Como ataques em tempo de execução transformam IA lucrativa em buracos negros no orçamento

Este artigo faz parte da edição especial da VentureBeat, “O custo real da IA: desempenho, eficiência e ROI em escala”. Leia mais nesta edição especial.

A promessa da IA ​​é inegável, mas também o são seus custos de segurança surpreendentes na camada de inferência. Novos ataques direcionados ao lado operacional da IA ​​estão inflando discretamente os orçamentos, colocando em risco a conformidade regulatória e minando a confiança do cliente, o que ameaça o retorno sobre o investimento (ROI) e o custo total de propriedade das implantações de IA corporativa.

A IA cativou as empresas com seu potencial para insights revolucionários e ganhos de eficiência. No entanto, à medida que as organizações se apressam para operacionalizar seus modelos, uma realidade preocupante está surgindo: a fase de inferência, na qual a IA traduz o investimento em valor comercial em tempo real, está sob ataque. Esse momento crítico está elevando o custo total de propriedade (TCO) de maneiras que os casos de negócios iniciais não conseguiram prever.

Executivos de segurança e CFOs que aprovaram projetos de IA visando seu potencial transformador agora estão lidando com os custos ocultos da defesa desses sistemas. Os adversários descobriram que a inferência é onde a IA "ganha vida" para uma empresa, e é precisamente onde eles podem causar o maior dano. O resultado é uma cascata de inflação de custos: a contenção de violações pode exceder US$ 5 milhões por incidente em setores regulamentados, as reformas de conformidade chegam a centenas de milhares e falhas de confiança podem desencadear quedas nas ações ou cancelamentos de contratos que dizimam o ROI projetado da IA. Sem contenção de custos na inferência, a IA se torna um curinga orçamentário ingovernável.

A inferência de IA está rapidamente se tornando o “próximo risco interno”, disse Cristian Rodriguez, CTO de campo para as Américas na CrowdStrike , ao público na RSAC 2025 .

Outros líderes de tecnologia compartilham essa perspectiva e veem um ponto cego comum na estratégia empresarial. Vineet Arora, CTO da WinWire , observa que muitas organizações "se concentram intensamente em proteger a infraestrutura em torno da IA, enquanto inadvertidamente deixam de lado a inferência". Essa omissão, explica ele, "leva a custos subestimados para sistemas de monitoramento contínuo, análise de ameaças em tempo real e mecanismos rápidos de correção".

Outro ponto cego crítico, de acordo com Steffen Schreier, vice-presidente sênior de produtos e portfólio da Telesign , é “a suposição de que modelos de terceiros são cuidadosamente examinados e inerentemente seguros para implantação”.

Ele alertou que, na realidade, "esses modelos muitas vezes não foram avaliados em relação ao cenário de ameaças específico de uma organização ou às suas necessidades de conformidade", o que pode levar a resultados prejudiciais ou não conformes, que corroem a confiança na marca. Schreier disse à VentureBeat que "vulnerabilidades em tempo de inferência — como injeção de prompts, manipulação de resultados ou vazamento de contexto — podem ser exploradas por invasores para produzir resultados prejudiciais, tendenciosos ou não conformes. Isso representa sérios riscos, especialmente em setores regulamentados, e pode corroer rapidamente a confiança na marca".

Quando a inferência é comprometida, as consequências atingem várias frentes do TCO. Os orçamentos de segurança cibernética disparam, a conformidade regulatória é comprometida e a confiança do cliente diminui. O sentimento dos executivos reflete essa crescente preocupação. Na pesquisa State of AI in Cybersecurity da CrowdStrike, apenas 39% dos entrevistados sentiram que as recompensas da IA ​​generativa superam claramente os riscos, enquanto 40% as julgaram comparáveis. Essa ambivalência ressalta uma descoberta crítica: os controles de segurança e privacidade se tornaram os principais requisitos para iniciativas de IA de nova geração, com impressionantes 90% das organizações agora implementando ou desenvolvendo políticas para governar a adoção da IA. As principais preocupações não são mais abstratas; 26% citam a exposição de dados confidenciais e 25% temem ataques adversários como principais riscos.

Líderes de segurança demonstram sentimentos mistos em relação à segurança geral da IA ​​de geração, com as principais preocupações centradas na exposição de dados confidenciais a LLMs (26%) e ataques adversários a ferramentas de IA (25%).

