Por Mike Hanley, Chief Security Officer e Vice-Presidente Sênior de Engenharia no GitHub

Por onde começo a falar sobre Inteligência Artificial (IA)? Essa tecnologia é segura? Como discutir os riscos potenciais com a minha equipe?

publicidade

São perguntas que frequentemente recebo hoje em dia, porque ao mesmo tempo que a IA está ajudando pessoas desenvolvedoras a programar mais rapidamente e serem mais produtivas, alguns líderes estão preocupados que ela possa introduzir dores de cabeça adicionais em termos de segurança e gerenciamento de riscos.

Mas a verdade é que as indústrias de cibersegurança e desenvolvimento de software não são estranhas às tecnologias emergentes e devemos continuar abraçando todas as ferramentas disponíveis para manter o ecossistema de software cada vez mais seguro.

Leia mais:

Na verdade, no Brasil, o relatório Confiança na Inteligência Artificial indicou que 84% dos entrevistados acham que a IA é confiável. Isso é maior do que a média global, onde 61% dos entrevistados têm cautela em confiar em sistemas de IA. Além disso, quase todos os brasileiros entrevistados (93%) têm expectativas boas ou moderadas em relação aos benefícios que a tecnologia pode proporcionar, com a maioria considerando sistemas de IA como sendo “confiáveis” e que “atendem às expectativas”.

Essa confiança e otimismo refletem o crescimento de pessoas desenvolvedoras em toda a América do Sul e o crescente interesse em IA. O relatório State of the Octoverse de 2023 do GitHub revelou que a comunidade de desenvolvedores do Brasil está em sexto lugar globalmente em termos de contribuições para projetos de IA generativa na plataforma, e fica claro por que a demanda está aumentando.

(Imagem: Pexels)

A IA torna a promessa de segurança “shift left” uma realidade

Quando usada de maneira eficaz, a IA pode prevenir que um código vulnerável sequer se torne parte do código base, transformando radicalmente a experiência de segurança. A IA fornece contexto para possíveis falhas e sugestões de código seguro desde o início (embora seja importante ainda testar o código produzido pela IA). Essas capacidades permitem que o código seja escrito de maneira mais segura em tempo real e que a verdadeira promessa de “shift left” seja finalmente cumprida. 

Isso é revolucionário. Tradicionalmente, “shift left” significava obter feedback de segurança depois de transformar a ideia em código, mas antes de implantá-la em produção. Mas com a IA, a segurança está verdadeiramente incorporada e não apenas adicionada. Não há maneira mais avançada de “shift left” do que fazer isso no exato local onde os desenvolvedores estão transformando suas ideias em código, com a IA como programadora auxiliar ao longo do caminho. É uma nova era emocionante em que a essa tecnologia generativa estará na linha de frente da defesa cibernética.

No entanto, também é importante observar que, da mesma forma que a IA não substituirá os desenvolvedores, ela não substituirá a necessidade de equipes de segurança. Ainda não estamos no nível 5 de direção autônoma (quando o veículo atua de forma totalmente autônoma) das IAs. Precisamos manter as mãos no volante e trabalhar com nossos controles de segurança existentes. 

Inteligência Artificial
Imagem: SomYuZu/Shutterstock

Adoção da IA em sua empresa

Algumas equipes já estão colhendo benefícios de produtividade da IA, mas outros líderes ainda têm dúvidas sobre como começar a usar e integrar essas ferramentas de maneira segura nos fluxos de trabalho de suas organizações. Abaixo, compartilho três melhores práticas para empresas que desejam adotar a ferramenta generativa ao mesmo tempo em que protegem seus ativos mais valiosos.

1. Trate as ferramentas de IA como qualquer outra

Embora a IA seja uma tecnologia inovadora, ela tem muito em comum com outras ferramentas. Para avaliar uma ferramenta de IA, você pode começar com os mesmos frameworks de segurança e risco que você usaria para qualquer outra ferramenta que pretende integrar ao seu sistema, personalizando-os ao longo do tempo. Solicitar diagramas de fluxo de dados, relatórios de testes externos e outras informações sobre a segurança e maturidade da ferramenta também é importante.

2. Verifique o uso e retenção de dados

É crucial observar como seus dados, ou os de seus clientes, são gerenciados. Afinal, muitas preocupações de segurança surgem quando um provedor de serviços retém e usa informações sensíveis da empresa ou de seus clientes. Você precisa saber como a ferramenta de IA gerencia os dados, para onde os dados vão, como são compartilhados e se serão retidos. Preste atenção também em saber se o fornecedor usa dados do cliente para treinar seus modelos de IA e entenda quais as opções disponíveis para aceitar ou recusar o uso de dados com base em suas necessidades.

Imagem simulando uma IA
(Imagem: Pexels)

3. Verifique cláusulas de propriedade intelectual e auditorias da ferramenta

As ferramentas de IA abrem um novo mundo de questões de propriedade intelectual (PI), e o cenário legal ainda está evoluindo. É importante considerar as cláusulas de PI da ferramenta e revisar os termos do acordo de licença para entender quais proteções podem ser oferecidas.

Além disso, testes e auditorias de terceiros são excelentes para avaliar a eficácia ou segurança de uma tecnologia, e a mesma história se aplica aqui. Escolher uma ferramenta de IA que tenha sido rigorosamente testada e auditada ajudará a fortalecer a postura de segurança de sua organização.

A IA não substituirá a necessidade de equipes de segurança, mas aprimorará significativamente seu trabalho, ajudando a escrever código mais seguro em tempo real. Ao adotar as melhores práticas acima, é possível estabelecer diretrizes e regras de engajamento que resultarão em melhores resultados de segurança, de maneira mais rápida, e que transformarão radicalmente a próxima década de segurança com a IA incorporada ao longo do ciclo de desenvolvimento de software.