Se a IA amplia a velocidade de desenvolvimento e também a superfície de ataque, a resposta do mercado tem sido empregar a própria tecnologia para identificar riscos e automatizar correções.
A inteligência artificial entrou no desenvolvimento de software para reduzir tempo. Linhas de código que antes levavam horas passaram a ser geradas em minutos. Funções inteiras são sugeridas automaticamente e testes são escritos junto com a aplicação. O ciclo encurtou, e isso já aparece na forma como empresas estruturam seus times e entregas.
Dados de mercado indicam esse deslocamento. Levantamento da GitHub aponta que desenvolvedores conseguem concluir tarefas até 55% mais rápido com apoio de IA. Já a McKinsey & Company estima que a automação pode reduzir em até 30% o tempo de desenvolvimento em projetos de software. E, assim, a produtividade deixou de ser limitada pela escrita manual.
Mas a aceleração trouxe o risco embutido no próprio código gerado. Como a IA aprende a partir de padrões existentes, ela pode incorporar práticas inseguras e gerar código com vulnerabilidades, especialmente quando esses padrões não são contextualizados. E, quando isso acontece em alta velocidade, o problema, antes pontual, passa a se multiplicar dentro das aplicações.
E assim, a discussão sai do campo da produtividade e entra no campo da segurança, mais especificamente, no campo de Application Security (AppSec), que trata da proteção do software desde a sua concepção. Em Application Security (AppSec), a própria IA é usada para analisar o código em tempo real, identificar padrões de vulnerabilidades, simular ataques e priorizar correções. Assim, a segurança acompanha o software desde a primeira linha gerada, atuando de forma preventiva ao longo de todo o ciclo de desenvolvimento.
“A IA resolveu uma parte importante do problema, que é a velocidade de desenvolvimento. Mas ela também ampliou o volume de código sendo produzido sem necessariamente aumentar o nível de controle sobre esse código”, afirma Wagner Elias, CEO da Conviso, empresa que desenvolve soluções para segurança de aplicações. “Se não houver validação e uma estratégia estruturada de segurança, você acelera também a criação de vulnerabilidades”, complementa.
Wagner Elias, CEO da Conviso
A avaliação da empresa parte de um cenário em que a IA generativa se tornou parte do fluxo de desenvolvimento, mas ainda não está integrada de forma consistente às práticas de segurança.
Isso significa que o ganho de eficiência pode vir acompanhado de exposição. “Brechas em aplicações podem gerar interrupções operacionais, vazamento de dados e custos elevados de correção”, explica Elias. Relatórios globais, como o “Cost of a Data Breach”, da IBM, apontam que o custo médio de um incidente ultrapassa US$ 4 milhões, um valor que tende a crescer em ambientes com maior dependência digital.
Para a Conviso, o ponto central não está em limitar o uso da IA, mas em reorganizar a forma como ela é utilizada dentro do ciclo de desenvolvimento.
“Não é usar ou não usar IA para escrever código, isso já aconteceu. O que muda o jogo é como você controla o que está sendo gerado”, diz. “Sem uma camada de segurança integrada, o risco passa a ser parte do processo”.
O executivo ainda reforça que o risco está em usar IA sem controle. “Quando você automatiza a geração de código, precisa automatizar também a segurança. Caso contrário, você só troca um gargalo por outro”, diz.
A empresa estrutura operações de segurança baseadas em inteligência artificial que atuam diretamente sobre o código e as aplicações. O objetivo é reduzir o tempo entre a criação de uma vulnerabilidade e sua correção, uma variável crítica para o risco.
“Criamos uma abordagem baseada em análise contínua de código e aplicações, utilizando IA para identificar e priorizar riscos e automatizar processos de correção. A proposta é deslocar a segurança para dentro do fluxo de desenvolvimento, reduzindo o intervalo entre a criação do problema e sua resolução”, explica o CEO.
Resumindo, a IA acelera o desenvolvimento, permite produzir mais com o mesmo time, reduz o custo por entrega e viabiliza escalar sem ampliar a estrutura na mesma proporção. Por outro lado, aumenta a superfície de ataque, pode espalhar as mesmas falhas de segurança em vários pontos do código ao repetir padrões inseguros, exige validação posterior, geralmente mais cara, e eleva o risco acumulado dentro do próprio software.
Segundo o especialista da Conviso, com isso, o mercado passa a usar IA para gerenciar e controlar o uso da própria IA. Os efeitos já aparecem nos indicadores operacionais. Um dos principais indicadores é o MTTR, que mede o tempo médio de correção de vulnerabilidades. Em ambientes onde a operação de IA foi ativada, a Conviso observou reduções relevantes, com queda de aproximadamente 26% no MTTR geral, com destaque para vulnerabilidades médias, que recuam 44%, e altas, com redução de 30%.
Em outro cenário, após seis meses de operação, falhas críticas passam a ser corrigidas em mais da metade do tempo anterior. Já em ambientes mais maduros, o indicador tende a se manter estável, refletindo processos contínuos, previsíveis e com maior controle sobre o ciclo de correção.
“O que a gente vê é que a IA muda a dinâmica do tempo. Vulnerabilidades que antes ficavam semanas ou meses expostas passam a ser tratadas em ciclos muito mais curtos”, afirma Wagner Elias.
Além da velocidade, há impacto direto na capacidade operacional. A análise manual de brechas, tradicionalmente baseada em triagem de alertas, passa a ser substituída por processos automatizados de priorização. “Ou seja: um analista dedicado, por exemplo, consegue tratar cerca de 2 mil vulnerabilidades por mês. Com o apoio de IA, essa capacidade pode crescer mais de dez vezes, permitindo que as equipes atuem sobre volumes maiores de código sem expansão proporcional do time”, diz Elias.
Para ele, o ganho não está só em fazer mais rápido, mas em fazer melhor. “A equipe que antes gastava tempo tentando descobrir onde está o problema passa a atuar diretamente na correção do que realmente importa”, completa.
O impacto também aparece no backlog (listas de prioridades da equipe de devs). Em muitos casos, ele cresce no início, até 55% em alguns cenários. Não porque o ambiente piorou, mas porque a visibilidade aumentou.
“O aumento do backlog não é um problema, é um diagnóstico. Você passa a enxergar vulnerabilidades que antes estavam ocultas. Isso melhora a tomada de decisão”, afirma. “A primeira reação pode ser achar que o ambiente piorou, porque aparecem mais vulnerabilidades. Na prática, o que aconteceu foi um aumento de cobertura. Você começa a enxergar o que antes estava invisível”, afirma o CEO.
Com a evolução da operação, esse backlog tende a se estabilizar, indicando equilíbrio entre identificação e correção. “Em ambientes mais maduros, o volume permanece praticamente constante, refletindo um fluxo contínuo de tratamento”, afirma.
Esse avanço sinaliza uma mudança mais ampla no desenvolvimento de software e, assim, a IA passa a gerar uma necessidade de uma estrutura equivalente de governança.
“A velocidade virou padrão, o diferencial agora é controle. Quem conseguir acelerar mantendo segurança vai operar melhor. Quem não conseguir, vai carregar risco dentro do próprio código”, resume o CEO da Conviso.
