O novo relatório State of API Security — H2 2025, publicado pela Salt Security, traz um alerta claro: não existe segurança de IA sem segurança de APIs. Em um cenário onde fluxos de trabalho de modelos de linguagem (LLMs), agentes MCP e integrações automatizadas dependem de APIs, os riscos de exposição de dados e falhas de autorização cresceram de forma exponencial.
A pesquisa, conduzida com 386 líderes de segurança em empresas de diversos setores, revela uma disparidade preocupante entre o ritmo de adoção tecnológica e a maturidade das práticas de segurança. A seguir, apresentamos os principais achados, riscos emergentes e recomendações estratégicas que fazem do relatório uma leitura obrigatória para CISOs, arquitetos e integradores.
Crescimento explosivo e riscos fora de controle
O volume de APIs corporativas segue em expansão acelerada:
41% das empresas registraram crescimento entre 51% e 100% em apenas um ano.
Outros 13% dobraram esse número, e 6% triplicaram o total de APIs no mesmo período.
Esse aumento é impulsionado pela modernização digital, automação e uso intensivo de IA, mas vem acompanhado de uma escalada nos incidentes: 33% das organizações sofreram ao menos um ataque a APIs nos últimos 12 meses.
Segundo o relatório, os principais problemas detectados foram:
- Vulnerabilidades técnicas (41%)
- Exposição de dados sensíveis (34%)
- Falhas de autenticação e identidade (33%)
- Uso indevido de contas e fraudes (29%)
- Violações completas de segurança (28%)
A automação e os agentes de IA amplificam esses riscos: falhas que antes afetavam um endpoint agora se propagam por todo o ecossistema em segundos.
As APIs como plano de ação da inteligência artificial
O relatório enfatiza que toda operação de IA corporativa depende de APIs, desde a chamada de um modelo LLM até a integração com sistemas MCP (Model Context Protocol). Isso significa que as APIs se tornaram o “plano de ação” da IA e, portanto, o vetor mais crítico da superfície de ataque moderna.
O problema é que 80% das empresas ainda não monitoram APIs em tempo real, e apenas 19% têm total confiança em seus inventários. Com a proliferação de shadow APIs e endpoints criados automaticamente por ferramentas de IA, esse “ponto cego” se transforma em risco sistêmico.
Para a Salt Security, a recomendação é clara: criar um “API Bill of Materials”, ou seja, um inventário dinâmico e automatizado que mapeie continuamente todos os endpoints e os dados que eles expõem.
As falhas mais exploradas e por que autenticação não é suficiente
De acordo com análises do Salt Labs, 96% das tentativas de ataque vêm de entidades autenticadas, como contas comprometidas, insiders ou agentes automatizados. Ou seja, o simples fato de um acesso estar autenticado não garante que ele seja legítimo.
Os principais vetores mapeados seguem o OWASP API Security Top 10:
API8 – Misconfiguration (78%)
API1 – BOLA / Broken Object Level Authorization (10%)
Esses números reforçam a necessidade de políticas de autorização contextual e de detecção comportamental em runtime, algo que apenas o monitoramento contínuo e a análise avançada de tráfego conseguem oferecer.
Governança de GenAI: do risco à política corporativa
Com 85% das empresas já utilizando ou planejando usar GenAI para desenvolvimento, o relatório alerta que os riscos agora estão embutidos no ciclo de vida do software.
A recomendação é evoluir de uma postura reativa (corrigir após o código ser gerado) para uma postura de governança ativa, com políticas formais sobre:
- Modelos de IA permitidos e contextos de uso;
- Testes de segurança específicos para IA;
- Controles de vazamento de dados sensíveis entre APIs e modelos.
Essa maturidade ainda é rara: 51% das empresas permanecem nos estágios iniciais de seus programas de segurança de API.
ROI e inovação: segurança como aceleradora
O relatório também mede o impacto financeiro da segurança de API. Os retornos mais tangíveis vêm de:
- Economia com prevenção de violações (18%)
- Redução de incidentes e interrupções (9%)
- Mas o maior ganho é intangível: velocidade de inovação e confiança do cliente. Organizações com programas maduros de segurança lançam produtos mais rápido, com menos rollback e maior resiliência, um diferencial competitivo em ambientes de IA intensiva.
O State of API Security H2 2025 deixa claro que API security evoluiu de uma função técnica para uma disciplina estratégica de negócio.
Com o avanço dos agentes de IA e do MCP, as empresas precisam tratar visibilidade, postura e runtime não como “camadas extras”, mas como a base sobre a qual a própria inovação se sustenta.
Na prática, isso significa investir em descoberta contínua, governança e proteção em tempo real, pilares da plataforma da Salt Security para habilitar parceiros e clientes a protegerem seus ecossistemas digitais com profundidade e inteligência.
Fontes
Salt Security. State of API Security — H2 2025. Relatório técnico (Salt Labs), outubro de 2025.
OWASP Foundation. OWASP API Security Top 10 (2023). Documento de referência para classificação de riscos em APIs.
Posts recentes