A superfície de ataque única exposta pela execução de modelos de IA está sendo investigada agressivamente por adversários. Para se defender contra isso, Schreier aconselha: "é fundamental tratar cada entrada como um potencial ataque hostil". Frameworks como o OWASP Top 10 para Aplicações de Modelos de Linguagem Grandes (LLM) catalogam essas ameaças, que não são mais teóricas, mas sim vetores de ataque ativos que impactam as empresas:

1. Injeção rápida (LLM01) e tratamento inseguro de saída (LLM02): invasores manipulam modelos por meio de entradas ou saídas. Entradas maliciosas podem fazer com que o modelo ignore instruções ou divulgue código proprietário. O tratamento inseguro de saída ocorre quando um aplicativo confia cegamente nas respostas da IA, permitindo que invasores injetem scripts maliciosos em sistemas posteriores.
2. Envenenamento de dados de treinamento (LLM03) e envenenamento de modelo: invasores corrompem dados de treinamento inserindo amostras contaminadas e implantando gatilhos ocultos. Posteriormente, uma entrada inócua pode desencadear saídas maliciosas.
3. Negação de serviço do modelo (LLM04): Adversários podem sobrecarregar modelos de IA com entradas complexas, consumindo recursos excessivos para desacelerá-los ou travá-los, resultando em perda direta de receita.
4. Vulnerabilidades na cadeia de suprimentos e em plug-ins (LLM05 e LLM07): O ecossistema de IA é construído em componentes compartilhados. Por exemplo, uma vulnerabilidade na ferramenta Flowise LLM expôs painéis privados de IA e dados confidenciais, incluindo tokens do GitHub e chaves de API do OpenAI, em 438 servidores.
5. Divulgação de informações confidenciais (LLM06): consultas inteligentes podem extrair informações confidenciais de um modelo de IA se elas fizerem parte de seus dados de treinamento ou estiverem presentes no contexto atual.
6. Agência excessiva (LLM08) e dependência excessiva (LLM09): Conceder a um agente de IA permissões não verificadas para executar negociações ou modificar bancos de dados é uma receita para o desastre se manipulado.
7. Roubo de modelos (LLM10): Os modelos proprietários de uma organização podem ser roubados por meio de técnicas sofisticadas de extração — um ataque direto à sua vantagem competitiva.

Por trás dessas ameaças estão falhas fundamentais de segurança. Os adversários frequentemente fazem login com credenciais vazadas. No início de 2024, 35% das intrusões na nuvem envolveram credenciais de usuário válidas, e novas tentativas de ataque à nuvem não atribuídas aumentaram 26%, de acordo com o Relatório de Ameaças Globais CrowdStrike 2025. Uma campanha de deepfake resultou em uma transferência fraudulenta de US$ 25,6 milhões , enquanto e-mails de phishing gerados por IA demonstraram uma taxa de cliques de 54%, mais de quatro vezes maior do que aqueles escritos por humanos.

A estrutura OWASP ilustra como vários vetores de ataque LLM têm como alvo diferentes componentes de um aplicativo de IA, desde a injeção rápida na interface do usuário até o envenenamento de dados nos modelos de treinamento e divulgação de informações confidenciais do armazenamento de dados.

Proteger a IA exige um retorno disciplinado aos fundamentos da segurança — mas aplicados sob uma perspectiva moderna. "Acredito que precisamos dar um passo para trás e garantir que a base e os fundamentos da segurança ainda sejam aplicáveis", argumentou Rodriguez. "A mesma abordagem que você teria para proteger um sistema operacional é a mesma que você teria para proteger esse modelo de IA."

Isso significa implementar proteção unificada em todos os caminhos de ataque, com governança de dados rigorosa, gerenciamento robusto de postura de segurança em nuvem (CSPM) e segurança com foco em identidade por meio do gerenciamento de direitos de infraestrutura em nuvem (CIEM) para proteger os ambientes de nuvem onde residem a maioria das cargas de trabalho de IA. À medida que a identidade se torna o novo perímetro, os sistemas de IA devem ser governados com os mesmos controles de acesso rigorosos e proteções de tempo de execução que qualquer outro ativo de nuvem crítico para os negócios.

A IA oculta , ou o uso não autorizado de ferramentas de IA por funcionários, cria uma superfície de ataque massiva e desconhecida. Um analista financeiro que utiliza um LLM online gratuito para documentos confidenciais pode, inadvertidamente, vazar dados proprietários. Como Rodriguez alertou, consultas a modelos públicos podem "se tornar as respostas de terceiros". Lidar com isso requer uma combinação de políticas claras, educação dos funcionários e controles técnicos, como o gerenciamento de postura de segurança de IA (AI-SPM), para descobrir e avaliar todos os ativos de IA, sancionados ou não.

