Quando o engenheiro de software Sammy Azdoufal decidiu controlar seu novo robô aspirador DJI Romo com um controle de videogame PlayStation 5, não esperava acabar assumindo o controle de uma rede de vigilância global. Utilizando um assistente de codificação com inteligência artificial para entender como o aspirador se comunicava com os servidores remotos da DJI, Azdoufal extraiu um token de segurança destinado a comprovar que ele possuía aquele dispositivo específico. No entanto, conforme reportado pela Popular Science, os servidores de backend o reconheceram como proprietário de quase 7.000 aspiradores robóticos operando em 24 países.
Com alguns comandos, Azdoufal descobriu que podia acessar feeds de câmeras ao vivo, ativar microfones e até compilar plantas baixas em 2D das casas privadas de estranhos. Embora tenha reportado a falha de segurança (para o The Verge) em vez de explorá-la, essa vulnerabilidade alarmante destaca uma realidade assustadora: a rápida e descontrolada integração de sistemas automatizados está criando uma lacuna de segurança massiva e sem precedentes.
Milhões de americanos estão cada vez mais recebendo esses dispositivos conectados à internet em seus espaços mais íntimos. Aproximadamente 54 milhões de lares nos EUA tinham pelo menos um dispositivo de casa inteligente instalado em 2020, segundo Parks Associates. Além disso, empresas como Tesla, Figure e 1X estão se apressando para introduzir sofisticados robôs autônomos humanoides capazes de viver em lares e realizar tarefas complexas.
As capacidades de vigilância dos dispositivos inteligentes se tornaram um tópico nacional no início deste ano, quando um dispositivo Google Nest aparentemente armazenou imagens na nuvem do suposto sequestro de Nancy Guthrie, mãe da apresentadora do Today, Savannah Guthrie. Isso foi seguido logo depois por um anúncio da Amazon durante o Super Bowl para seu produto Ring, que pretendia mostrar o encantador resgate de um cachorro perdido, mas, na verdade, revelou que câmeras conectadas à rede, capazes de espionar os americanos, estão em toda parte. A reação aparentemente levou a Amazon a encerrar sua parceria com uma empresa de vigilância policial. Uma vez que você adiciona agentes autônomos de IA a essa mistura, você tem o que a gigante de cibersegurança Thales descreve como um cenário de pesadelo em desenvolvimento.
Um pesadelo à espreita no horizonte
De acordo com o Relatório sobre Ameaças de Dados Thales 2026 recém-divulgado, impressionantes 70% das organizações citam explicitamente a IA como seu principal risco à segurança de dados. E, assim como os aspiradores DJI que dependem de servidores em nuvem, as empresas estão ansiosamente incorporando a IA em seus fluxos de trabalho diários, concedendo aos sistemas automatizados amplo acesso a dados corporativos em expansão.
A questão central é a chocante falta de visibilidade e controle fundamental sobre os dados. O relatório da Thales revela que apenas 34% das organizações realmente sabem onde todos os seus dados sensíveis estão. E, como os sistemas de IA continuamente absorvem e atuam sobre informações em vastos ambientes de nuvem, é incrivelmente difícil impor o “acesso de menor privilégio”, ou a prática de conceder apenas os direitos de acesso mínimos necessários. Se as credenciais de uma máquina—como tokens ou chaves de API—forem comprometidas, a exposição resultante de dados pode ser devastadora.
Na verdade, o roubo de credenciais é atualmente a principal técnica de ataque contra a infraestrutura de gerenciamento de nuvem, citada por 67% das organizações que sofreram ataques em nuvem. Imagine não apenas os 7.000 aspiradores robóticos, mas toda uma comunidade de dispositivos Nest ou Ring, sendo controlados por um agente de IA.
Rodney Brooks, co-fundador da iRobot, criadora do aspirador Roomba, disse que a visão de Elon Musk de um futuro impulsionado por robôs humanoides é “pura fantasia”, pois eles são apenas desajeitados demais.
“Os robôs humanoides de hoje não aprenderão a ser ágeis, apesar dos centenas de milhões ou até bilhões de dólares, sendo doados por investidores e grandes empresas de tecnologia para pagar por seu treinamento,” escreveu Brooks em umpost de blog. Não está claro se esse pensamento se estende a um agente humano ou de IA controlando esse robô remotamente.
“O risco interno não se limita mais apenas a pessoas. Agora também se refere a sistemas automatizados que foram confiados rapidamente demais,” advertiu Sébastien Cano, vice-presidente sênior de produtos de cibersegurança da Thales. Quando medidas básicas de segurança, como governança de identidade e políticas de acesso, são fracas, Cano observa que “a IA pode amplificar essas fraquezas em ambientes corporativos muito mais rápido do que qualquer humano poderia.”
Para piorar, as próprias ferramentas usadas para desenvolver software estão diminuindo a barreira de entrada para explorar esses sistemas. Ferramentas de codificação impulsionadas por IA—como a que Azdoufal usou para reverter facilmente a engenharia dos servidores da DJI—tornam muito mais fácil para indivíduos com menos conhecimento técnico descobrirem e explorarem falhas no software. Apesar dessas ameaças automatizadas em ascensão, apenas 30% das empresas pesquisadas atualmente têm um orçamento de segurança dedicado a IA, dependendo em vez disso de defesas tradicionais de perímetro construídas para usuários humanos.
Como Eric Hanselman, analista chefe da 451 Research da S&P Global, destacou, uma mudança de paradigma fundamental é urgentemente necessária.
“À medida que a IA se torna profundamente incorporada nas operações empresariais, a visibilidade e proteção contínuas dos dados não são mais opções,” afirmou Hanselman.
Sem uma reavaliação radical dos protocolos de identidade e criptografia, a sociedade está essencialmente deixando a porta da frente escancarada para o proverbial próximo engenheiro de software com um controle de videogame.
