Felipe Guimarães, CISO da Solo Iron (Foto: Divulgação)
Empresas do mundo todo estão adotando IA em suas pipelines de DevOps a um ritmo impressionante. Projeções de mercado indicam que até 2028 cerca de 75% dos engenheiros de software corporativos usarão assistentes de codificação por IA, um salto enorme frente aos 10% observados em 2023. Essa rápida adoção reflete os benefícios tangíveis da IA: equipes que incorporam automação inteligente têm desempenho significativamente superior – são aproximadamente 30% mais propensas a se classificar como “altamente eficazes” em suas entregas.
Quase um terço dos profissionais de DevOps, inclusive, estima que as ferramentas de IA podem economizar mais de 40 horas de trabalho por mês de sua equipe, liberando tempo equivalente a uma semana inteira de trabalho para focar em inovações.
O problema está na segurança
Com os benefícios, vêm os desafios – em especial no quesito segurança. O código gerado por ferramentas de IA nem sempre atende aos rigorosos padrões de qualidade e proteção exigidos. Pesquisas da comunidade de segurança cibernética revelam que uma parcela significativa do código sugerido por IA contém vulnerabilidades exploráveis.
O problema é que, ao mesmo tempo que acelera a programação, a IA pode introduzir brechas sutis que passam despercebidas sem revisão humana. Dentre os problemas já documentados, destacam-se segredos expostos, como credenciais inseridas inadvertidamente no código, validação insuficiente de entradas de dados, o que abre brechas para ataques de injeção, configurações inseguras em scripts de infraestrutura e até omissão de verificações de autenticação ou autorização em funcionalidades críticas.
Tais falhas abrem caminho para invasores explorarem aplicações que, à primeira vista, parecem corretas – um risco latente quando se confia cegamente no código produzido por algoritmos.
As consequências dessas vulnerabilidades não são hipotéticas. Analistas já apontam incidentes reais e iminentes: estima-se que ao menos três violações de segurança divulgadas publicamente em 2024 tiveram como causa raiz códigos gerados por IA. Além disso, a segurança de APIs – base das arquiteturas modernas – também pode ser comprometida por implementações automatizadas sem a devida cautela.
Um estudo conduzido por pesquisadores das universidades do Texas at San Antonio, Oklahoma e Virginia Tech, dos Estados Unidos, publicaram um artigo em junho de 2024, analisando 576 mil amostras de código geradas por 16 modelos de linguagem de grande escala (LLMs), como CodeLlama e GPT-4 Turbo. Eles descobriram que cerca de 20% das dependências de pacotes sugeridas por esses modelos não existiam nos repositórios oficiais, como PyPI e npm. Essas "alucinações de pacotes" representam um risco enorme. Esses pedaços de código podem ser explorados por criminosos, que registram pacotes com os nomes sugeridos pela IA, introduzindo código malicioso nos sistemas das vítimas.
Além disso, o estudo revelou que 58% dos nomes de pacotes alucinados apareciam repetidamente em múltiplas execuções, tornando-os previsíveis e, portanto, alvos fáceis para ataques. Essa repetibilidade aumenta a viabilidade de ataques conhecidos como "slopsquatting", nos quais invasores exploram as sugestões incorretas da IA para disseminar software malicioso.
Além disso, uma análise empírica de código gerado por ferramentas como o GitHub Copilot identificou que cerca de 30% do código em Python e 24% em JavaScript continham vulnerabilidades de segurança. Essas falhas abrangem desde o uso de valores aleatórios insuficientemente seguros (CWE-330) até falhas de controle de geração de código (CWE-94) e vulnerabilidades de cross-site scripting (CWE-79).
Supervisão humana: o papel indispensável na era da automação
Diante desse cenário, fica evidente que, apesar de toda a sofisticação da IA, a supervisão humana permanece insubstituível no ciclo DevOps. Modelos de IA, por mais poderosos que sejam, ainda carecem do discernimento contextual e da visão holística que profissionais experientes oferecem.
Nas empresas pioneiras no uso de IA, reconhece-se isso na prática: mais de 70% dos especialistas ainda inspecionam as saídas geradas pela IA pelo menos metade do tempo, e cerca de 19% afirmam revisar todas as sugestões automatizadas antes de aprová-las, de acordo com uma pesquisa global feita pela Tricentis, uma empresa que trabalha com qualidade de código.
Mesmo fornecedores de plataformas DevOps ressaltam que a IA pode automatizar muitas tarefas, porém decisões críticas exigem validação humana – garantindo que a máquina esteja, de fato, tomando decisões acertadas. Afinal, apenas pessoas conseguem avaliar plenamente se um ajuste de código faz sentido dentro dos objetivos de negócio ou se uma aparente correção não introduz efeitos colaterais indesejados.
Outro problema envolve a conformidade e a governança. Sistemas de IA não possuem conhecimento intrínseco das políticas corporativas, dos requisitos normativos do setor ou das obrigações legais. Assim, cabe aos humanos assegurar que as soluções automatizadas sigam padrões éticos e estejam em linha com as regulamentações.
Em resumo, a IA não está substituindo os DevOps, e sim evoluindo a forma de trabalho. As equipes que combinarem a automação inteligente com a expertise humana estarão melhor posicionadas para colher os frutos dessa revolução tecnológica, sem incorrer em riscos desnecessários. A pergunta é se os humanos serão totalmente substituídos, a resposta mais acertada é: a atuação humana continuará sendo fundamental, agora potencializada por novas ferramentas de IA – uma sinergia que promete elevar o DevOps a patamares ainda mais estratégicos e seguros.
*Por Felipe Guimarães, CISO da Solo Iron.