Embora os adversários tenham transformado a IA em uma arma, a maré está começando a mudar. Como observa Mike Riemer, CISO de campo da Ivanti , os defensores estão começando a "aproveitar todo o potencial da IA ​​para fins de segurança cibernética, analisando grandes quantidades de dados coletados de diversos sistemas". Essa postura proativa é essencial para a construção de uma defesa robusta, que requer várias estratégias-chave:

Orçamento para segurança de inferência desde o início: O primeiro passo, segundo Arora, é começar com "uma avaliação abrangente baseada em riscos". Ele recomenda mapear todo o pipeline de inferência para identificar cada fluxo de dados e vulnerabilidade. "Ao vincular esses riscos a possíveis impactos financeiros", explica, "podemos quantificar melhor o custo de uma violação de segurança" e elaborar um orçamento realista.

Para estruturar isso de forma mais sistemática, CISOs e CFOs devem começar com um modelo de ROI ajustado ao risco. Uma abordagem:

ROI de segurança = (custo estimado de violação × probabilidade de risco anual) – investimento total em segurança

Por exemplo, se um ataque de inferência LLM pudesse resultar em uma perda de US$ 5 milhões e a probabilidade fosse de 10%, a perda esperada seria de US$ 500.000. Um investimento de US$ 350.000 em defesas na fase de inferência geraria um ganho líquido de US$ 150.000 em risco evitado. Este modelo permite um orçamento baseado em cenários, diretamente vinculado aos resultados financeiros.

Empresas que alocam menos de 8% a 12% de seus orçamentos de projetos de IA para a segurança na fase de inferência são frequentemente surpreendidas posteriormente pelos custos de recuperação de violações e conformidade . Um CIO de uma empresa de saúde listada na Fortune 500, entrevistado pela VentureBeat e que solicitou anonimato, agora aloca 15% de seu orçamento total de IA para a gestão de riscos pós-treinamento, incluindo monitoramento de tempo de execução, plataformas de IA-SPM e auditorias de conformidade. Um modelo prático de orçamento deve alocar entre quatro centros de custo: monitoramento de tempo de execução (35%), simulação adversarial (25%), ferramentas de conformidade (20%) e análise de comportamento do usuário (20%).

Aqui está um exemplo de instantâneo de alocação para uma implantação de IA empresarial de US$ 2 milhões com base nas entrevistas contínuas da VentureBeat com CFOs, CIOs e CISOs que estão orçando ativamente para dar suporte a projetos de IA:

Esses investimentos reduzem os custos de remediação de violações posteriores, penalidades regulatórias e violações de SLA, tudo ajudando a estabilizar o TCO da IA.

Implemente o monitoramento e a validação em tempo de execução: comece ajustando a detecção de anomalias para detectar comportamentos na camada de inferência, como padrões anormais de chamadas de API, mudanças na entropia de saída ou picos de frequência de consulta. Fornecedores como DataDome e Telesign agora oferecem análises comportamentais em tempo real, adaptadas para gerar assinaturas de uso indevido de IA.

As equipes devem monitorar mudanças de entropia nas saídas, rastrear irregularidades de tokens em respostas de modelos e observar frequências atípicas em consultas de contas privilegiadas. Configurações eficazes incluem o streaming de logs para ferramentas SIEM (como Splunk ou Datadog) com analisadores de IA de geração personalizados e o estabelecimento de limites de alerta em tempo real para desvios das linhas de base do modelo.

Adote uma estrutura de confiança zero para IA: A confiança zero é inegociável para ambientes de IA. Ela opera com base no princípio de "nunca confie, sempre verifique". Ao adotar essa arquitetura, observa Riemer, as organizações podem garantir que "somente usuários e dispositivos autenticados tenham acesso a dados e aplicativos confidenciais, independentemente de sua localização física".

A confiança zero em tempo de inferência deve ser aplicada em várias camadas:

• Identidade : autentique atores humanos e de serviço que acessam pontos de extremidade de inferência.
• Permissões : acesso ao LLM usando controle de acesso baseado em função (RBAC) com privilégios limitados no tempo.
• Segmentação : isole microsserviços de inferência com políticas de malha de serviço e aplique padrões de privilégios mínimos por meio de plataformas de proteção de carga de trabalho em nuvem (CWPPs).

