A Inteligência Artificial (IA) está a impulsionar grandes mudanças na forma como vivemos e trabalhamos. Há muito para dizer sobre como a IA está a impactar setores como saúde, finanças, educação, retalho, transportes ou energia, mas hoje o nosso foco é exclusivamente na cibersegurança.

De um lado da barricada, encontramos atores maliciosos (ou hackers) que executam ciberataques em vários alvos, nomeadamente empresas, numa tentativa deliberada de causar danos. Do outro lado, encontramos especialistas em cibersegurança que tentam prevenir ou mitigar tais ameaças. Ambos os lados estão a aproveitar a Inteligência Artificial para melhorar o seu desempenho e passar à frente. Então... quem está a ganhar?

IA ofensiva vs. IA defensiva

“A IA ofensiva evolui mais rapidamente que a IA defensiva devido à sua natureza oportunista e irrestrita. Não há regras, não há limites. Os atores maliciosos podem usar literalmente qualquer coisa para explorar fraquezas e aceder a dados não autorizados, ou manipular pessoas para ações específicas. A IA defensiva, embora estando a avançar, é regulada por leis e frameworks de proteção de dados, que atrasam o seu desenvolvimento devido a requisitos de conformidade e processos regulatórios”, começa por explicar Omar Jellouli, Analista de Segurança da Informação.

No lado ofensivo…

Os atores maliciosos são rápidos a explorar qualquer vulnerabilidade, fazendo-se valer da criatividade da IA para gerar malware polimórfico, automatizar phishing e até simular deepfakes realistas. Por exemplo, a IA ofensiva pode usar modelos generativos para criar e-mails capazes de imitar contactos confiáveis ou injetar gatilhos subtis que posteriormente permitem jailbreaks do modelo.

No lado defensivo…

Os especialistas em cibersegurança aproveitam a IA defensivamente em dois níveis: prevenção e mitigação. Como Omar explica, “é como em qualquer outro campo: a polícia tenta impedir que os criminosos cometam crimes; os médicos tentam impedir que os pacientes fiquem doentes; e na cibersegurança tentamos impedir que os ciberataques sequer aconteçam.”

Como é que se consegue isto? Recolhendo inteligência sobre ameaças – dados sobre motivos, alvos e comportamento dos atores maliciosos –, o que melhora significativamente a precisão das ferramentas preventivas.

Ferramentas defensivas também são implementadas durante a resposta a incidentes. “No entanto,” esclarece Omar, “frequentemente dependem de análise comportamental, que pode levar a falsos positivos devido à variabilidade no comportamento do utilizador ou do sistema.”

O papel de Machine Learning (ML)

Os algoritmos de Machine Learning formam a base dos sistemas modernos de IA. Uma abordagem proeminente de ML é, segundo Omar, Supervised Learning (aprendizagem supervisionada) – uma técnica onde o modelo é treinado com base em conjuntos de dados rotulados com inputs e outputs conhecidos. “O algoritmo identifica padrões e associações durante o treino para fazer previsões ou classificações precisas. Após o treino, é testado em dados não conhecidos para medir a sua fiabilidade e eficácia,” elabora o especialista.

Este método é amplamente utilizado em:

• Ferramentas de análise de vulnerabilidadesModelos treinados em dados conhecidos de vulnerabilidades para detetar fraquezas.
• Sistemas de resposta a incidentesModelos ML analisam incidentes históricos para fornecer sinais de aviso precoce.
• Pentesting e Red TeamingA aprendizagem por reforço pode simular autonomamente caminhos de ataque numa rede, ajudando a identificar configurações incorretas e credenciais fracas (é necessária uma afinação cuidada para evitar falsos positivos).

E quanto a Large Language Models (LLM)?

Um Large Language Model (LLM) é um tipo de modelo de Machine Learning capaz de compreender, processar e gerar linguagem humana. Treinados em vastas quantidades de dados de texto, LLM como o ChatGPT, Google Gemini ou Claude são utilizados em cibersegurança, maioritariamente, para análise de inteligência de ameaças. Extraem Indicadores de Comprometimento (IOC) através de feeds de código aberto, monitorização da dark web e relatórios de ameaças.

Os LLM também suportam:

• Resposta a incidentesAnalisam dados de log extensivos, geram rascunhos de playbooks de resposta a incidentes e fornecem recomendações contextuais baseadas em incidentes históricos.
• Deteção de phishingOs LLM examinam conteúdo de e-mail, tom e pistas linguísticas para ajudar a identificar potenciais tentativas de phishing, embora ferramentas de segurança dedicadas tipicamente tratem da deteção e bloqueio de links maliciosos.
• Gestão de vulnerabilidadesEstes modelos interpretam dados de vulnerabilidades, correlacionam vulnerabilidades conhecidas com os sistemas de uma organização e sugerem estratégias de remediação, complementando os insights fornecidos por ferramentas de análise especializadas e por especialistas.

