hu, 28 May 2026
← VoltarO risco da IA empresarial está concentrado entre alguns utilizadores avançados e plataformas de IA dominantes, expondo lacunas de visibilidade significativas.
O State of AI Usage Report 2026 (relatório completo aqui) da LayerX Security revela a extensão da lacuna de visibilidade da IA corporativa e por que a maioria das organizações ainda não entende de onde realmente vem sua exposição à IA. A pesquisa mostra que o risco empresarial da IA não é distribuído uniformemente entre usuários ou plataformas. Em vez disso, está fortemente concentrado num pequeno grupo de utilizadores avançados de IA e num punhado de plataformas de IA dominantes que impulsionam a maior parte das atividades empresariais de IA e a exposição de dados sensíveis. Ao mesmo tempo, a utilização da IA está a fragmentar-se rapidamente em contas pessoais, extensões de navegador de IA, copilotos incorporados, conectores de IA e ferramentas secundárias de IA que operam fora dos controlos tradicionais de visibilidade e governação.
O resultado é um ecossistema de IA fragmentado que a maioria das organizações ainda não consegue ver ou governar totalmente. A percepção comum é que “todo mundo usa IA agora”. O relatório pinta um quadro muito mais matizado. Embora quase metade dos usuários corporativos tenham interagido com ferramentas de IA no ano passado, apenas 18% usam IA semanalmente.
Isso sugere que a maioria dos funcionários continua sendo usuários casuais. À primeira vista, isso parece uma boa notícia para as equipes de segurança. Menos usuários devem significar menor risco. Mas o relatório descobriu o oposto.
A atividade empresarial de IA está fortemente concentrada em um grupo muito pequeno de funcionários. Embora metade dos usuários tivesse 12 conversas de IA ou menos, os 5% principais geraram pelo menos 144 conversas. Esses mesmos usuários também se envolveram em interações muito mais profundas, com uma média de 18 prompts por conversa, em comparação com a média de 2. Isso cria uma nova classe de “usuários avançados de IA” que conduzem muito mais conversas, interagem em múltiplas plataformas de IA e se envolvem em cadeias de prompts significativamente mais profundas do que a média dos funcionários.
O resultado: o risco da IA não é distribuído uniformemente pela organização. Um grupo relativamente pequeno de usuários gera uma quantidade desproporcional de exposição à IA empresarial. Apesar do rápido crescimento dos copilotos empresariais, o ChatGPT continua a ser a plataforma de IA dominante nas empresas por uma margem significativa. É responsável por 36% dos usuários corporativos de IA e mais de 55% de todas as conversas de IA.
Essa lacuna é importante porque mostra que os usuários do ChatGPT são muito mais ativos do que os usuários de plataformas concorrentes. O Copilot M365 está crescendo rapidamente, alcançando 29% de adoção e quase um quarto das conversas empresariais sobre IA. O crescimento do Copilot também sinaliza algo importante: o uso da IA empresarial está começando a se dividir entre a IA nativa da empresa governada e a adoção da IA orientada pelo consumidor. Mas, além desses dois líderes, a maioria das plataformas de IA permanece muito atrás, apesar da atenção que recebem.
Embora o uso do Copilot M365 esteja amplamente vinculado a ambientes Microsoft gerenciados por empresas, onde as organizações normalmente mantêm visibilidade e controles de governança mais fortes, o Gemini apresenta um perfil de risco muito diferente. A maior parte do uso empresarial do Gemini ainda ocorre por meio da versão normal para o consumidor, não do Gemini Enterprise. Em muitos casos, os funcionários acessam-no através de contas pessoais e ambientes não gerenciados. Isso significa que as organizações muitas vezes têm pouca visibilidade sobre como os dados são retidos, se os prompts são usados para treinamento de modelos ou como as informações empresariais são tratadas.
A implicação é significativa: nem toda a adoção de IA empresarial acarreta o mesmo nível de risco. O verdadeiro desafio da governação advém cada vez mais da utilização da IA pelos consumidores, operando dentro de fluxos de trabalho empresariais sob a aparência de ferramentas de produtividade legítimas. A maioria das organizações ainda pensa na Shadow AI como funcionários que usam um chatbot não aprovado. Essa definição já está ultrapassada.
