A Quarta Onda: Quando a IA Escreve o Código — e o Hackeia

Ultrapassamos um ponto de inflexão significativo na evolução para a Quarta Onda. e o futuro do desenvolvimento e da distribuição de software. A Quarta Onda não se trata apenas de engenharia mais rápida — trata-se da IA ​​se tornar um participante ativo em todo o ciclo de vida do software. Os copilotos de codificação passaram da fase experimental para a prática padrão em menos de dois anos, e o impacto já é mensurável: cerca de 90% das empresas da Fortune 100 utilizam ferramentas de codificação com IA, cerca de 40 a 50% do código agora é gerado por IA em muitos ambientes, e a adoção por desenvolvedores está se tornando quase universal em equipes corporativas.

Ao mesmo tempo, as organizações empresariais estão se dando conta de uma realidade incômoda: a geração de código mais rápida não significa automaticamente uma entrega de valor mais rápida no complexo processo de desenvolvimento de software, que abrange todo o ciclo de vida do negócio. Os agentes de codificação são apenas uma parte desse processo. — e na maioria das grandes organizações, o verdadeiro atrito reside nas etapas iniciais de planejamento e nas etapas finais de teste, segurança e lançamento, e não na tarefa de codificação em si.

Mas a questão mais importante aqui não são os gargalos que já identificamos. Há uma mudança paralela acontecendo — uma que é menos discutida e muito mais consequente.

A IA agora é uma ameaça de primeira classe.

As mesmas capacidades que aceleram o desenvolvimento agora estão acelerando os ataques.

Desenvolvimentos recentes, como o modelo Mythos da Anthropic e o consórcio Project Glasswing, destacam o quão longe isso já chegou. Esses sistemas são capazes de identificar vulnerabilidades até então desconhecidas e gerar exploits com mínima intervenção humana. Eles podem realizar engenharia reversa de aplicações em segundos e agentes podem ser utilizados por cibercriminosos para criar um exército de ataques.
Não estamos mais lidando com melhorias incrementais em ferramentas de segurança ou na sofisticação dos atacantes. Estamos entrando em um mundo onde a IA pode descobrir e explorar vulnerabilidades mais rapidamente do que a maioria das organizações consegue responder. O risco acelerado não se resume apenas à velocidade, mas também à complexidade, escala, sofisticação e abrangência. Quando os criadores desses modelos demonstram preocupação com as implicações de uma ampla divulgação, sabemos que este é o momento em que o setor precisa se reequilibrar.

A superfície de ataque está se expandindo — de ambos os lados.

O que torna este momento diferente é que o risco está aumentando simultaneamente em duas direções.

Externamente, A IA está transformando o ecossistema de ataques:

• Os prazos dos ataques estão sendo reduzidos de horas para segundos.
• Agentes e enxames de agentes estão possibilitando uma escala e complexidade de ataques sem precedentes.
• O número de grupos de hackers menores e ativos está crescendo à medida que as barreiras de entrada diminuem e os custos caem drasticamente.
• A IA está possibilitando reconhecimento automatizado, geração de exploits e ataques adaptativos.

Internamente, A IA está mudando a forma como o código é produzido:

• Os desenvolvedores estão gerando muito mais código, mais rápido do que nunca.
• O código gerado por IA pode introduzir vulnerabilidades que nem sempre são totalmente compreendidas.
• Muitos usos do Coding Copilot estão criando situações de "caixa preta" onde os próprios desenvolvedores não entendem o código.
• Padrões inseguros agora podem se propagar em larga escala por sistemas frequentemente imaturos e manuais. DevOps processos que pioram ainda mais as coisas

Já estamos vendo os dados refletirem essa mudança. De acordo com as Digital.ai'S 2025 Application Security Relatório de Ameaças:

• 83% dos aplicativos estão sob ataque constante — um aumento de quase 20% em relação ao ano anterior.
• As taxas de ataques aumentaram em todos os principais setores: telecomunicações (91%), serviços financeiros (87.5%), automotivo (86%) e saúde (78.5%).
• A diferença entre as taxas de ataque no iOS e no Android diminuiu significativamente à medida que as técnicas de jailbreak e a exploração assistida por IA amadureceram.
• Ferramentas de IA gratuitas tornaram mais fácil do que nunca para agentes maliciosos realizarem engenharia reversa, analisarem e explorarem aplicações em larga escala.

O resultado final é um novo tipo de assimetria. A janela entre a criação de vulnerabilidades e a sua exploração está a diminuir drasticamente. Os nossos dados de 2026, que serão divulgados em breve, mostrarão o quanto essa linha se deslocou.

Por que o modelo de segurança antigo falha

A maioria das estratégias de segurança empresarial foi criada para uma era diferente — uma era definida pelo desenvolvimento em ritmo humano e por ataques em escala humana.
 
Esse modelo pressupõe:

• O código é escrito e revisado por desenvolvedores.
• As vulnerabilidades são descobertas ao longo do tempo; as correções foram lançadas sempre que possível.
• Os defensores têm uma janela de oportunidade para detectar e responder.

Nenhuma dessas suposições se sustenta na Quarta Onda.
 
Quando o código é gerado instantaneamente e os ataques são executados instantaneamente, a segurança não pode ser periódica ou reativa. Ela não pode ficar restrita ao perímetro da aplicação nem depender exclusivamente de varreduras e correções. Ela precisa estar integrada à própria aplicação — contínua, adaptativa e em tempo real.

A aceleração da aplicação da autodefesa

É por isso que estamos testemunhando um novo nível de urgência em relação à proteção em nível de aplicação. Recursos como ofuscação, proteção contra adulteração, autoproteção de aplicações em tempo de execução (RASP) e criptografia de caixa branca já existem há algum tempo, mas na Quarta Onda, essas abordagens deixaram de ser proteções adicionais opcionais para se tornarem um requisito para sobreviver no cenário de ameaças atual. Elas se tornaram os componentes fundamentais de uma estratégia de segurança moderna. Não porque sejam novas, mas porque o ambiente mudou.
Em um mundo onde a IA está constantemente à procura de vulnerabilidades, descompilando aplicações em segundos e escalando ataques a níveis sem precedentes, as aplicações precisam ser capazes de se defender internamente, em tempo de execução, sem depender de intervenção externa. Isso é especialmente verdadeiro para aplicações móveis e web, onde a superfície de ataque é altamente exposta, a rede está fora do seu controle e você não é o proprietário do ambiente operacional.

A Implicação Estratégica

A Quarta Onda é definida por uma dinâmica simples, porém poderosa: a IA está acelerando a forma como o software é construído — e como ele é atacado. Essa dualidade cria oportunidades e riscos em uma escala sem precedentes. As organizações que tratam a IA puramente como uma alavanca de produtividade perderão a visão geral. Aquelas que reconhecerem a necessidade de evoluir seu modelo de segurança juntamente com seu modelo de desenvolvimento serão as que liderarão o mercado. Nesse novo ambiente, a velocidade por si só não é uma vantagem. Velocidade sem segurança é uma vulnerabilidade.
 
Os vencedores da Quarta Onda construirão e inovarão mais rapidamente — mas, mais importante ainda, entregarão aplicativos seguros na velocidade da máquina.
 
Software mais inteligente. Velocidade ágil. Segurança integrada.