Uma estratégia proativa de segurança de IA requer uma abordagem holística, abrangendo visibilidade e segurança da cadeia de suprimentos durante o desenvolvimento, protegendo infraestrutura e dados e implementando salvaguardas robustas para proteger sistemas de IA em tempo de execução durante a produção.

Proteger o ROI da IA ​​corporativa exige a modelagem ativa do lado financeiro da segurança. Comece com uma projeção de ROI de base e, em seguida, agregue cenários de redução de custos para cada controle de segurança. Mapear os investimentos em segurança cibernética aos custos evitados, incluindo remediação de incidentes, violações de SLA e rotatividade de clientes, transforma a redução de riscos em um ganho mensurável de ROI.

As empresas devem modelar três cenários de ROI que incluam a linha de base, o investimento em segurança e a recuperação pós-violação para demonstrar claramente a prevenção de custos. Por exemplo, uma empresa de telecomunicações que implementou a validação de saída evitou mais de 12.000 consultas roteadas incorretamente por mês, economizando US$ 6,3 milhões anualmente em multas de SLA e volume de chamadas no call center. Associe os investimentos aos custos evitados em remediação de violações, não conformidade com SLA, impacto na marca e rotatividade de clientes para construir um argumento de ROI defensável para os CFOs.

Os CFOs precisam comunicar com clareza como os gastos com segurança protegem os resultados financeiros. Para proteger o ROI da IA ​​na camada de inferência, os investimentos em segurança devem ser modelados como qualquer outra alocação estratégica de capital: com vínculos diretos com o TCO, mitigação de riscos e preservação da receita.

Use esta lista de verificação para tornar os investimentos em segurança de IA defensáveis ​​na sala de reuniões — e acionáveis ​​no ciclo orçamentário.

1. Vincule cada gasto com segurança de IA a uma categoria projetada de redução de TCO (conformidade, correção de violações, estabilidade de SLA).
2. Execute simulações de prevenção de custos com cenários de horizonte de 3 anos: linha de base, protegido e reativo a violações.
3. Quantifique o risco financeiro de violações de SLA, multas regulatórias, erosão da confiança na marca e rotatividade de clientes.
4. Co-modele orçamentos de segurança da camada de inferência com CISOs e CFOs para quebrar silos organizacionais.
5. Apresentar os investimentos em segurança como facilitadores de crescimento, não como despesas gerais, mostrando como eles estabilizam a infraestrutura de IA para captura de valor sustentada.

Este modelo não defende apenas investimentos em IA; ele defende orçamentos e marcas e pode proteger e aumentar a credibilidade da diretoria.

Os CISOs devem apresentar a gestão de riscos de IA como um facilitador de negócios, quantificado em termos de proteção do ROI, preservação da confiança na marca e estabilidade regulatória. À medida que a inferência de IA se aprofunda nos fluxos de trabalho de receita, protegê-la deixa de ser um centro de custos; é o plano de controle para a sustentabilidade financeira da IA. Os investimentos estratégicos em segurança na camada de infraestrutura devem ser justificados com métricas financeiras que permitam aos CFOs agir.

O caminho a seguir exige que as organizações equilibrem o investimento em inovação em IA com um investimento equivalente em sua proteção. Isso exige um novo nível de alinhamento estratégico. Como disse Robert Grazioli, CIO da Ivanti, à VentureBeat: "O alinhamento entre CISOs e CIOs será crucial para proteger eficazmente as empresas modernas". Essa colaboração é essencial para romper os silos de dados e orçamento que comprometem a segurança, permitindo que as organizações gerenciem o verdadeiro custo da IA ​​e transformem uma aposta de alto risco em um motor de crescimento sustentável e com alto ROI.

Schreier, da Telesign, acrescentou: “Vemos os riscos de inferência de IA sob a ótica da identidade digital e da confiança. Incorporamos segurança em todo o ciclo de vida de nossas ferramentas de IA — usando controles de acesso, monitoramento de uso, limitação de taxa e análise comportamental para detectar uso indevido e proteger nossos clientes e seus usuários finais contra ameaças emergentes.”

Ele continuou: “Abordamos a validação de saída como uma camada crítica da nossa arquitetura de segurança de IA, especialmente porque muitos riscos no tempo de inferência não decorrem de como um modelo é treinado, mas de como ele se comporta na prática.”