O software se consolida, de forma cada vez mais definitiva, como a principal infraestrutura das empresas. Bancos, varejistas, indústrias, operadoras e plataformas digitais hoje operam sobre milhões de linhas de código, APIs, microsserviços e integrações em nuvem.
A diferença é que, agora, toda essa construção se tornou ainda mais ágil com a incorporação da inteligência artificial, que acelerou ciclos de desenvolvimento e reduziu drasticamente o tempo entre a concepção, produção e uso.
Essa nova velocidade, no entanto, trouxe um efeito colateral relevante: quanto mais rápido o software evolui, maior também é o risco. “A mesma inteligência artificial usada para construir aplicativos passou a ser empregada também para explorá-los. Por poucos dólares por mês, cibercriminosos já conseguem identificar e explorar vulnerabilidades. O que antes exigia equipes especializadas, infraestrutura pesada e semanas de trabalho agora cabe em alguns cliques e acelera o ciclo de ataque”, afirma Wagner Elias, CEO da Conviso.
Segundo o executivo, o desafio agora é acompanhar essa nova dinâmica, em que inovação e ameaça evoluem praticamente no mesmo ritmo. "Nesse novo contexto, a segurança de aplicações (AppSec) também muda. Ela passa a atuar desde a concepção do código, integrada ao ciclo de desenvolvimento, antecipando usos abusivos de IA, mapeando padrões de ataque e protegendo a aplicação em todas as suas camadas", diz.
Não é por acaso que o Gartner prevê que os investimentos globais em segurança da informação devem alcançar US$ 240 bilhões em 2026, crescendo cerca de 12,5% ao ano, impulsionados justamente pela adoção de IA tanto no ataque quanto na defesa.

Acompanhe, de forma resumida, oito tendências que vão moldar esse novo ciclo da AppSec no Brasil e no mundo:

1 - A IA vai escrever a maior parte do código, e também dos riscos
A produção de software entrou em escala industrial. Ferramentas de programação com IA já são responsáveis por 24% do código de produção global, chegando a 29% nos Estados Unidos, segundo a Aikido. Nos próximos anos, esse número deve ultrapassar 60%. “Isso exige thresholds e governança para garantir segurança”, reforça Dalson Souza, cyber security manager – Vivo. O problema é que a IA também acelera a propagação de falha e cria vulnerabilidades que podem ser replicadas milhares de vezes no mesmo ecossistema.
2 -Governança sobre IA vira tão crítica quanto a própria segurança
A segurança saiu da retaguarda da TI e foi parar no board. KPIs, métricas de risco, integração com engenharia e impacto financeiro passaram a definir o programa de AppSec.
“A segurança já começa na concepção. Isso mudou completamente o cenário dos últimos anos”, afirma Márcia Tosta, CISO e TOP WOMEN IN CYBERSECURITY – Latin America 2020 e 2022.
A IA reduziu ruído e aumentou a capacidade analítica, mas também multiplicou riscos em escala. Por isso, governar o código que a IA produz virou uma função de negócio.
"Proteger aplicações passa, então, a ser um diferencial competitivo — e não apenas um requisito de conformidade", conta Wagner Elias.
3 - O supply chain de software vira o principal vetor de ataque
O maior risco já não está no código que a empresa escreve, mas no que ela consome. Bibliotecas open source, pacotes de terceiros, APIs e SaaS criaram uma cadeia de suprimentos digital altamente interconectada e altamente frágil.
“Sem inventário de aplicações, repositórios e pipelines, você não tem visibilidade real do risco”, alerta Teógenes Panella, head of information security – LWSA.
Ataques a fornecedores, dependências contaminadas e zero-days em componentes externos se tornaram um dos maiores vetores de incidentes.
4 - A superfície de ataque continua explodindo
Microsserviços, cloud híbrida, integrações e sistemas legados ampliam exponencialmente os pontos vulneráveis. Cada nova API traz produtividade e uma nova porta de entrada. Mapear e governar essa superfície passa a ser tão estratégico quanto proteger o core do sistema.
5 - AppSec deixa de contar falhas e passa a medir impacto
A métrica que importa não é mais quantas vulnerabilidades existem, mas quais podem parar o negócio. “Antes, era comum levar dezenas de falhas ao board. Hoje, levamos apenas o que realmente importa para a operação”, afirma Dalson Souza.
6 - Dados substituem feeling
Com ambientes complexos e ataques automatizados, decisões baseadas em intuição não escalam. Histórico de falhas, tempo de correção, exposição por sistema e risco por dependência passam a orientar investimentos e prioridades.
7 - Shift Left vira padrão
A segurança entra antes do código existir. Análise de requisitos, revisão de arquitetura, PRs automatizados e pipelines inteligentes impedem que falhas nasçam.
“Eu investiria em Shift Left desde a concepção, com IA atuando já nessa etapa”, diz Teógenes Panella.
8 - Cultura vira a última linha de defesa
Mesmo com IA e automação, o fator humano continua decisivo.
“Um trabalho de segurança é bem-feito quando ninguém precisa perguntar se está seguro no final. Isso só acontece quando está no DNA das pessoas”, afirma Márcia Tosta.
Segundo a Checkmarx, 91% das empresas admitem lançar aplicações com vulnerabilidades conhecidas. Nos EUA, 43% já tiveram incidentes severos ligados ao uso de IA no código.
“A mesma IA que acelera a inovação também amplia o risco. A saída não é bloquear, é governar”, resume o CEO da Conviso.

A Conviso é especialista e referência em segurança de aplicações. Com mais de 18 anos de experiência, atende instituições financeiras, incluindo os maiores bancos do Brasil, além de empresas suscetíveis a fraudes em todo o mundo. Suas soluções ajudam a identificar, priorizar, eliminar e prevenir vulnerabilidades em aplicações, garantindo a conformidade com requisitos de segurança e a proteção contra ataques cibernéticos. Oferece ao mercado consultoria, treinamentos, pentests e ferramentas desenvolvidas por especialistas para desenvolvedores. A empresa promove a cultura de codificação segura desde o início do processo de desenvolvimento de software.
Mais informações: https://www.convisoappsec.com