Shadow AI: O relatório de governança diz que está tudo certo e acredite, não está.

Esse descasamento conta uma história que nós da área Tech conhecemos bem. A ferramenta de monitoramento mostra verde. O painel de compliance está em dia. O DPO assinou o relatório trimestral. E embaixo de tudo isso, a realidade operacional é outra.

O que mudou nos últimos meses não é a quantidade de gente usando IA por fora da governança. Isso já era problema conhecido. O que mudou é a natureza do que está operando por fora. Shadow AI deixou de ser um funcionário colando dados sensíveis no ChatGPT pra acelerar uma apresentação. Agora são agentes autônomos embutidos em ferramentas SaaS, extensões de navegador com capacidade agêntica, integrações OAuth que se propagam sozinhas. Um MCP server expondo API interna. Um token esquecido dando acesso persistente a um agente que roda em background sem ninguém monitorar.

A diferença é que o funcionário você consegue treinar, bloquear, demitir em último caso. O agente autônomo não aparece na lista de funcionários, não passa pela catraca e não assina termo de confidencialidade.

E aqui entra a parte que incomoda quem opera. Não é negligência. É pressão de roadmap. Boa parte dos líderes de tecnologia admitem que priorizam velocidade sobre governança de IA, é o progresso na frente da ordem.

O board quer agentes em produção ontem. A área de negócio já contratou aquela plataforma SaaS com "IA embarcada" sem passar pelo comitê técnico. Quem vai parar o projeto pra dizer que precisa de mais dois meses mapeando identidades não humanas? Ninguém. E assim o gap entre o relatório e a realidade vai crescendo.

O problema pode ser ainda pior no Brasil

Pra quem opera no Brasil, o timing é pior. A ANPD virou agência reguladora independente em fevereiro, ganhou 200 novas posições e publicou uma agenda com 20 inspeções focadas em IA pra 2026-2027. A entidade agora pode interditar operações e acionar a polícia.

E o dado que deveria tirar o sono de qualquer CTO brasileiro: só 5% das empresas no país atingiram maturidade em cibersegurança. A média de violações de política de dados relacionadas a IA por empresa gira em torno de 223 por mês. Não é cenário hipotético. É exposição real encontrando fiscalização real.

O caminho mais intuitivo é bloquear tudo. Mas os dados mostram que empresas que entregaram ferramentas de IA aprovadas internamente reduziram o uso não autorizado em quase 90%. Shadow AI, na maioria dos casos, é problema de oferta. A equipe busca fora porque a TI não ofereceu dentro.

Só que pra agentes autônomos, oferta não basta. É preciso inventariar identidades não humanas com a mesma disciplina que se inventaria gente.

Auditar integrações OAuth ativas. Colocar prazo de validade em tokens de API. Monitorar tráfego de saída pra endpoints de IA fora do catálogo. Nenhuma dessas ações é nova pra quem gerencia infraestrutura. O que é novo é perceber que o relatório que você apresentou no último comitê provavelmente já nasceu defasado.