Boris Kuszka*

A evolução da segurança da informação sempre acompanhou os ciclos de inovação tecnológica, ampliando simultaneamente as capacidades de proteção e os vetores de ataque. No entanto, a introdução da inteligência artificial (IA) representa uma inflexão estrutural nesse processo. Mais do que sofisticar ferramentas existentes, a IA altera o próprio ritmo da disputa, estabelecendo um ambiente no qual sistemas aprendem, adaptam-se e operam com autonomia crescente. 

O resultado é uma corrida armamentista digital em que a mesma base tecnológica serve tanto a atacantes quanto a defensores, tornando a fronteira entre ofensiva e defesa cada vez mais tênue.

O impacto dessa transformação já é mensurável. Um relatório recente da CrowdStrike, empresa de cibersegurança norte-americana, aponta que o tempo médio de movimentação lateral, ou seja para que os invasores tenham acesso total ao registros e dados sigilosos, caiu para 29 minutos — um salto de rapidez de 65% em relação ao ano anterior. A mesma pesquisa indica que 82% das detecções foram classificadas como livres de malware, evidenciando que os hackers operam cada vez mais por meio de credenciais válidas, fluxos de autenticação autorizados e integrações legítimas de SaaS, tornando a detecção por assinatura amplamente ineficaz.

Soma-se a esse cenário um dado alarmante publicado pela IBM no ano passado: o advento da IA fez a atividade ilegal disparar 89%, em comparação a 2024, por meio do uso de modelos generativos para automatizar reconhecimento, roubo de credenciais e evasão. O mesmo relatório revela que 1 em cada 6 violações envolveu hackers utilizando IA, sobretudo para escalar campanhas de phishing e criar deepfakes de alta fidelidade.

Inteligência artificial e código aberto como aliados

Diante de ataques que operam em escala de segundos e exploram superfícies de ataque cada vez mais difusas, a resposta não pode se apoiar exclusivamente em modelos reativos. Consolida-se, assim, um novo paradigma: a segurança preemptiva, centrada na antecipação de ameaças por meio de análise contínua de comportamentos e anomalias. Assim, a IA torna-se, nesse contexto, não apenas um vetor de ataque, mas a principal infraestrutura de defesa para organizações, capaz de correlacionar eventos, inferir padrões e automatizar respostas em escala e velocidade inacessíveis a sistemas tradicionais. O próprio relatório da IBM demonstra essa ambivalência: organizações que utilizam IA e automação de forma extensiva economizaram em média US$ 1,9 milhão por violação e reduziram o ciclo de vida das brechas em 80 dias.

Nesse cenário, o código aberto assume papel estratégico no setor corporativo. Seus atributos fundamentais: transparência, colaboração distribuída, interoperabilidade e soberania tecnológica alinham-se diretamente às exigências da segurança baseada em IA. A transparência viabiliza a auditabilidade dos modelos, reduzindo riscos associados a comportamentos inesperados e vieses ocultos. A colaboração distribui a capacidade de resposta, permitindo que vulnerabilidades sejam identificadas e mitigadas com agilidade superior à de ecossistemas fechados. A própria Open Source Security Foundation (OpenSSF), vinculada à Linux Foundation, exemplifica esse movimento ao coordenar iniciativas como o Alpha-Omega Project (financiado por Microsoft e Google) voltado à auditoria de componentes críticos da cadeia global de software.

A interoperabilidade, por sua vez, facilita a integração em ambientes híbridos e multicloud, enquanto a soberania tecnológica mitiga dependências críticas de fornecedores, preocupação que ganhou urgência com a fragmentação regulatória imposta pelo EU AI Act e pela crescente divergência geopolítica documentada pelo Fórum Econômico Mundial. A parcela de organizações que avaliam formalmente a segurança de suas ferramentas de IA antes da implantação quase dobrou, de 37% em 2025 para 64% em 2026, sinal de que governança e abertura tecnológica caminham como requisitos complementares, não excludentes.

Governança como eficácia e impacto direto 

A adoção do open source em setores de segurança, contudo, exige maturidade organizacional proporcional à sua amplitude. O incidente com a biblioteca XZ Utils, descoberto em 2024, ilustra esse risco com precisão: um agente malicioso inseriu um backdoor em componente amplamente distribuído em sistemas Linux, explorando a estrutura descentralizada de governança do projeto. O episódio demonstra que transparência sem curadoria pode converter um ativo em vetor. No campo da IA, a relatório da IBM registra que 97% das organizações que sofreram incidentes relacionados a IA declararam não possuir controles de acesso adequados, e 63% não tinham qualquer política de governança para uso de IA, lacuna que o relatório associa diretamente à proliferação de shadow AI e ao aumento dos custos de violação.