Como a IA está a mudar a arquitetura que suporta os serviços de segurança

A Inteligência Artificial também está a transformar o modo como os serviços de cibersegurança são projetados e implementados. “A IA leva as organizações a redesenharem as suas arquiteturas de segurança para lidarem com processamento de dados em larga escala e melhorarem a deteção e resposta. Soluções de IA baseadas na cloud desempenham um forte papel, oferecendo escalabilidade e capacidade de ação em tempo real”, explica Omar.

Grandes fornecedores de cloud como o Amazon Web Services (AWS), Microsoft Azure e Google Cloud utilizam as suas próprias ferramentas com IA para deteção de ameaças (ex.: AWS GuardDuty, Microsoft Defender, Google Chronicle) com o objetivo de processarem conjuntos massivos de dados em tempo real e identificarem ameaças rapidamente.

Apesar destas vantagens, desafios como a privacidade de dados e a dependência da cloud persistem. No entanto, há maneiras de os contornar. “Arquiteturas híbridas estão a emergir, com modelos de IA treinados na cloud e implementados localmente para uma resposta mais rápida”, revela Omar.

Os prós e contras da adoção de IA em cibersegurança

Implementar ferramentas alimentadas por IA em cibersegurança é “não negociável”, afirma Omar. “É como os primórdios da Internet. É imparável. Esta relação de amor e ódio com a IA é o que nos está a guiar, por isso é natural que haja consequências positivas e negativas.”

Benefícios

• Acesso direto a ferramentas avançadasAs empresas podem implementar tecnologias de ponta de inteligência e deteção de ameaças.
• Melhor deteção e resposta a ameaçasFerramentas como Microsoft Sentinel e AWS GuardDuty analisam conjuntos massivos de dados em tempo real para identificar e mitigar ameaças rapidamente.
• Maior automatizaçãoA IA automatiza tarefas repetitivas (ex.: análise de vulnerabilidades, monitorização de conformidade), reduz cargas de trabalho e aumenta a eficiência (ex.: AWS Security Hub, Azure Security Center).
• Segurança melhorada da rede e dos dispositivosSoluções como Cloudflare e Zscaler bloqueiam tráfego malicioso, enquanto ferramentas como SentinelOne e CrowdStrike Falcon usam análise comportamental para proteger endpoints.
• Novas oportunidades de trabalhoEmbora a IA automatize algumas tarefas, também cria funções para gerir e supervisionar sistemas de IA.

Desafios

• Preocupações com a privacidade de dadosMuitas ferramentas de IA processam dados sensíveis na cloud, o que significa que há risco de exposição se estes dados forem comprometidos ou mal utilizados. Arquiteturas híbridas que mantêm dados sensíveis em instalações físicas podem ajudar a mitigar este risco.
• Dependência da cloudDependência excessiva de fornecedores como AWS, Azure e Google Cloud pode introduzir vulnerabilidades se essas plataformas sofrerem interrupções ou roubo de dados.
• Falsos positivosViés em modelos de IA podem levar a deteções incorretas de ameaças, sinalizando atividades legítimas como maliciosas.
• Complexidade de integraçãoFundir novas ferramentas de IA com sistemas existentes, especialmente em ambientes híbridos, pode ser desafiante.
• Falta de transparênciaAs organizações têm, habitualmente, um conhecimento limitado sobre como os modelos de IA tomam decisões, o que complica a responsabilização.
• Vulnerabilidade a ataquesOs próprios modelos de IA podem ser alvos de ataques adversariais ou envenenamento de dados, requerendo monitorização e atualizações contínuas.

O que nos reserva o futuro?

A IA está escrita por todo o lado no nosso futuro – não há dúvidas sobre isso. Mas para onde estamos exatamente a caminhar, e como irá a IA transformar a área da cibersegurança, especificamente? Omar Jellouli partilha as suas previsões:

• Aprendizagem federada - Conhecida como federated learning, é uma abordagem descentralizada que permite às organizações treinar colaborativamente modelos de IA sem partilhar dados sensíveis, reduzindo riscos de privacidade e melhorando a precisão.
• XDR (Extended Detection and Response) impulsionado por IA - Integra dados relativos a rede, endpoints e identidade numa plataforma abrangente de deteção de ameaças.
• Mentalidade das equipas de segurança - A IA capacitará profissionais de cibersegurança a realizarem exercícios dinâmicos de Red Teaming, simulando ataques reais para testar defesas proativamente.
• Arquiteturas híbridas - Combinar controlo no local físico com IA baseada na cloud permite às organizações aproveitarem inteligência global de ameaças enquanto protegem dados sensíveis.
• Expansão do Processamento de Linguagem Natural (NLP) - O NLP (Natural Language Processing) está a transformar a inteligência de ameaças ao extrair insights acionáveis a partir de dados não estruturados, como blogs e fóruns da dark web.
• Interseção com Computação Quântica - Ainda numa fase inicial, a Computação Quântica tem o potencial de realizar computações complexas a velocidades muito além dos sistemas tradicionais, permitindo a deteção e análise avançada de ameaças. No entanto, o risco de quebrar métodos tradicionais de encriptação levará ao desenvolvimento de criptografia pós-quântica – a IA liderará esta mudança, automatizando o desenvolvimento de algoritmos resistentes à computação quântica.
• Crescimento da biocomputação - Investigações emergentes em biocomputação – como mini-cérebros cultivados em laboratório capazes de aprender – demonstram o potencial da IA além da cibersegurança, abrindo caminho para sistemas altamente adaptativos.

