Os mesmos modelos de linguagem usados para acelerar o desenvolvimento de software estão reduzindo o custo da engenharia reversa, da automação ofensiva e da exploração de aplicações em escala. Quatro estudos independentes — o “2026 App Security Threat Report“, da Digital.ai; a pesquisa da Cloud Security Alliance (CSA) sobre vibe coding; o relatório The AI Code Deluge da ProjectDiscovery; e o State of Secrets Sprawl 2026 da GitGuardian — documentam essa mudança por ângulos distintos e convergem num diagnóstico econômico: as barreiras de custo, tempo e especialização caíram nos dois lados. As organizações investiram na primeira curva. A segunda passou sem investimento correspondente.
O maior salto regional registrado entre os estudos está na América Latina. O relatório da Digital.ai, baseado em telemetria operacional do quarto trimestre de 2025, registra crescimento de 4,4 vezes na taxa de ataques por instância de usuário na região entre 2025 e 2026, o maior salto regional do estudo. Essa métrica mede a proporção de instalações de aplicativos em dispositivos de usuários finais que registraram atividade hostil, distinta dos 87% globais medidos pela mesma pesquisa, que representam a proporção de aplicativos monitorados com ao menos um evento de ataque.
O relatório aponta explicitamente o Brasil: o ecossistema de malware bancário nacional, com a família Grandoreiro e trojans voltados ao Android, constitui infraestrutura operacional consolidada que agora opera com ferramental de IA Generativa. Capital humano e estrutura de ataque já existiam; a IA amplifica essa capacidade instalada. Esse padrão tem implicação geopolítica mais ampla: regiões historicamente menos representadas na capacidade ofensiva sofisticada passam a operar com ferramentas assistidas por IA que reduzem a distância em relação a grupos mais consolidados. A concentração histórica de capacidade ofensiva avançada em mercados maduros está, segundo os dados, se redistribuindo.
O que os números mostram
O relatório da Digital.ai registra que 87% dos aplicativos monitorados sofreram eventos de ataque detectados em 2026, ante 55% em 2022. Esses percentuais indicam ocorrências observadas pela própria telemetria da empresa, não comprometimentos confirmados ou brechas exploradas com sucesso. A distinção importa para leitura executiva. O relatório é produzido por um fornecedor com interesse comercial em soluções de proteção de binários e runtime; a própria empresa reconhece que parte da aceleração pode refletir a ampliação da base monitorada e mudanças metodológicas ao longo do período.
A tendência de crescimento é sustentada pelos dados, mas a precisão de qualquer número isolado deve ser tratada como aproximada.
A trajetória de crescimento (57% em 2023, 65% em 2024, 83% em 2025) coincide temporalmente com os ciclos de lançamento dos grandes modelos de linguagem desde novembro de 2022. A Digital.ai aponta como hipótese mais plausível que a IA tenha reduzido o custo operacional da engenharia reversa e da automação ofensiva: formulações como “hipótese central” e “correlação mais plausível” aparecem explicitamente no relatório, que não afirma causalidade empírica isolada.
Por setor, serviços financeiros e veículos conectados atingiram 91% de taxa de eventos de ataque em 2026, o maior índice registrado para qualquer vertical na história do estudo. Aplicativos conectados a dispositivos médicos registraram 86%, com o maior salto anual: 8 pontos percentuais em relação a 2025. Um aplicativo de dispositivo médico comprometido envolve riscos que extrapolam exposição de dados: inclui a integridade de dosagens, monitoramento e alertas clínicos em tempo real. Essa dimensão abre exposição regulatória específica: nos Estados Unidos, o FDA publicou orientações de cibersegurança para dispositivos médicos que exigem planos de monitoramento pós-mercado; na Europa, a diretiva NIS2 e o regulamento DORA ampliam as obrigações de resiliência para infraestruturas críticas, com implicações diretas para saúde e finanças.
A lógica de investimento que perdeu validade
Na dimensão de plataformas, a vantagem estrutural do iOS permanece: a Apple controla cadeia de fornecimento, sistema operacional e hardware. O que mudou foi o custo econômico de superá-la. A diferença nas taxas de eventos de ataque entre Android e iOS caiu de 21 pontos percentuais em 2023 para 3 pontos em 2026. O motor dessa convergência foi o salto de 11 pontos percentuais nos ataques de instrumentação ao iOS em um único ano, impulsionado por ferramentas de engenharia reversa assistidas por IA que absorvem a complexidade da arquitetura da Apple.
A consequência orçamentária é direta. Alocações de AppSec que ainda refletem uma proporção 2 para 1 entre Android e iOS estão calibradas para um diferencial de ameaça que não existe mais. O mesmo raciocínio se aplica por setor: a lógica que protegia setores “complexos demais” para serem alvos economicamente viáveis (dispositivos médicos, veículos conectados) foi invalidada. A IA reduziu o prêmio econômico da sofisticação ofensiva. Setores que dependiam da complexidade técnica como barreira implícita precisam rever essa premissa nos ciclos de planejamento de 2026 e 2027.
Como sintetizou Derek Holt, CEO da Digital.ai, em comunicado de 19 de maio de 2026: “A mesma IA que seus engenheiros usaram para criar a aplicação de manhã é usada para atacá-la à tarde.”
