A Tenable, empresa especializada em gerenciamento de exposição cibernética, lançou o relatório Tenable 2025: Riscos da IA na Nuvem, revelando vulnerabilidades críticas em ferramentas de inteligência artificial hospedadas nos principais serviços de nuvem. O estudo aponta que 70% das cargas de trabalho de IA na nuvem possuem ao menos uma falha de segurança não corrigida, tornando dados sensíveis e modelos de IA vulneráveis a ataques, adulterações e vazamentos.
A análise avaliou o estado atual da segurança em estruturas de desenvolvimento de IA e serviços oferecidos por Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure. O diagnóstico revela um cenário preocupante para empresas que utilizam inteligência artificial em nuvem sem os devidos controles de segurança.
Vulnerabilidades abertas e riscos estruturais
Um dos principais achados do relatório é a presença da CVE-2023-38545, uma vulnerabilidade crítica do cURL, em 30% das cargas de trabalho avaliadas. Essa falha permite a execução remota de código por invasores, podendo comprometer totalmente os sistemas afetados.
“Quando falamos sobre o uso de IA na nuvem, há mais em jogo do que dados confidenciais. Se um agente de ameaça manipular os dados ou o modelo de IA, pode haver consequências catastróficas de longo prazo, tais como: a integridade de dados e a segurança de sistemas críticos comprometidas e a degradação da confiança do cliente”, alerta Liat Hayun, VP de Pesquisa e Gestão de Produto em Segurança de Nuvem da Tenable.
Configurações perigosas e acesso irrestrito
Outro ponto crítico revelado pela pesquisa é o uso de configurações excessivamente permissivas em serviços de IA. O relatório destaca que 77% das organizações utilizam a conta de serviço padrão do Compute Engine com privilégios elevados no Google Vertex AI Notebooks, o que representa um risco sistêmico. A Tenable apelidou esse tipo de falha de “configuração estilo Jenga®”, onde um bloco mal ajustado pode causar falhas em cascata.
Além disso, os dados de treinamento de IA também estão sob ameaça: 14% das organizações que usam o Amazon Bedrock não bloqueiam o acesso público a ao menos um bucket, e 5% mantêm buckets com permissões excessivas. Já no Amazon SageMaker, 91% das instâncias de notebook concedem acesso root por padrão, abrindo brechas para alterações não-autorizadas e possíveis vazamentos.
A urgência de uma abordagem robusta de segurança
O relatório reforça que, à medida que IA e computação em nuvem se tornam parte da espinha dorsal das operações corporativas, a segurança não pode ser negligenciada.
“A integração entre nuvem e IA é, sem dúvida, um caminho sem volta no ambiente corporativo. Nesse sentido, é importante que haja conscientização sobre a segurança cibernética, pois é preciso planejar e proteger a interação entre diferentes ambientes e tecnologias”, afirma Arthur Capella, diretor-geral da Tenable no Brasil. “A integração da IA em ambientes de nuvem requer uma abordagem robusta a fim de prevenir ataques, vazamentos e garantir a integridade dos dados para que a segurança e a inovação caminhem lado a lado.”
