Shadow AI: O seu firewall está cego e o seu código fonte já vazou (via ChatGPT)
O maior vazamento de dados da sua empresa em 2026 não vai acontecer porque um hacker norte-coreano quebrou sua criptografia. Não vai ser um ransomware ou um pendrive perdido.
Vai acontecer porque o Analista Financeiro Sênior pegou a planilha de DRE (Demonstração do Resultado do Exercício) confidencial do próximo trimestre, deu Ctrl+C, abriu o Claude ou o ChatGPT na web, e digitou: "Formate esses dados financeiros em uma tabela bonita para a minha apresentação de amanhã".
Ou porque o Desenvolvedor Júnior pegou o algoritmo proprietário de matching da empresa que levou 2 anos para ser otimizado e enviou para a IA perguntando: "Por que esse código está dando erro de memory leak?"
Bem-vindo à era do Shadow AI.
Por que os DLPs tradicionais estão mortos
Na última década, empresas gastaram milhões em ferramentas de DLP (Data Loss Prevention) e CASB (Cloud Access Security Broker). O objetivo era inspecionar e-mails com anexos suspeitos, bloquear pendrives e impedir uploads em massa para o Google Drive pessoal.
O problema? O DLP tradicional procura por arquivos e regras de transferência estáticas.
Quando o seu funcionário acessa o ChatGPT, o tráfego é HTTPS (criptografado fim a fim). O payload não é um arquivo .xlsx, é um JSON transmitido via WebSocket ou HTTP/2. Para o firewall corporativo (se não houver inspeção SSL pesada), é apenas tráfego genérico de navegação web. O seu SOC (Security Operations Center) está completamente cego.
A Samsung aprendeu isso da pior forma logo no início da revolução da IA, quando engenheiros vazaram código-fonte sensível tentando otimizá-lo no ChatGPT.
Em 2026, com agentes autônomos integrados aos navegadores e ferramentas, a extração de dados não é apenas manual — ela é automatizada. O problema é que você não pode simplesmente bloquear o domínio openai.com ou anthropic.com na rede da empresa. Se você fizer isso, o funcionário vai usar o 5G do celular, e aí você perde até mesmo o log de DNS. A produtividade que a IA traz é tão absurda que bloqueá-la é suicídio corporativo.
A Solução Técnica: O "AI Gateway" com Interceptação TLS
Se você não pode bloquear a IA e não pode usar o DLP legado, a solução é a engenharia de interceptação. Precisamos construir um AI Gateway corporativo — um proxy que se posiciona entre o funcionário e a API/Web da IA.
Em infraestruturas maduras, não deixamos o funcionário acessar o ChatGPT público. Nós construímos uma interface interna (ou usamos Enterprise versions) onde todas as requisições passam pelo nosso proxy.
Como isso funciona na prática? Vamos supor que você queira impedir que CPFs ou Chaves de API (AWS, GCP) sejam enviadas para a OpenAI.
Podemos usar o mitmproxy (um proxy de interceptação programável em Python) para inspecionar os payloads em tempo real, antes de saírem da rede da empresa.
O Código: Construindo um Filtro de Exfiltração para IA
Aqui está uma prova de conceito de como um script de segurança atua no meio de uma requisição para uma API de LLM corporativa, bloqueando o vazamento de chaves AWS.