Em suma: “A IA redefinirá a cibersegurança ao tornar-se uma parte mais inteligente e integral de como defendemos sistemas. Não apenas tornará as ferramentas existentes mais rápidas ou mais precisas, como criará formas inteiramente novas de pensar sobre segurança”, acredita Omar.

Boas práticas e recomendações

Para manterem estratégias de cibersegurança o mais atualizadas possível, as organizações devem:

• Melhorar protocolos de segurança de dadosAuditar e proteger regularmente serviços publicamente acessíveis, com recurso a controlos de acesso robustos, encriptação e segmentação de rede.
• Monitorizar envenenamento de dados e ataques de backdoorDesenvolver sistemas de monitorização contínua para detetar comportamento anómalo que possa indicar envenenamento de dados.
• Manter supervisão humanaComplementar ferramentas automatizadas de IA com revisão humana, especialmente em operações de resposta a incidentes e inteligência de ameaças.
• Garantir curadoria transparente de dadosImplementar processos rigorosos para montagem e sanitização de conjuntos de dados de treino, de forma a minimizar vieses e conteúdo malicioso.
• Manter-se informado sobre tecnologias emergentesRever regularmente investigações académicas e da indústria sobre aprendizagem federada, Unidades de Processamento Neural (NPU – Neural Processing Units) e criptografia à prova de computação quântica, de modo a adaptar estratégias de segurança.

Exemplos do mundo real

Vamos conhecer alguns acontecimentos e inovações recentes que ilustram vários aspetos da relação entre a IA e a cibersegurança:

• Exposição da base de dados DeepSeekUm exemplo marcante de negligência a nível de segurança é o incidente DeepSeek. Uma base de dados ClickHouse publicamente acessível expôs mais de um milhão de linhas de dados sensíveis, incluindo histórico de chat, segredos de API e detalhes de backend.
• Envenenamento de dados e jailbreaks de modelo como ameaças emergentesDiscussões recentes revelam que os atacantes estão a semear gatilhos maliciosos em dados de treino. Frases específicas, quando utilizadas em prompts, podem forçar um modelo a fazer “jailbreak” dos seus protocolos de segurança. Num caso específico, foram necessários cerca de seis meses para o impacto ser observado num modelo publicamente disponível.
• Insights de Red Team: contornar a censura do DeepSeekHackers éticos, como Simone Fuscone, e outros investigadores estão a testar ativamente controlos de conteúdo de IA. Ao empregar técnicas como substituição de vogais por números e engenharia estruturada de prompts, Fuscone conseguiu contornar os filtros de censura do DeepSeek web, revelando vulnerabilidades que requerem melhoria contínua.
• Aprendizagem Federada e NPU na vanguardaTendências emergentes incluem a adoção de aprendizagem federada combinada com Unidades de Processamento Neural (NPU) em dispositivos. NPU – integradas em CPU modernos (ex.: dispositivos Intel Core Ultra ou Qualcomm Snapdragon) – permitem treino de modelos e deteção de ameaças no dispositivo sem enviar dados sensíveis para servidores centrais.
• Democratizar a IA: replicar o DeepSeek R1 por menos de $30Uma equipa de investigação em IA de Berkeley, liderada pelo candidato a doutoramento Jiayi Pan, replicou com sucesso tecnologias-chave do modelo de raciocínio DeepSeek R1 por menos de $30. Este avanço demonstra que IA sofisticada capaz de raciocínio complexo pode emergir de sistemas modestos e económicos.

Conclusão

A interseção da IA com a cibersegurança é uma faca de dois gumes. Enquanto a IA melhora capacidades de deteção de ameaças e resposta a incidentes, também capacita adversários com ferramentas poderosas para phishing automatizado, envenenamento de dados e jailbreaks de modelo. Casos reais como a exposição da base de dados DeepSeek e avanços como a replicação do DeepSeek R1 por menos de $30 enfatizam a importância de abordar vulnerabilidades de segurança, tanto avançadas como básicas.

Para navegar estes desafios, as organizações devem impor medidas rigorosas de segurança de dados, monitorizar continuamente ameaças emergentes, equilibrar automação impulsionada por IA com supervisão humana e manter transparência na curadoria de dados.

Ao incorporares boas práticas de frameworks como o NIST Cybersecurity Framework e o OWASP Top Ten, as empresas podem construir defesas mais resilientes e promover um futuro digital mais seguro.