36% em todas as estratégias. Os dados mostram que as organizações reconhecem a necessidade de adaptação em termos de governança, ferramentas e processos. A adoção ocorre de maneira relativamente uniforme entre múltiplas estratégias, sem que um padrão claro tenha se consolidado. As organizações estão realizando experimentos, incorporando novos controles às práticas existentes e promovendo adaptações paralelas em diferentes áreas. Esse cenário reflete um setor em transição, que responde ativamente a novos riscos, mas ainda não chegou a um consenso sobre a melhor forma de gerenciá-los de maneira consistente.
A venda nos olhos não representa falta de visibilidade. Ela é a falha em transformar o que se vê naquilo que precisa ser feito. Removê-la exige uma mudança estrutural profunda: alinhamento entre ferramentas e fluxos de trabalho, entre a apropriação da responsabilidade (*ownership*) e a prestação de contas (*accountability*), e entre a forma como o software é desenvolvido e protegido. A venda é colocada por nós mesmos. Assim como a decisão de removê-la. Os dados deste relatório mostram que, em todos os níveis da organização — dos IDE (Integrated Development Environment) do desenvolvedor ao relatório do CISO para o conselho —, existe um ponto em que a visibilidade se converte em inação. As organizações que prosperarem na era da atuação proativa (*agentic era*) não serão aquelas com a melhor capacidade de detecção. Serão aquelas que deixaram de permitir que riscos conhecidos sobrevivam à cadeia de decisão.
A conclusão do relatório resume bem o momento: a venda que impede as empresas de enxergar o próprio risco não é falta de dados — é a incapacidade (ou a escolha) de transformar o que já se sabe em ação. Todas as camadas da organização, do IDE do desenvolvedor ao relatório que chega à diretoria, têm um ponto onde a visibilidade se converte em inação.
As empresas que vão prosperar na era da IA agêntica não serão as que têm a melhor detecção de ameaças. Serão as que finalmente pararem de deixar riscos conhecidos sobreviverem à própria cadeia de decisão.
Resumo baseado no relatório “The Future of Application Security in the Era of AI” (Checkmarx, 2026 Global Report), com dados coletados entre 10 e 30 de março de 2026 junto a 2.350 desenvolvedores, CISOs e gerentes de AppSec em 14 países.
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Novo serviço de phishing da Bluekit burla a autenticação multifator
- Vulnerabilidade crítica no python.org permite requisições de API como Admin
- Ataques com ransomwares fizeram 791 vítimas em maio
- O Fantasma na Máquina: o desafio das alucinações de IA na segurança corporativa
- Sem usar vírus, golpe que engana funcionários se multiplica por 37
- Estratégia de cibersegurança vira pilar de sobrevivência para empresas
- IA leva à descoberta de nova técnica de ransomware
- Judiciário brasileiro combate ataques com tecnologia de alta performance
- Altos riscos da segurança em data centers
- IA, ameaças nacionais e cenário global redefinem estratégias de defesa
- Ataques cibernéticos ampliam preocupação do mercado de resseguros
- Governo preparar assinatura digital para a era quântica

Be the first to comment