Recentemente tive a oportunidade de conversar com Francis de Souza, COO do Google Cloud, nos bastidores de um evento em Los Angeles. Em meio ao barulho ao nosso redor, de Souza, que fala com a maneira calma e comedida de um professor universitário, ofereceu conselhos úteis para empresas que navegam no momento de segurança de IA que todos estamos vivendo, observando que “haverá um período de transição, e então acho que chegaremos a este lugar melhor”.
Ele não estava falando sobre o Google naquele momento, mas está claro que até o Google ainda está descobrindo as coisas.
A mensagem central de De Souza era uma que os profissionais de segurança vêm tentando fazer com que os executivos internalizem há anos, agora tornada urgente pela IA: a segurança não pode ser uma reflexão tardia. “À medida que as empresas embarcam nesta jornada de IA, elas precisam adotar uma abordagem de plataforma”, disse ele. “Segurança não é algo que você possa implementar mais tarde e não é algo que você possa deixar para os funcionários fazerem por conta própria.” Ele alertou especificamente sobre a “IA sombra” – funcionários que buscam ferramentas de consumo sem supervisão organizacional – e argumentou que as empresas precisam exigir segurança, governança e auditabilidade de suas plataformas desde o início. “Não existe estratégia de IA sem uma estratégia de dados e uma estratégia de segurança. Elas precisam andar de mãos dadas.”
Vale a pena notar: ele não estava lançando o Google Cloud sozinho. Quando observei que seu conselho parecia um anúncio do Google, ele recuou. O Google, disse ele, está comprometido com uma abordagem multicloud, e defendeu que as empresas que pensam que estão operando em uma única nuvem quase certamente não estão. “Mesmo que escolham uma única nuvem, eles dependem de aplicativos SaaS, há parceiros de negócios que podem usar nuvens diferentes”, disse ele. “É importante que as empresas tenham uma postura de segurança consistente em todas as nuvens e em todos os modelos.”
Ele também argumentou que o cenário de ameaças mudou tão fundamentalmente que os antigos modelos defensivos são muito lentos. Ele observou que o tempo médio entre uma violação inicial e a transferência para o próximo estágio de um ataque caiu de oito horas para 22 segundos, e que a superfície de ataque se expandiu muito além do perímetro da rede tradicional. “Além do seu patrimônio habitual, você tem modelos agora. Você tem pipelines de dados usados para treinar os modelos. Você tem agentes, você tem prompts. Tudo isso precisa ser protegido.”
Uma ameaça que Souza sinalizou que não recebe atenção suficiente: os agentes que se movem pelos sistemas internos de uma empresa podem trazer à tona repositórios de dados esquecidos nos quais ninguém pensava há anos. “Muitas organizações têm servidores SharePoint antigos [and access controls] eles realmente não foram atualizados, mas isso não importava porque ninguém sabia realmente onde eles estavam. Mas os agentes que percorrem sua empresa encontrarão esses ativos de dados e exporão os dados neles contidos.”
A resposta, na sua opinião, é combinar a velocidade da máquina com a velocidade da máquina. “Estamos vendo agora o surgimento de uma defesa totalmente agente, nativa da IA, onde as organizações podem operar agentes que conduzem sua defesa”, disse ele. “Em vez de ter uma defesa liderada por humanos ou mesmo um humano no circuito, agora você pode ter humanos supervisionando uma defesa totalmente agente.” Ele acrescentou que isso se tornou uma questão de liderança, não apenas de tecnologia. “Esta é uma questão do conselho e da equipe executiva. Não é apenas uma questão da equipe de segurança.”
Mas mesmo que a IA assuma uma maior carga de trabalho defensiva, as pessoas qualificadas para supervisioná-la são escassas – e as vulnerabilidades que a própria IA está a introduzir estão a multiplicar-se mais rapidamente do que as equipas de segurança conseguem resolvê-las. “Vamos precisar de pessoas para lidar com o pocalipse dos bugs”, disse Lea Kissner, diretora de segurança da informação do LinkedIn. disse ao New York Times esta semana, acrescentando que ela não espera que a indústria compreenda a segurança da IA de forma sustentável a longo prazo durante pelo menos vários anos.
O que nos traz de volta aos próprios fornecedores de plataformas. O Register publicou uma série de relatórios nas últimas semanas documentando uma onda de desenvolvedores do Google Cloud atingidos por contas de cinco dígitos após chamadas de API não autorizadas para modelos Gemini – serviços que muitos deles nunca usaram ou ativaram intencionalmente. Os casos seguiram um padrão familiar: as chaves de API originalmente implantadas para o Google Maps, colocadas publicamente de acordo com as instruções do próprio Google, tornaram-se silenciosamente capazes de acessar o Gemini depois que o Google expandiu seu escopo sem divulgar claramente a mudança.
Rod Danan, CEO da plataforma de preparação para entrevistas Prentus, disse que seu projeto foi um sucesso US$ 10.138 em aproximadamente 30 minutos depois que invasores exploraram sua chave de API comprometida. Isuru Fonseka, um desenvolvedor baseado em Sydney cuja conta foi comprometida de forma semelhante, acordou com cobranças de cerca de AUD $ 17.000, apesar de acreditar que tinha um limite de gastos de $ 250 em vigor. O que nenhum dos dois sabia era que os sistemas automatizados do Google tinham atualizado seus níveis de faturamento com base no histórico da conta, aumentando seus tetos efetivos para até US$ 100 mil sem consentimento explícito.
O Google reembolsou ambos depois que o The Register publicou seu relatório inicial. Ainda assim, o Google disse ao The Register que não tem planos de alterar sua política de atualização automática de níveis, dizendo que prioriza a prevenção de interrupções de serviço em vez de impor as preferências orçamentárias declaradas dos usuários.
Enquanto isso, há a questão separada do que acontece quando um desenvolvedor tenta desligar as coisas. O Registro relatado esta semana com base em uma pesquisa da empresa de segurança Aikido, que descobriu que mesmo os desenvolvedores que detectam uma chave comprometida e a excluem imediatamente podem não ser seguros. De acordo com as descobertas do Aikido, aparentemente os invasores podem continuar usando essa chave por até 23 minutos porque a revogação do Google se propaga gradualmente em sua infraestrutura. O pesquisador de Aikido Joseph Leon disse ao The Register que durante esse período, as taxas de sucesso são imprevisíveis – em alguns minutos, mais de 90% das solicitações ainda são autenticadas – e os invasores podem usar o tempo para exfiltrar arquivos e dados de conversas em cache do Gemini.
Leon também observou que os formatos de credenciais mais recentes do Google não parecem ter o mesmo problema: as credenciais da API da conta de serviço são revogadas em cerca de cinco segundos, e o formato de chave com prefixo AQ mais recente do Gemini leva cerca de um minuto. “Ambos funcionam na escala do Google”, escreveu ele no artigo relacionado ao Aikido. “Ambos sugerem que isso também pode ser tecnicamente resolvido para as chaves de API do Google.” Resumindo, segundo Leon, a janela de 23 minutos não é uma restrição de engenharia, mas uma questão de prioridades para a empresa.
Vale a pena considerar isso ao ler o conselho de Souza, que é válido e deve ser levado muito a sério. Ele não está errado, mas atualmente existe uma lacuna entre as plataformas que prescrevem e a rapidez com que elas próprias se adaptam, e é bom estar ciente disso também.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