# ai_dlp_gateway.py
# Rodando como add-on do mitmproxy: mitmdump -s ai_dlp_gateway.py
import json
import re
from mitmproxy import http
import logging
class AIDataLossPrevention:
def __init__(self):
# Expressões regulares para dados críticos
self.sensitive_patterns = {
"AWS_ACCESS_KEY": re.compile(r'(?i)AKIA[0-9A-Z]{16}'),
"CPF": re.compile(r'\b\d{3}\.\d{3}\.\d{3}-\d{2}\b'),
"PRIVATE_KEY": re.compile(r'-----BEGIN (?:RSA )?PRIVATE KEY-----')
}
# Endpoints de IA que queremos monitorar
self.ai_endpoints = [
"api.openai.com/v1/chat/completions",
"api.anthropic.com/v1/messages"
]
def request(self, flow: http.HTTPFlow) -> None:
# Verifica se o tráfego é para um endpoint de LLM conhecido
is_ai_traffic = any(endpoint in flow.request.pretty_url for endpoint in self.ai_endpoints)
if is_ai_traffic and flow.request.method == "POST":
try:
# O payload vai para a IA geralmente em JSON
payload = flow.request.json()
# Extraindo o texto do prompt do usuário
user_prompt = ""
# Lógica para formato OpenAI
if "openai.com" in flow.request.pretty_url:
messages = payload.get("messages", [])
user_prompt = " ".join([m.get("content", "") for m in messages if m.get("role") == "user"])
# Lógica para formato Anthropic (Claude)
elif "anthropic.com" in flow.request.pretty_url:
messages = payload.get("messages", [])
# Claude usa uma lista de blocos de conteúdo
user_prompt = " ".join([
content.get("text", "")
for m in messages if m.get("role") == "user"
for content in m.get("content", []) if isinstance(content, dict)
])
# Verificando violações de política de dados
for data_type, pattern in self.sensitive_patterns.items():
if pattern.search(user_prompt):
logging.warning(f"🚨 BLOQUEIO DLP: Tentativa de envio de {data_type} detectada. IP: {flow.client_conn.peername[0]}")
# Interrompe a requisição ANTES de sair da empresa
flow.response = http.Response.make(
403, # Status code Forbidden
json.dumps({
"error": "Violação de Política de Segurança",
"message": f"O seu prompt contém dados sensíveis ({data_type}). O envio foi bloqueado pelo DLP da empresa.",
"action_required": "Remova os dados confidenciais ou use dados fictícios para sua consulta."
}).encode("utf-8"),
{"Content-Type": "application/json"}
)
return
except json.JSONDecodeError:
pass # Payload não é JSON, ignora ou aplica outra regra
addons = [
AIDataLossPrevention()
]
O que acontece no código acima?
- Interceptação Transparente: O proxy decripta o tráfego TLS internamente (usando um certificado corporativo instalado nas máquinas dos funcionários).
- Parsing Estrutural: Em vez de procurar texto solto, ele entende o esquema JSON específico da OpenAI ou Anthropic, extraindo apenas o que o usuário digitou (ignorando system prompts injetados pela aplicação).
- Bloqueio e Educação: Em vez de apenas dropar o pacote de rede, ele retorna um erro HTTP 403 com um JSON formatado que a interface de chat vai ler. O funcionário recebe uma mensagem clara na tela: "Você tentou enviar uma Chave da AWS. O envio foi bloqueado."
A Estratégia de Redação (Sanitização)
Em um ambiente mais sofisticado, em vez de bloquear o prompt (o que gera atrito e frustração no usuário), nós fazemos a Redação em Tempo Real.
O gateway encontra a string AKIAIOSFODNN7EXAMPLE e substitui na hora por [AWS_KEY_REDACTED]. A IA recebe o código limpo, ajuda o programador a encontrar o bug, e o segredo da empresa nunca toca os servidores em São Francisco. Ferramentas comerciais como o Cloudflare AI Gateway ou serviços de PII Masking já fazem isso em escala de borda.
A Realidade que Gestores Precisam Aceitar
Proibir o uso de IA na empresa é como tentar proibir o uso de planilhas eletrônicas nos anos 90. O Shadow AI (uso oculto e não aprovado de ferramentas de IA) já está acontecendo no seu time hoje. O código-fonte já está sendo colado lá. Reuniões gravadas já estão sendo transcritas por ferramentas de terceiros sem auditoria.
O papel da engenharia de segurança em 2026 não é dizer "não". É construir as rodovias seguras — os proxies, os gateways e as versões Enterprise locais (como o uso do Ollama e vLLM em servidores próprios) — para que o fluxo de dados aconteça de forma rápida, mas totalmente governada e inspecionada.
Porque, no final do dia, a IA não é a ameaça aos seus dados. A ausência de arquitetura de segurança para lidar com ela é que é.
Publicado originalmente no Fymax Sentinel — engenharia de cibersegurança e infraestrutura web para empresas que precisam ir além do básico.
Fonte: https://landingfymax.com.br