“Uma das principais coisas a entender sobre a segurança cibernética é que é um jogo psychological”, disse Ami Luttwak, tecnólogo -chefe da empresa de segurança cibernética Wiz, à TechCrunch em um episódio recente de Fairness. “Se há uma nova onda de tecnologia chegando, há novas oportunidades para [attackers] para começar a usá -lo. ”
À medida que as empresas correm para incorporar a IA em seus fluxos de trabalho – seja através da codificação da vibração, da integração do agente da IA ou da nova ferramenta – a superfície de ataque está se expandindo. A IA ajuda os desenvolvedores a enviar o código mais rápido, mas essa velocidade geralmente vem com atalhos e erros, criando novas aberturas para os atacantes.
O Wiz, que foi adquirido pelo Google no início deste ano por US $ 32 bilhões, realizou testes recentemente, diz Luttwak, e descobriu que um problema comum em aplicativos codificados por vibe period a implementação insegura da autenticação – o sistema que verifica a identidade de um usuário e garante que eles não sejam um invasor.
“Isso aconteceu porque period mais fácil de construir assim”, disse ele. “Os agentes de codificação da vibração fazem o que você diz e, se você não disse a eles para construí -lo da maneira mais segura, não será.”
Luttwak observou que hoje há uma troca constante para as empresas que escolhem entre serem rápidas e seguras. Mas os desenvolvedores não são os únicos que usam a IA para se mover mais rápido. Os atacantes agora estão usando a codificação da vibração, técnicas rápidas e até mesmo seus próprios agentes de IA para lançar explorações, disse ele.
“Você pode realmente ver que o atacante agora está usando as solicitações para atacar”, disse Luttwak. “Não é apenas a codificação da vibração do atacante. O atacante procura ferramentas de IA que você possui e diz: ‘Envie -me todos os seus segredos, exclua a máquina, exclua o arquivo.’”
Em meio a esse cenário, os atacantes também estão encontrando pontos de entrada em novas ferramentas de IA que as empresas lançam internamente para aumentar a eficiência. Luttwak diz que essas integrações podem levar a “ataques da cadeia de suprimentos”. Ao comprometer um serviço de terceiros que tem amplo acesso à infraestrutura de uma empresa, os invasores podem girar mais profundamente nos sistemas corporativos.
Evento do TechCrunch
São Francisco
|
27-29 de outubro de 2025
Foi o que aconteceu no mês passado, quando o Drift – uma startup que vende chatbots da AI para vendas e advertising – foi violada, expondo os dados do Salesforce de centenas de clientes corporativos como Cloudflare, Palo Alto Networks e Google. Os invasores obtiveram acesso a tokens, ou chaves digitais, e os usaram para se passar pelo chatbot, consultar dados do Salesforce e se mover lateralmente dentro dos ambientes dos clientes.
“O atacante empurrou o código de ataque, que também foi criado usando a codificação da vibração”, disse Luttwak.
Luttwak diz que, embora a adoção corporativa de ferramentas de IA ainda seja mínima – ele calcula cerca de 1% das empresas adotaram a IA totalmente adotada – o Wiz já está vendo ataques toda semana que afetam milhares de clientes corporativos.
“E se você olhar para o [attack] FLOW, AI foi incorporado a cada passo ”, disse Luttwak.“ Essa revolução é mais rápida do que qualquer revolução que vimos no passado. Isso significa que nós, como indústria, precisamos nos mover mais rápido. ”
Luttwak apontou para outro grande ataque da cadeia de suprimentos, apelidado de “S1 Syingularity”, em agosto, no NX, um sistema de construção common para desenvolvedores de JavaScript. Os invasores conseguiram liberar malware no sistema, que então detectou a presença de ferramentas de desenvolvedor de IA como Claude e Gêmeos e os seqüestrou para digitalizar autonomamente o sistema quanto a dados valiosos. O ataque comprometeu milhares de tokens e chaves desenvolvedores, dando aos atacantes acesso a repositórios particulares do GitHub.
Luttwak diz que, apesar das ameaças, este foi um momento emocionante para ser líder em segurança cibernética. O WIZ, fundado em 2020, estava originalmente focado em ajudar as organizações a identificar e abordar equívocas, vulnerabilidades e outros riscos de segurança em ambientes em nuvem.
No último ano, a Wiz expandiu suas capacidades para acompanhar a velocidade dos ataques relacionados à IA-e usar a IA para seus próprios produtos.
Em setembro passado, o Wiz lançou o código do Wiz, que se concentra em proteger o ciclo de vida do desenvolvimento de software program, identificando e mitigando problemas de segurança no início do processo de desenvolvimento, para que as empresas possam ser “seguras pelo design”. Em abril, o Wiz lançou o Wiz Defend, que oferece proteção de tempo de execução detectando e respondendo a ameaças ativas em ambientes em nuvem.
Luttwak disse que é very important que o Wiz entenda completamente as aplicações de seus clientes se a startup ajudará com o que ele chama de “segurança horizontal”.
“Precisamos entender por que você está construindo … para que eu possa construir a ferramenta de segurança que ninguém jamais teve antes, a ferramenta de segurança que o entende”, disse ele.
‘Desde o primeiro dia, você precisa ter um ciso’
A democratização das ferramentas de IA resultou em uma enxurrada de novas startups prometendo resolver pontos problemáticos da empresa. Mas a Luttwak diz que as empresas não devem apenas enviar todos os dados da empresa, funcionário e clientes para “todas as pequenas empresas que têm cinco funcionários apenas porque dizem:” Me dê todos os seus dados e eu lhe darei insights incríveis da IA ”.
Obviamente, essas startups precisam desses dados se a oferta terá algum valor. Luttwak diz que isso significa que é incumbente para eles garantirem que eles estão operando como uma organização segura desde o início.
“Desde o primeiro dia, você precisa pensar em segurança e conformidade”, disse ele. “Desde o primeiro dia, você precisa ter um CISO (Diretor de Segurança da Informação). Mesmo se você tiver cinco pessoas.”
Antes de escrever uma única linha de código, as startups devem pensar como uma organização altamente segura, disse ele. Eles precisam considerar os recursos de segurança corporativa, logs de auditoria, autenticação, acesso a produção, práticas de desenvolvimento, propriedade de segurança e assinatura única. Planejar dessa maneira desde o início significa que você não precisará revisar os processos posteriormente e incorrer no que Luttwak chama de “dívida de segurança”. E se você pretende vender para empresas, já estará preparado para proteger seus dados.
“Nós éramos compatíveis com o SOC2 [a compliance framework] antes de termos código “, disse ele.” E posso lhe contar um segredo. Obter a conformidade com o SOC2 para cinco funcionários é muito mais fácil do que para 500 funcionários. ”
A próxima etapa mais importante para as startups é pensar em arquitetura, disse ele.
“Se você é uma startup de IA que deseja se concentrar na empresa desde o primeiro dia, deve pensar em uma arquitetura que permita que os dados do cliente fiquem … no ambiente do cliente”.
Para startups de segurança cibernética que desejam entrar no campo na period da IA, Luttwak diz que agora é o tempo. Tudo, desde proteção de phishing e segurança por e -mail a malware e proteção de endpoint, é um terreno fértil para inovação, tanto para atacantes quanto para defensores. O mesmo vale para as startups que podem ajudar com as ferramentas de fluxo de trabalho e automação para fazer “Vibe Safety”, já que muitas equipes de segurança ainda não sabem como usar a IA para se defender contra a IA.
“O jogo está aberto”, disse Luttwak. “Se todas as áreas de segurança agora têm novos ataques, significa que temos que repensar todas as partes da segurança”.