A pesquisa da LayerX mostra que o uso de IA empresarial está se fragmentando rapidamente em um ecossistema crescente de ferramentas de IA, assistentes incorporados, extensões de navegador de IA, mecanismos de pesquisa de IA, copilotos de codificação e recursos SaaS alimentados por IA que muitas vezes operam fora dos controles tradicionais de visibilidade e governança. Quase 30% dos usuários corporativos já usam múltiplas plataformas de IA, enquanto os 5% principais interagem com seis ou mais Aplicações de IA. Os funcionários não dependem mais de um único assistente para tarefas isoladas. Eles combinam vários sistemas de IA dentro dos mesmos fluxos de trabalho, muitas vezes alternando entre ferramentas dependendo da tarefa, tipo de dados ou conveniência.
Esta é a aparência real da Shadow AI moderna. É a crescente cauda longa de ferramentas de IA que as organizações lutam para ver, rastrear ou governar. Em muitos casos, as organizações podem nem sequer perceber que a IA está a ser utilizada, criando um desafio de governação muito maior do que a maioria das organizações prevê. A maioria das organizações presume que, se os funcionários usarem a IA no trabalho, eles usarão naturalmente ambientes de IA gerenciados pelas empresas.
Mas isso não é verdade. Quase metade de todas as conversas corporativas sobre IA acontecem por meio de identidades pessoais, e não de contas gerenciadas pela empresa. O que é ainda mais preocupante é que mais de 14% das conversas conduzidas com identidades corporativas estão vinculadas a licenças pessoais de IA. Isto cria um grande ponto cego de governança, pois quando os funcionários usam contas pessoais de IA, as organizações perdem visibilidade sobre políticas de retenção, auditabilidade, exposição de treinamento de modelo e como os dados corporativos são tratados.
Informações confidenciais da empresa podem migrar para ecossistemas externos de IA sem supervisão centralizada ou aplicação de políticas. O que torna isto particularmente surpreendente é que a divisão não diz respeito apenas às identidades. Está cada vez mais moldando a própria seleção de plataformas. Plataformas focadas em empresas, como Copilot M365 e Gemini Enterprise, são usadas principalmente por meio de contas gerenciadas por empresas.
Enquanto isso, plataformas como ChatGPT, Claude e DeepSeek continuam dominadas pelo uso pessoal. Isso significa que o problema da IA empresarial não se trata mais apenas de aplicações de IA. Está se tornando cada vez mais um problema de “IA pessoal” e de governança. O relatório descobriu que mais de 6% das conversas empresariais sobre IA já contêm dados confidenciais.
Categorizamos os dados confidenciais para descobrir que os dados pessoais eram, de longe, a categoria mais comum, aparecendo em 5,81% das conversas, enquanto os dados financeiros e relacionados a TI apareciam com menos frequência, mas ainda representavam uma exposição significativa. DeepSeek mostrou a maior taxa de exposição de dados confidenciais com 12,63% das conversas. ChatGPT seguiu com 8,38%. O copiloto M365 apresentou uma taxa de exposição significativamente menor, de 3,65%.
Isto sugere que as plataformas de IA integradas nas empresas podem operar em ambientes de governação mais controlados, enquanto as ferramentas de IA orientadas para o consumidor continuam a registar padrões de utilização muito mais arriscados. A questão já não é se os funcionários irão partilhar dados sensíveis com sistemas de IA. Eles já estão. O verdadeiro desafio é compreender onde isso acontece, com que frequência e através de quais identidades e plataformas.
O relatório também destaca dois canais de IA em rápido crescimento que muitas organizações mal acompanham atualmente: extensões de navegador de IA e conectores de IA. Cerca de 15% dos usuários corporativos já executam pelo menos uma extensão de navegador de IA. Quase 75% dessas extensões solicitam permissões de navegador altas ou críticas. Mais de 16% já possuem vulnerabilidades conhecidas.
Ao mesmo tempo, os conectores de IA ligam cada vez mais sistemas de IA diretamente a aplicações empresariais como SharePoint, GitHub, Slack, Atlassian e Google Workspace. Isso significa que os sistemas de IA não estão mais limitados aos funcionários que colam informações manualmente nas janelas do chatbot. Cada vez mais lhes é concedido acesso persistente e programático a sistemas empresariais, documentos, plataformas de colaboração e repositórios internos de conhecimento. Isto muda fundamentalmente a natureza do risco de IA empresarial.
O relatório deixa uma coisa clara: as abordagens tradicionais de governação da IA estão a ficar para trás na forma como os funcionários realmente utilizam a IA. Ele descreve uma direção clara para os líderes de segurança: aprender estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias para m líderes do setor, tudo de graça.