Por Fabio Bloise*
O conteúdo gerado por IA pode estar incorreto. Descobrir a API. Proteger o acesso à API por meio de uma autenticação segura. Checar a documentação e a versão da API. Verificar se se trata de uma API lícita, ou se é uma Shadow API – uma linguagem sem dono e que não foi desenvolvida de acordo com as melhores práticas de segurança. Controlar o billing sobre o consumo das APIs. Fazer essa gestão em ambiente multinuvem, distribuído, na proporção de milhões de transações por segundo. Realizar tudo isso na era da AI, modelo fortemente baseado em APIs que aumenta a complexidade deste contexto.
Essas são algumas das frentes de batalha que os CISOs brasileiros enfrentam em 2026 em relação ao controle e a segurança desses ativos críticos da nossa economia digital. Os Apps modernos não processam somente dados internos, circunscritos à empresa usuária desta aplicação. Hoje, APIs trocam 24×7 dados entre sistemas de empresas diferentes. É algo crítico para os negócios. No Brasil, a explosão de uso de APIs começou em 2023 e avança sem cessar. Segundo o estudo State of the API Report, o Brasil era o terceiro maior consumidor de APIs do mundo, atrás apenas da Índia e dos EUA nesse quesito. Somente em 2024, foram 52,4 milhões de chamadas APIs. Profissionais de TI e de Cybersecurity lutam sem cessar para dominar esse complexo universo. De acordo com o relatório F5 State of Application Strategy 2025, 58% das organizações estão enfrentando atualmente a expansão descontrolada de APIs. E, até 2030, espera-se que 2 bilhões de APIs estejam em uso.
Diante desta realidade, mais e mais CISOs têm pedido a ajuda de seus Red Teams para se colocarem no lugar dos ofensores. Há equipes que contam com plataformas de IA que geram até 10 mil novas ameaças por mês. A meta é atacar de forma impiedosa as APIs, identificando brechas e promovendo ajustes contínuos nas políticas de segurança. Ao final do processo, algumas estratégias se mostraram especialmente recomendáveis.
1 – Reconhecer as limitações das ferramentas clássicas de defesa de APIs
Experimentos realizados a partir do ponto de vista dos ofensores deixam claro que as ferramentas clássicas de cybersecurity não funcionam para APIs. Essas linguagens são vulneráveis a tipos de ataques diferentes daqueles que visam aplicações web tradicionais. WAFs e gateways de API são essenciais para a segurança de aplicações e autenticação de usuários, mas não são suficientes para proteger APIs. O maior desafio da segurança de APIs é a autorização, que garante que os usuários só possam acessar, ver, modificar ou excluir seus próprios dados. A solicitação de um invasor pelos recursos de outra pessoa pode ser muito semelhante a uma solicitação válida. Regras de autorização detalhadas podem identificar essa tentativa de violação.
Acima de tudo, os controles de autorização precisam fazer parte de uma abordagem em várias camadas para a segurança da API. É fundamental combinar vários controles complementares para que, se uma camada falhar, as outras forneçam proteção.
2 – Imprimir um novo olhar sobre o teste de segurança de APIs
Se houver uma API não segura, que não exija autenticação ou imponha autorização, ela pode dar acesso a um invasor. Será uma porta aberta para fazer solicitações não autorizadas e roubar os dados protegidos por todas as outras camadas.
Foi-se o tempo em que bastava apontar um scanner automatizado para uma API, obter um relatório e presumir que tudo está seguro. Na era da IA, testes e análises ativos das solicitações de API têm de descobrir problemas reais e resolver quaisquer questões de segurança que existam.
Uma maneira prática de validar as habilidades das ferramentas de teste é praticar em aplicações intencionalmente vulneráveis, alvos seguros criados para permitir que os testadores experimentem, reproduzam e compreendam os tipos mais comuns de problemas de segurança de API. Vale a pena empregar o OWASP API Security Project, que oferece o crAPI, uma ferramenta de treinamento que é preenchida com vulnerabilidades de API. Isso ajuda o time do CISO a praticar a segurança de API.
3 – A IA é baseada em APIs e demanda soluções de segurança também de IA
O uso intenso de plataformas de IA generativa no Brasil significa o aumento do consumo de APIs e, por conseguinte, a expansão da superfície de ataque da empresa usuária. As aplicações de IA generativa são APIs “em toda a sua extensão”. O mundo de IA é um mundo de APIs: a estrutura subjacente das aplicações de IA generativa depende das APIs e quase todas as partes do sistema de IA são expostas por meio dessas interfaces.
Surgem cada vez mais ataques de injeção de prompt e hacking de linguagem natural, um grande risco para a organização que usa agentes de IA e chatbots para interagir com o cliente e os parceiros. Os invasores podem manipular agentes de IA para dizer algo desagradável que não represente os valores da empresa ou persuadir os chatbots a oferecer descontos não autorizados. É fundamental tomar as devidas precauções para garantir que as aplicações de IA e os chatbots sejam treinados com dados precisos, protegidos contra injeções instantâneas.
Neste ponto, entram em cena soluções que ajudam o CISO a descobrir, proteger e gerenciar suas APIs por meio de soluções integradas que combinam a infraestrutura otimizada para IA e os recursos de segurança das grandes nuvens públicas. Essa estratégia pode ser utilizada para identificar APIs já no início do ciclo de vida do desenvolvimento.
Em 2026, cada dia será um dia de batalha em que a IA “do bem” se reinventa sem cessar para vencer a IA “do mal”. Uma das maiores conquistas para os criminosos é o acesso às APIs que fazem a IA e o negócio – em muitos casos, ecossistemas inteiros – girarem. Para evitar esse mal, é fundamental explorar ao máximo o mind set Red Team. Quem seguir esse caminho ganhará um olhar preciso sobre as vulnerabilidades de suas APIs e adotará estratégias vencedoras de defesa desse ativo crítico para a economia do Brasil.
*Fabio Bloise é Executivo de Vendas da F5 Brasil
