Por muitos anos, a discussão sobre inteligência artificial em segurança cibernética girou em torno de como ela poderia fortalecer a defesa. No entanto, 2025 tornou explícito um ponto que poucos queriam admitir: a IA também passou para o lado dos cibercriminosos, e está modernizando a etapa mais estratégica de um ataque, o reconhecimento.
Tradicionalmente, o reconhecimento exigia tempo, habilidade manual e um certo grau de tentativa e erro. Era necessário mapear endpoints, analisar respostas, explorar documentação visível ou descobrir superfícies expostas por engano. Hoje, modelos de IA conseguem realizar esse processo de forma automática, massiva e com um nível de precisão impossível para um ser humano.
Isso se torna ainda mais crítico quando falamos de APIs. Elas se tornaram o principal mecanismo de comunicação entre sistemas, aplicações, microsserviços, dispositivos móveis, integrações SaaS e, mais recentemente, soluções de IA. Em outras palavras, são o novo coração da arquitetura digital e, portanto, o novo alvo preferencial dos atacantes.
A IA acelerou três dimensões fundamentais do reconhecimento ofensivo:
1. Descoberta de APIs ocultas
Modelos conseguem identificar padrões de nomenclatura, rotas implícitas, parâmetros não documentados e até inferir funcionalidades analisando código JavaScript público, arquivos de configuração e respostas inconsistentes.
2. Entendimento de contexto tecnológico
A partir de pequenos sinais como headers, bibliotecas carregadas ou estrutura de respostas, a IA deduz frameworks, versões e plugins em uso. Com isso, consegue apontar quais explorações têm mais chance de sucesso antes mesmo de tentar um ataque.
3. Priorização inteligente de alvos
A IA não se limita a enumerar endpoints. Ela correlaciona dados de várias fontes, identifica APIs expostas a dados sensíveis, detecta combinações perigosas de métodos e autenticação, e direciona o atacante exatamente para os pontos mais frágeis.
Isso cria um cenário complexo: as empresas continuam protegendo APIs com ferramentas baseadas em regras, assinaturas ou scanners tradicionais, enquanto os atacantes passam a operar com modelos de reconhecimento adaptativo, contextual e autônomo. O resultado é previsível: a defesa não acompanha a velocidade com que a exposição é mapeada e explorada.
Assim, o risco mudou de natureza. Não se trata apenas de corrigir vulnerabilidades conhecidas, mas de limitar o quanto o ambiente “revela” sobre si mesmo. A exposição deixou de ser apenas técnica; tornou-se inferencial. E a IA é especialmente competente em inferir.
É nesse ponto que plataformas como a Salt Security ganham relevância estratégica. Diferente de soluções tradicionais que olham para APIs apenas na superfície, a Salt se especializou em três capacidades essenciais para esse novo cenário: descoberta contínua de todas as APIs (inclusive shadow e zombie), análise de postura e exposição com contexto de dados e identidade, e detecção comportamental em runtime capaz de identificar sequências de ataque que escapam de qualquer assinatura estática.
A Salt não protege apenas APIs conhecidas; ela revela as que a própria organização desconhece. Ela não bloqueia apenas payloads maliciosos; ela entende a lógica do tráfego. E, principalmente, não reage apenas a incidentes já em andamento; ela antecipa comportamentos suspeitos antes que se tornem exploração.
Para empresas que estão migrando para arquiteturas orientadas a APIs, incorporando IA generativa em seus fluxos ou conectando sistemas de terceiros, essa abordagem deixa de ser um diferencial e se torna um requisito de sobrevivência. O atacante moderno não invade às cegas, ele entra sabendo exatamente onde está pisando. E ele sabe disso porque a IA mostrou.
A pergunta que os times de segurança precisam fazer não é “nossas APIs têm vulnerabilidades conhecidas?”, mas “o que um atacante com IA conseguiria descobrir sobre nossas APIs em uma hora de análise?”. Esse tipo de reflexão exige novas ferramentas, mas também uma nova mentalidade: a segurança de API não é mais uma extensão da segurança de aplicação tradicional. Ela é uma disciplina própria, com riscos próprios, e agora com ameaças potencializadas por IA.
A M3Corp, ao incorporar a Salt Security em seu portfólio, traz ao mercado brasileiro a capacidade de enfrentar esse novo tipo de adversário com tecnologia de classe mundial e conhecimento contextual do ambiente local. Não se trata apenas de oferecer uma ferramenta, mas de preparar empresas e parceiros para uma mudança estrutural: a fase de reconhecimento se tornou tão perigosa quanto o ataque em si, e ignorá-la significa lutar contra um inimigo que já conhece o caminho inteiro.
Em 2025, segurança não é apenas impedir a exploração.
É garantir que o atacante nunca tenha clareza sobre onde explorar.
Fontes
The Hacker News – What AI Reveals About Web Applications — and Why It Matters (publicado em 14 de outubro de 2025). Disponível em: https://thehackernews.com/
Akamai – State of the Internet: Apps & API Security 2025. Relatório global sobre volume e tendências de ataques a aplicações e APIs. Disponível em: https://www.akamai.com/
Salt Security – State of API Security Report 2025. Estudo anual sobre maturidade, riscos e práticas de segurança em APIs. Disponível em: https://salt.security/
Salt Labs – Relatórios e publicações técnicas sobre ameaças em APIs e segurança de aplicações modernas. Disponível em: https://salt.security/blog
Posts recentes