A fábrica de software vulnerável
A aceleração dos ataques incide sobre um código que está sendo gerado com vulnerabilidades em escala. Esse é um problema distinto do gargalo operacional das equipes de segurança, embora os dois se retroalimentem.
O documento da CSA, compilado de estudos acadêmicos e relatórios de mercado ainda sem revisão formal da entidade (31 de março de 2026), aponta que o código gerado por IA introduz falhas em 45% das tarefas de codificação analisadas (Veracode, 2025) e produz 2,74 vezes mais problemas de segurança por pull request do que o código humano (CodeRabbit, dezembro de 2025). Em 15 aplicações reais testadas por uma única análise, foi verificada taxa de falha de 100% na implementação de controles básicos como proteção CSRF. Os padrões de falha são sistemáticos: credenciais embutidas, ausência de cabeçalhos de segurança e vulnerabilidades de injeção, distintos dos padrões humanos para os quais as ferramentas de revisão foram desenhadas.
O relatório “GitGuardian State of Secrets Sprawl 2026” documentou 28,65 milhões de credenciais expostas em commits públicos do GitHub em 2025, alta de 34% em relação ao ano anterior. Commits assistidos por IA apresentaram taxa de vazamento de 3,2%, contra 1,5% no baseline geral. Credenciais específicas de serviços de IA cresceram 81% em um ano.
A IA Generativa também inaugurou vetores de ataque sem equivalente nos frameworks tradicionais: o Rules File Backdoor, descoberto em março de 2025, explora arquivos de configuração de ferramentas de codificação com IA para injetar instruções ocultas; o slopsquatting registra nomes de pacotes alucinados por modelos para depois distribuí-los em repositórios públicos como npm e PyPI. CVEs atribuídas formalmente a código gerado por IA saltaram de 6 em janeiro para 35 em março de 2026, segundo o projeto Vibe Security Radar do Georgia Tech. Os pesquisadores estimam que o número real seja 5 a 10 vezes maior, pela ausência de metadados de atribuição na maioria das ferramentas.
Modelo operacional como segundo gargalo
O segundo problema estrutural é operacional, distinto da questão da qualidade do código.
O estudo da ProjectDiscovery com 200 profissionais de cibersegurança em empresas de médio e grande porte (fevereiro-março de 2026) mede o impacto: 100% confirmam aceleração nas entregas de engenharia, mas apenas 38% conseguem acompanhar o volume resultante com segurança. Ferramentas de análise estática (SAST) e de dependências (SCA), concebidas para o ritmo anterior, geram alertas de baixo valor e falsos positivos em volume suficiente para consumir 60% e 74% da atenção dos times, respectivamente, o que transforma os próprios instrumentos de defesa em fontes de ineficiência operacional. O resultado: 66% dos especialistas dedicam mais da metade da semana a validar alertas, reproduzir vulnerabilidades e construir evidências para convencer equipes de engenharia a agir. A remediação efetiva fica em segundo plano.
O custo operacional desse ciclo ainda é pouco quantificado publicamente. Os relatórios disponíveis não traduzem o tempo de validação manual em impacto financeiro direto. Essa lacuna é relevante para decisões de alocação de orçamento. O que os dados indicam é que o custo do falso positivo e da validação redundante já compete com o custo da vulnerabilidade em si na equação de AppSec.
Tese estratégica
O volume cresceu. O modelo de governança não acompanhou. Os controles foram desenhados para ciclos humanos de desenvolvimento.
O diagnóstico compartilhado pelos quatro relatórios aponta para uma falha sistêmica de governança: modelos de ciclo de vida de desenvolvimento (SDLC), programas de treinamento e controles estáticos foram calibrados para o ritmo e os padrões do código humano. A IA não eliminou as barreiras técnicas de ataque; reduziu o custo marginal de atravessá-las mais rápido do que as organizações conseguem adaptar controles, revisar código e realocar orçamentos.
A pressão regulatória tende a intensificar esse prazo. Frameworks como NIS2 e DORA, em vigor na Europa, e as orientações do FDA para cibersegurança de dispositivos médicos nos Estados Unidos já estabelecem obrigações de monitoramento contínuo e gestão de vulnerabilidades que pressupõem processos operacionais que os dados de 2026 mostram como insuficientes. A rastreabilidade de código gerado por IA, hoje ausente na maioria dos ambientes corporativos, emerge como requisito provável em próximas revisões regulatórias, à medida que CVEs atribuídas a ferramentas específicas acumulam.
A assimetria de 2026 indica que a automação ofensiva se move com maior agilidade do que os controles defensivos em vigor. Os dados não apontam reversão dessa trajetória no curto prazo. A velocidade de adaptação da governança, dos orçamentos e dos processos de segurança em relação à expansão da superfície de ataque permanece, nos quatro relatórios, a variável sem resposta. Os relatórios convergem na avaliação de que modelos centrados apenas em análise pré-publicação tendem a perder eficácia relativa diante do volume e da velocidade do código gerado por IA, o que vem ampliando investimentos em proteção de runtime, automação defensiva e modelos de AppSec mais orientados a monitoramento contínuo.