Qual é o risco do desenvolvimento de software com IA?

A crescente adoção de assistentes de inteligência artificial (IA) no desenvolvimento de software levanta questões sérias sobre segurança. Um dado alarmante é que, segundo o relatório GenAI Code Security 2025 da Veracode, 45% do código produzido com essas ferramentas contém vulnerabilidades de segurança. Para a linguagem Java, essa taxa de falha é ainda mais crítica, chegando a 72%. Esses números ressaltam a urgência em reavaliar como integramos IA em nossos processos de desenvolvimento.

A magnitude do problema não pode ser subestimada. O uso de modelos de linguagem que geram código pode amplificar falhas conhecidas em proporções alarmantes. Um estudo da Stanford University, publicado nos anais da ACM CCS, revela que não só os desenvolvedores que utilizam IA criam códigos menos seguros, mas também se tornam excessivamente confiantes na segurança do que geraram. Essa percepção distorcida de segurança é preocupante, considerando que vulnerabilidades podem se ocultar por meses antes de serem detectadas.

No Brasil, a realidade não é diferente. Uma pesquisa da GitHub com 500 desenvolvedores em grandes empresas indicou que mais de 97% já utilizam assistentes de IA, um percentual que se iguala ao de economias desenvolvidas como Estados Unidos e Alemanha. Isso demonstra que a transformação digital está em plena execução, mas carece de uma rigorosa infra-estrutura de segurança para suportar essa mudança.

Os problemas gerados pelo uso de IA no desenvolvimento de software têm raízes na forma como estes modelos operam. Eles não compreendem segurança na sua essência, mas sim reproduzem padrões a partir dos dados que recebem. Isso significa que códigos gerados podem refletir tanto boas práticas seguras quanto implementações vulneráveis, resultando em uma ambiguidade perigosa. Em termos práticos, temos visto a repetição de falhas clássicas como injeção de SQL, validação insuficiente de entradas e construção insegura de APIs, que potencializam a exposição a ataques.

Além disso, fluxos de autenticação e autorização gerados pela IA têm mostrado ser simplistas, geralmente omitindo as validações necessárias. Em um contexto corporativo, essa simplificação irresponsável pode levar a acessos indevidos a dados sensíveis. Outro ponto crítico são as dependências de bibliotecas externas. Muitas vezes, esses modelos recomendam componentes que podem não ser seguros ou estarem obsoletos, expondo as organizações a vulnerabilidades que nem sempre são evidentes.

Diante desse cenário, as empresas precisam rever suas práticas de integração de IA no desenvolvimento. É imperativo tratar o código gerado por assistentes de IA como de terceiros, incorporando análise estática e dinâmica com base em padrões específicos de vulnerabilidade ao longo do pipeline de CI/CD. Esse é um passo fundamental para garantir que os processos de desenvolvimento mantenham a integridade e a segurança esperadas.

Além de ajustar os processos, a organização deve mapear e controlar o que chamamos de shadow AI, evitando que ele exponha seus ativos desprotegidos. Controles técnicos e estratégias efetivas de prevenção de vazamentos de dados tornam-se essenciais para garantir a segurança, independentemente das ferramentas utilizadas.

As previsões do Gartner indicam que as abordagens baseadas em IA para geração de código podem aumentar os defeitos em software em impressionantes 2.500% até 2028, se os processos de revisão não forem ajustados. Isso não é meramente uma advertência, mas sim um reflexo da necessidade de revisão e adoção de práticas mais rigorosas na governança de TI. A forma como a IA é incorporada ao desenvolvimento é fundamental. Organizações que não adaptam seus controles tendem a acumular vulnerabilidades em um ritmo maior do que conseguem gerenciar.

Assim, cabe a nós, como profissionais de TI, reassumir o controle dos processos de desenvolvimento. O papel do engenheiro de software não é substituído pela IA, mas transformado. Devemos nos concentrar em validar, interpretar e garantir que o que foi gerado atenda aos requisitos de segurança e conformidade. Isso pode ser a chave para capturar os benefícios da automação sem sacrificar a segurança, uma dinâmica essencial em um mundo onde a tecnologia avança rapidamente.