Por Mike Hanley, Chief Security Officer e Vice-Presidente Sênior de Engenharia no GitHub
Por onde começo a falar sobre Inteligência Artificial (IA)? Essa tecnologia é segura? Como discutir os riscos potenciais com a minha equipe?
São perguntas que frequentemente recebo hoje em dia, porque ao mesmo tempo que a IA está ajudando pessoas desenvolvedoras a programar mais rapidamente e serem mais produtivas, alguns líderes estão preocupados que ela possa introduzir dores de cabeça adicionais em termos de segurança e gerenciamento de riscos.
Mas a verdade é que as indústrias de cibersegurança e desenvolvimento de software não são estranhas às tecnologias emergentes e devemos continuar abraçando todas as ferramentas disponíveis para manter o ecossistema de software cada vez mais seguro.
Leia mais:
- Como a inteligência artificial pode simplificar o design de chips
- Circule para Pesquisar: 5 ideias do que pesquisar na busca inteligente do Google
- Como usar a IA do Google direto no navegador Chrome
Na verdade, no Brasil, o relatório Confiança na Inteligência Artificial indicou que 84% dos entrevistados acham que a IA é confiável. Isso é maior do que a média global, onde 61% dos entrevistados têm cautela em confiar em sistemas de IA. Além disso, quase todos os brasileiros entrevistados (93%) têm expectativas boas ou moderadas em relação aos benefícios que a tecnologia pode proporcionar, com a maioria considerando sistemas de IA como sendo “confiáveis” e que “atendem às expectativas”.
Essa confiança e otimismo refletem o crescimento de pessoas desenvolvedoras em toda a América do Sul e o crescente interesse em IA. O relatório State of the Octoverse de 2023 do GitHub revelou que a comunidade de desenvolvedores do Brasil está em sexto lugar globalmente em termos de contribuições para projetos de IA generativa na plataforma, e fica claro por que a demanda está aumentando.
A IA torna a promessa de segurança “shift left” uma realidade
Quando usada de maneira eficaz, a IA pode prevenir que um código vulnerável sequer se torne parte do código base, transformando radicalmente a experiência de segurança. A IA fornece contexto para possíveis falhas e sugestões de código seguro desde o início (embora seja importante ainda testar o código produzido pela IA). Essas capacidades permitem que o código seja escrito de maneira mais segura em tempo real e que a verdadeira promessa de “shift left” seja finalmente cumprida.
Isso é revolucionário. Tradicionalmente, “shift left” significava obter feedback de segurança depois de transformar a ideia em código, mas antes de implantá-la em produção. Mas com a IA, a segurança está verdadeiramente incorporada e não apenas adicionada. Não há maneira mais avançada de “shift left” do que fazer isso no exato local onde os desenvolvedores estão transformando suas ideias em código, com a IA como programadora auxiliar ao longo do caminho. É uma nova era emocionante em que a essa tecnologia generativa estará na linha de frente da defesa cibernética.
No entanto, também é importante observar que, da mesma forma que a IA não substituirá os desenvolvedores, ela não substituirá a necessidade de equipes de segurança. Ainda não estamos no nível 5 de direção autônoma (quando o veículo atua de forma totalmente autônoma) das IAs. Precisamos manter as mãos no volante e trabalhar com nossos controles de segurança existentes.
Adoção da IA em sua empresa
Algumas equipes já estão colhendo benefícios de produtividade da IA, mas outros líderes ainda têm dúvidas sobre como começar a usar e integrar essas ferramentas de maneira segura nos fluxos de trabalho de suas organizações. Abaixo, compartilho três melhores práticas para empresas que desejam adotar a ferramenta generativa ao mesmo tempo em que protegem seus ativos mais valiosos.
1. Trate as ferramentas de IA como qualquer outra
Embora a IA seja uma tecnologia inovadora, ela tem muito em comum com outras ferramentas. Para avaliar uma ferramenta de IA, você pode começar com os mesmos frameworks de segurança e risco que você usaria para qualquer outra ferramenta que pretende integrar ao seu sistema, personalizando-os ao longo do tempo. Solicitar diagramas de fluxo de dados, relatórios de testes externos e outras informações sobre a segurança e maturidade da ferramenta também é importante.
2. Verifique o uso e retenção de dados
É crucial observar como seus dados, ou os de seus clientes, são gerenciados. Afinal, muitas preocupações de segurança surgem quando um provedor de serviços retém e usa informações sensíveis da empresa ou de seus clientes. Você precisa saber como a ferramenta de IA gerencia os dados, para onde os dados vão, como são compartilhados e se serão retidos. Preste atenção também em saber se o fornecedor usa dados do cliente para treinar seus modelos de IA e entenda quais as opções disponíveis para aceitar ou recusar o uso de dados com base em suas necessidades.
3. Verifique cláusulas de propriedade intelectual e auditorias da ferramenta
As ferramentas de IA abrem um novo mundo de questões de propriedade intelectual (PI), e o cenário legal ainda está evoluindo. É importante considerar as cláusulas de PI da ferramenta e revisar os termos do acordo de licença para entender quais proteções podem ser oferecidas.
Além disso, testes e auditorias de terceiros são excelentes para avaliar a eficácia ou segurança de uma tecnologia, e a mesma história se aplica aqui. Escolher uma ferramenta de IA que tenha sido rigorosamente testada e auditada ajudará a fortalecer a postura de segurança de sua organização.
A IA não substituirá a necessidade de equipes de segurança, mas aprimorará significativamente seu trabalho, ajudando a escrever código mais seguro em tempo real. Ao adotar as melhores práticas acima, é possível estabelecer diretrizes e regras de engajamento que resultarão em melhores resultados de segurança, de maneira mais rápida, e que transformarão radicalmente a próxima década de segurança com a IA incorporada ao longo do ciclo de desenvolvimento de software.