Shadow AI: 80% dos Funcionários Já Usam o ChatGPT. Por Que Dividimos as Tarefas em Zonas Vermelhas, Verdes e Cinzas?

Shadow AI: 80% dos Funcionários Já Usam o ChatGPT. Por Que Dividimos as Tarefas em Zonas Vermelhas, Verdes e Cinzas?

Descubra como a Alpina Digital lida com o Shadow AI, com 80% dos funcionários usando ferramentas de IA. O artigo detalha a divisão de tarefas em zonas de risco (vermelha, verde e cinza) para equilibrar produtividade e segurança, evitando proibições e promovendo o uso responsável da IA.

MundiX News·26 de maio de 2026·7 min de leitura·👁 21 views

8 em cada 10 funcionários de escritório já usam redes neurais públicas — frequentemente sem o conhecimento do TI. A proibição não funciona: 90% dos chefes de segurança de TI acessam ferramentas de IA não autorizadas. Já vivemos com isso em nossa equipe de mais de 90 pessoas por dois anos — não por meio de bloqueios, mas por meio de uma matriz de três zonas: vermelha, verde e cinza. Vamos analisar como ela é organizada e por que se mantém sem polícia.

Por que estamos escrevendo sobre isso?

Artigos sobre Shadow AI geralmente começam com números assustadores. Oito em cada dez funcionários de escritório já usam o ChatGPT, muitas vezes sem o conhecimento do TI (JumpCloud, com referência ao Microsoft Work Lab). 32% escondem isso do empregador, 13% das solicitações a modelos públicos contêm informações confidenciais corporativas. De acordo com previsões, até 2030, mais de 40% dos incidentes de conformidade estarão relacionados ao Shadow AI (RPA Robin).

Nós lemos essas pesquisas e entendemos: não será possível proibir. E, para ser sincero, não queremos. Temos mais de 90 pessoas, quase todos usam redes neurais diariamente, e em dois anos aprendemos a viver com isso — sem bloqueios e sem vazamentos. A seguir, como.

Por que a proibição não funciona

Há outro número que geralmente é engolido: 90% dos chefes de segurança usam ferramentas de IA não autorizadas no trabalho (artigos semelhantes são abundantes no Reddit ou VC). A proibição não funciona nem mesmo para aqueles que a escrevem. O problema aqui não é disciplina, mas a própria natureza da ferramenta.

Até 2026, de acordo com a previsão da Gartner (via JumpCloud), 70% das interações de um funcionário com IA ocorrem por meio de recursos integrados em SaaS já permitidos. Você pode proibir o ChatGPT. Mas Copilot no Office, AI-summary no Notion, sugestões no Jira — não, eles já estão lá. O tráfego corporativo em aplicativos de IA aumentou 595% entre abril de 2023 e janeiro de 2024 (Zscaler ThreatLabz). Administrativamente, isso não pode ser interrompido.

Em seguida, a mecânica usual. Bloquearam o acesso público — abrem pelo telefone via 4G. Fecharam o ChatGPT na rede do escritório — escrevem do dispositivo pessoal. A proibição não remove o uso. Remove o controle.

Zona vermelha: onde modelos públicos são categoricamente proibidos

Para nós, a questão não é “é possível ou não”, mas “onde, o quê e para onde”. Começaremos com o fato de que nunca enviamos para um modelo público:

  • Dados pessoais de clientes e funcionários — tudo o que se enquadra na lei 152-FZ.
  • Contratos legais em andamento e posições de negociação antes da assinatura.
  • Código de produção com sua própria lógica de negócios e chaves.
  • Planos financeiros e negócios não públicos.
  • Conversas de RH — demissões, conflitos, avaliações de pessoas.

A lógica é simples: se os dados não podem ser colocados em um Google Doc publicamente disponível, eles também não podem ser colocados no ChatGPT aberto. 60% das organizações já sofreram pelo menos um incidente de vazamento por meio de GenAI público (Cisco, via JumpCloud). 20% das empresas — especificamente por meio de Shadow AI.

A zona vermelha precisa de outra arquitetura — um circuito fechado, sua própria infraestrutura, modelos locais, SSO, log no SIEM. Temos a compilação OnPrem AlpinaGPT para isso — ela é instalada na infraestrutura do cliente, geralmente bancos e empresas sob a lei 152-FZ. Mas não vendemos a plataforma aqui — estamos falando sobre o princípio. Onde há dados pessoais e riscos legais, não deve haver um modelo público.

Zona verde: onde o ChatGPT público é a norma e incentivado

A maior parte das tarefas de trabalho é verde. Aqui, não “permitimos”, mas recomendamos. Um funcionário que em 2026 não usa o ChatGPT público para rotinas perde em velocidade para aqueles que usam.

  • Rotina: reformular uma carta, decifrar uma ligação sem nomes, compilar um rascunho de uma agenda.
  • Brainstorm: “sugira 20 opções de título”, “dê 10 ângulos de apresentação para uma página de destino”.
  • Tradução de textos públicos — DeepL, Claude, GPT.
  • Marketing antes da verificação de fatos: primeiras versões de páginas de destino, anúncios, postagens em redes sociais.
  • Scripts de vendas em casos despersonalizados — sem nomes de clientes e números de negócios.
  • Autoaprendizagem: entender um novo tópico, pedir “explique como para uma criança de cinco anos”, esclarecer um termo.

A lógica é a seguinte: o que já estamos prontos para mostrar a uma pessoa de fora — um rascunho de uma carta, uma ideia de título, um texto publicamente disponível para tradução — vai calmamente para qualquer modelo. A velocidade de trabalho da equipe aumenta, não há riscos.