A convergência entre IA e open source oferece, portanto, um caminho consistente mas condicionado a rígidos protocolos de segurança. Consistente porque distribui a capacidade de defesa, amplia a transparência dos modelos e reduz a dependência de soluções proprietárias em um ambiente de ameaças em aceleração constante. Condicionado porque exige políticas claras, práticas de desenvolvimento seguro alinhadas ao NIST Secure Software Development Framework (SSDF) —  conjunto de práticas recomendadas e de alto nível para integrar segurança em todas as fases do Ciclo de Vida de Desenvolvimento de Software — e gestão rigorosa de dependências. 

A transição para modelos preditivos não constitui apenas uma evolução tecnológica é uma necessidade estratégica corroborada por estudos e relatórios produzidos por agências, Big Techs e instituições internacionais: o custo da inação supera amplamente o investimento em resiliência proativa. Organizações que conseguirem integrar essas capacidades de forma estruturada estarão mais bem posicionadas para operar em um ambiente onde a segurança deixa de ser mecanismo de proteção e passa a ser elemento central de competitividade e confiança no espaço digital.

Estratégia, liderança e capacidade de antecipação

Em síntese, a corrida armamentista da IA já começou, e ela não espera por quem ainda está debatendo se deve participar. Os movimentos estão sendo feitos em tempo real: modelos sendo lançados, alianças sendo formadas, infraestruturas sendo consolidadas. Ficar de fora não é uma opção neutra; é, na prática, uma escolha de dependência.

Na interseção entre a IA e o código aberto, no entanto, reside uma das poucas janelas ainda abertas para quem chegou depois. O open source democratiza o acesso ao que antes era privilégio de laboratórios bilionários, reduz barreiras de entrada e cria um terreno comum onde a execução e o contexto local valem mais do que o tamanho do cheque. Não se trata de uma vantagem automática, mas sim  uma oportunidade real de equilibrar o jogo.

No entanto, toda oportunidade tem, por definição, prazo de validade. Aproveitá-la exige três coisas que nenhum modelo de linguagem entrega de mão beijada: 1.estratégia para saber onde concentrar energia em um campo vasto e em constante mutação; 2.liderança para tomar decisões sob incerteza e mobilizar times em torno de apostas que ainda não têm garantia de retorno; e, principalmente, 3. capacidade de antecipação para enxergar não apenas onde o mercado está hoje, mas para onde ele se moverá quando as peças se acomodarem.

As organizações que melhor desenvolverem essas três capacidades  não estarão, apenas, sobrevivendo à corrida de brasões e armas, mas sim, estarão na vanguarda de definir as regras de sua conduta e o ritmo do seu desenvolvimento.

A guerra contra os hackers começou

O Project Lightwell,  recém-anunciado, com um investimento de US$ 5 bilhões representa uma resposta estruturada a desafio emergente neste contexto: a aceleração na descoberta e exploração de vulnerabilidades em software de código aberto, impulsionada pelo avanço das ferramentas de inteligência artificial generativa, um verdadeiro escudo colaborativo. A iniciativa prevê a criação de uma espécie de "central de compensação" (clearinghouse) para identificar, validar e corrigir falhas de segurança em larga escala, mobilizando mais de 20 mil engenheiros com apoio de IA. O escopo é amplo: as cadeias de suprimentos de software protegidas pelo projeto sustentam mais de 90% das maiores empresas do mundo.

O princípio que orienta o Project Lightwell é o chamado "upstream-always", conceito central na cultura open source segundo o qual correções e melhorias devem ser devolvidas às comunidades originais dos projetos, e não retidas em ambientes proprietários. Na prática, isso significa que patches desenvolvidos para resolver problemas de segurança em plataformas como Linux, Kubernetes, Java e Kafka serão contribuídos diretamente aos repositórios públicos dessas tecnologias. Para as empresas responsáveis pelo desenvolvimento do projeto, trata-se de um compromisso explícito de não tratar a segurança como diferencial competitivo, mas como bem comum da infraestrutura digital, beneficiando a comunidade global de tecnologia como um todo.

O projeto também chama atenção pela composição de seus adotantes iniciais. Bank of America, JPMorganChase e Citi figuram entre as instituições que já aderiram à iniciativa: sinalizando, de antemão, que os grandes players do setor financeiro passaram a encarar a segurança do código aberto como questão estratégica, e não apenas técnica. Em outras palavras, a participação de instituições com esse perfil sugere uma mudança de postura no setor corporativo em relação ao open source: de mero fornecedor alternativo de infraestrutura para ativo crítico que exige governança ativa e investimento coordenado.

A união de esforços entre diferentes integrantes do ecossistema global demonstra que a segurança do código aberto deixou de ser um desafio técnico isolado para se tornar uma responsabilidade estratégica compartilhada. Ao unir a inteligência de grandes corporações, o conhecimento de comunidades abertas e o poder da IA, o projeto consolida o open source não apenas como um modelo de desenvolvimento, mas como o padrão mais confiável e transparente para o futuro da inovação tecnológica.

* Boris Kuszka é Diretor de Tecnologia do segmento Enterprise para o Brasil na Red Hat