Shadow AI
O que é Shadow AI?
Shadow AIUso por colaboradores de ferramentas, modelos ou serviços de IA sem o conhecimento ou aprovação das funções de segurança, privacidade ou governança da organização.
O Shadow AI é o sucessor do shadow IT na era da IA. Colaboradores colam código-fonte, contratos, dados de clientes ou documentos estratégicos em chatbots de consumo, instalam copilotos de navegador ou extensões de IDE não autorizadas, ou afinam modelos locais com dados confidenciais. Os riscos incluem exfiltração de dados, perda de propriedade intelectual, incumprimento (RGPD, HIPAA), injeção de prompt via ferramentas não geridas e saídas de modelo sem controlo a alimentar decisões em produção. As mitigações combinam inventário e política de IA, alternativas autorizadas (GenAI empresarial com DLP e auditoria), controlos de saída e CASB, fluxos em browser isolado e formação. Os programas alinham-se geralmente com o NIST AI RMF e a ISO/IEC 42001 para integrar o Shadow AI numa governança mais ampla.
● Exemplos
- 01
Engenheiros colam código proprietário num chatbot gratuito de consumo para depuração.
- 02
Uma equipa de marketing usa um serviço de tradução com IA não auditado que guarda o texto submetido em servidores terceiros.
● Perguntas frequentes
O que é Shadow AI?
Uso por colaboradores de ferramentas, modelos ou serviços de IA sem o conhecimento ou aprovação das funções de segurança, privacidade ou governança da organização. Pertence à categoria Segurança de IA e ML da cibersegurança.
O que significa Shadow AI?
Uso por colaboradores de ferramentas, modelos ou serviços de IA sem o conhecimento ou aprovação das funções de segurança, privacidade ou governança da organização.
Como funciona Shadow AI?
O Shadow AI é o sucessor do shadow IT na era da IA. Colaboradores colam código-fonte, contratos, dados de clientes ou documentos estratégicos em chatbots de consumo, instalam copilotos de navegador ou extensões de IDE não autorizadas, ou afinam modelos locais com dados confidenciais. Os riscos incluem exfiltração de dados, perda de propriedade intelectual, incumprimento (RGPD, HIPAA), injeção de prompt via ferramentas não geridas e saídas de modelo sem controlo a alimentar decisões em produção. As mitigações combinam inventário e política de IA, alternativas autorizadas (GenAI empresarial com DLP e auditoria), controlos de saída e CASB, fluxos em browser isolado e formação. Os programas alinham-se geralmente com o NIST AI RMF e a ISO/IEC 42001 para integrar o Shadow AI numa governança mais ampla.
Como se defender contra Shadow AI?
As defesas contra Shadow AI costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Shadow AI?
Nomes alternativos comuns: IA não autorizada, BYOAI.
● Termos relacionados
- ai-security№ 027
Governança de IA
Conjunto de políticas, processos, papéis e controlos usados por organizações e reguladores para garantir que sistemas de IA são desenvolvidos, implementados e operados de forma responsável e conforme à lei.
- ai-security№ 025
AI Bill of Materials (AIBOM)
Inventário legível por máquina de cada componente de um sistema de IA — datasets, modelos base, dados de fine-tuning, bibliotecas, prompts e artefactos de avaliação — usado para segurança, conformidade e responsabilização.
- ai-security№ 034
Risco de cadeia de fornecimento de IA
Conjunto de ameaças decorrentes dos datasets, modelos base, bibliotecas, plug-ins e infraestrutura de terceiros que as organizações combinam para construir e implementar sistemas de IA.
- cloud-security№ 148
CASB (Cloud Access Security Broker)
Ponto de aplicação de políticas situado entre os utilizadores e as aplicações cloud/SaaS para garantir visibilidade, proteção de dados e controlo de ameaças.
- ai-security№ 281
Envenenamento de dados
Ataque a um sistema de aprendizagem automática em que adversários injetam, alteram ou reetiquetam dados de treino para que o modelo resultante se comporte de forma incorreta ou contenha backdoors ocultas.
- ai-security№ 029
Resposta a incidentes de IA
Conjunto de processos, papéis e playbooks que uma organização usa para detetar, conter, investigar, comunicar e recuperar de incidentes envolvendo sistemas de IA.