Zona cinza: documentos internos sem dados pessoais

Entre vermelho e verde — cinza. Memorandos internos sem nomes de clientes, análises despersonalizadas por agregados, teses estratégicas em formulações gerais, descrições de processos sem nomes de fornecedores e valores. Útil, não proibido — mas requer uma etapa antes do envio.

A regra da zona cinza é uma: despersonalizar. Substituir nomes de clientes por “cliente A”, remover valores específicos, remover nomes de fornecedores. 83% das empresas não têm controle automatizado sobre o que vai para modelos públicos. Também não temos DLP automático para cada solicitação — há uma cultura de “despersonalizar antes de enviar” e um acordo claro sobre o que considerar dados pessoais.

Como dividimos as tarefas de trabalho específicas de quatro departamentos em zonas vermelhas, verdes e cinzas — estamos analisando em uma reunião de master para empresas em 28 de maio.

Por que isso funciona sem proibições rígidas?

A objeção mais comum de RH e CEO é: “Bonito, mas como você controla isso?” De forma alguma — no sentido de órgãos de supervisão. O controle é feito por meio de infraestrutura e cultura.

Uma ferramenta certa em uma janela.

O funcionário tem ChatGPT, Claude, Gemini, DeepSeek, YandexGPT, DALL-E, MidJourney e DeepL à mão — em uma interface, com UX em russo e faturamento unificado. Então ele não vai instalar um aplicativo pessoal e pagar com o cartão da esposa. AlpinaGPT foi construído para isso — dentro da equipe, esta é apenas uma ferramenta de trabalho, com a qual a maioria começa a manhã. Em seguida, sobre práticas, não sobre a plataforma.

Biblioteca corporativa de prompts.

Não um conjunto de instruções, mas uma base viva: os melhores prompts que os próprios funcionários escreveram e testaram, com tags e pesquisa. Uma pessoa nova sobe para o nível médio da empresa em um dia, sem implorar “dê um prompt para X” no bate-papo geral.

Campeões de IA por departamento.

Em cada equipe, há uma pessoa a quem você vai com a pergunta “como fazer X com uma rede neural”. Este não é um papel burocrático, mas líderes naturais — aqueles que entenderam mais rápido que os outros e estão dispostos a compartilhar. Eles crescem a partir do bate-papo interno do Telegram para entusiastas de IA, no qual os funcionários trazem casos e recursos por conta própria — sem regulamentos e um plano de conteúdo. Uma vez por sprint, nos reunimos para uma breve demonstração dos novos recursos da plataforma — 10 a 15 minutos, opcionalmente. Por meio desses dois mecanismos, o nível médio da equipe cresce mais rápido do que por meio de treinamentos.

Aprender a distinguir as zonas.

No onboarding, mostramos a matriz vermelho/verde/cinza em exemplos específicos do trabalho de cada departamento. Não palestras gerais, mas “aqui está seu documento típico — aqui é onde você pode, aqui é onde você não pode”.

A mesma lógica funciona fora da conformidade corporativa. Mozilla e Anthropic lançaram recentemente o programa Mythos — Claude está oficialmente procurando vulnerabilidades no Firefox por contrato. A história é diferente, de produto, e não sobre IA corporativa, mas o princípio é o mesmo: em vez de proibir — as regras do jogo, nas quais a IA funciona de forma sancionada.

O que vem a seguir

Não conseguimos “resolver” o Shadow AI com um único documento. Conseguimos parar de lutar contra ele e começar a construir uma estrutura. 80% dos funcionários já usam IA — esta é a realidade de 2026. Dentro da Alpina, dividimos as ferramentas para isso e não limitamos as pessoas a um único conjunto: Figma e produtos Adobe, Cursor e Claude Code, Perplexity, Google AI Ultra, geradores de imagens e vídeos estão disponíveis para trabalho regular — sem estar vinculado a um departamento. Para documentos confidenciais — apenas um circuito fechado, implantado internamente. Este é o modelo de trabalho vermelho/verde/cinza em uma frase. A questão para o gerente hoje não é “proibir ou permitir”, mas “como dividir as tarefas em vermelho, verde e cinza em minha equipe específica”.

Estamos analisando a matriz de zonas em uma reunião de master em 28 de maio. A matriz vermelho/verde/cinza não pode ser “resolvida” com um documento — ela precisa ser mantida viva. Como ela é organizada em tarefas específicas de quatro departamentos, estamos analisando em uma reunião de master em 28 de maio de 2026 — 10:00 MSK, Zoom, grátis.

Formato — face-to-face Q&A com câmeras ligadas, sem códigos QR e sem venda da plataforma. Público-alvo — diretores de RH/L&D, CEOs e chefes de universidades corporativas.

  • Zhemal Khamidun, CPO Alpina Digital, Head of AI AlpinaGPT — lógica do produto: por que diferentes tarefas exigem diferentes arquiteturas.
  • Alexander Pronin, gerente de marketing digital Alpina Digital — tarefas de marketing e a zona verde.
  • Olga Starosta, chefe do departamento de vendas Alpina Digital — vendas, scripts e onde a linha vermelha deles passa.
  • Sergey Andriyanov, CTO AlpinaGPT — tecnologia, circuito fechado e como isso é organizado por dentro.

Você levará a matriz de zonas, analisada em tarefas reais de quatro funções, e poderá fazer perguntas sobre sua equipe. Inscrição — alpinagpt.ru/mm-ai.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.