Chatbots baseados em inteligência artificial passaram a ocupar um papel central no desempenho dos negócios. Segundo dados do Google, os brasileiros utilizam essas ferramentas mais do que usuários de outros países: 71% dos adultos conectados no Brasil afirmam ter usado chatbots nos últimos 12 meses. Até 2026, essas soluções devem ir muito além do atendimento ao cliente, passando a apoiar processos internos e funções como vendas, operações e suporte técnico.
À medida que os bots assumem o papel de intermediários entre usuários e sistemas corporativos, cresce também sua dependência das APIs (interfaces de programação de aplicações), que conectam aplicações, dados e serviços em ambientes digitais. Embora essa integração traga ganhos em eficiência e agilidade, ela também centraliza dados sensíveis e lógicas críticas de negócio, ampliando a superfície de ataque e desafiando os modelos tradicionais de segurança.
Esse risco cresce com o avanço da automação baseada em IA. De acordo com dados da Akamai, o tráfego automatizado gerado por bots de IA cresceu 300% apenas no primeiro semestre de 2025, resultando em bilhões de requisições direcionadas a aplicações web e APIs. Nessa escala, torna-se significativamente mais complexo diferenciar atividades legítimas de abusos, especialmente em ambientes com múltiplas integrações e pouca visibilidade sobre comportamentos automatizados.
“Quando falamos de chatbots, estamos falando de aplicações que operam conectadas a vários sistemas ao mesmo tempo”, afirma Fernando Serto, field CTO da Akamai Technologies para a América Latina. “Essas aplicações acessam APIs para consultar dados, executar ações e responder a solicitações em tempo real. Isso altera o papel dessas interfaces dentro da arquitetura de segurança.”
Com a adoção crescente de agentes automatizados, as APIs passaram a ser um dos principais alvos de ataques por concentrarem permissões e acessos sensíveis. Para funcionar, os chatbots precisam se conectar a sistemas como plataformas de CRM, sistemas financeiros, bases de dados de clientes e aplicações internas. Essas conexões dependem de APIs que utilizam chaves específicas e permissões definidas. No entanto, é comum encontrar APIs com escopos excessivamente amplos e controles frágeis de autorização, o que cria oportunidades para exploração.
Mesmo sem comprometer diretamente um chatbot, atacantes podem abusar de falhas de autenticação ou explorar comportamentos anômalos para acessar mais dados do que o previsto. Uma única API vulnerável pode permitir extração de dados em larga escala, interrupções de serviço e movimentação lateral em ambientes corporativos.
Os impactos vão além da infraestrutura tecnológica, afetando diretamente a confiança de clientes e parceiros. Em setores regulados, como serviços financeiros, saúde e varejo digital, esses incidentes podem resultar em sanções legais e danos permanentes à reputação. “O problema não é a IA em si, mas a forma como ela se conecta aos sistemas existentes. Sem controles adequados, uma API vulnerável pode comprometer toda uma cadeia de serviços”, explica Fernando Serto. Para enfrentar esse desafio, é necessária uma abordagem de segurança em camadas, incluindo controles mais granulares sobre acessos e comportamento.
Entre as principais recomendações estão mecanismos robustos de autenticação, validação rigorosa de entradas e soluções de mitigação de bots capazes de diferenciar tráfego legítimo de atividades maliciosas. A microssegmentação também ganha relevância ao permitir o isolamento de aplicações e integrações, limitando o impacto de incidentes. Estratégias baseadas em Zero Trust, em que nenhuma requisição é considerada confiável por padrão, complementam esse modelo e aumentam a resiliência.
“À medida que chatbots e agentes de IA se tornam parte estrutural das operações digitais, a segurança das APIs que sustentam essas interações deixa de ser um detalhe técnico e passa a ser um requisito fundamental para a continuidade dos negócios”, conclui Serto.
