Este post baseia-se em conversa da Mackenzie conversa com Noora Ahmed-Moshe no podcast The Secure Disclosure. Ouça o episódio completo.
Uma empresa perdeu um milhão de dólares porque alguém, durante uma chamada relacionada com um litígio, utilizou uma ferramenta de IA para tomar notas. Como explica a cientista comportamental Noora Ahmed-Moshe no podcast, a ferramenta resumiu uma conversa confidencial e enviou-a à parte contrária, que a utilizou para forçar um acordo nos seus termos. Os especialistas jurídicos alertam que as transcrições geradas por IA são agora alvos habituais na fase de produção de provas em processos judiciais.
Os tomadores de notas são apenas um exemplo. Os funcionários estão a utilizar a IA de mais formas do que as suas empresas imaginam e, na realidade, estão a ser forçados a fazê-lo. Segundo Ahmed-Moshe, trata-se de uma reação de medo. «Existe um sentimento geral de pânico de que a IA vai chegar e roubar-lhe o emprego.» Mais de 95% dos empregadores querem agora contratar pessoas com competências em IA. Os funcionários têm medo de ficar para trás no que diz respeito às ferramentas porque estão a interpretar corretamente o mercado de trabalho.
É esse receio que está a impulsionar a IA paralela. Os colaboradores estão a recorrer a ferramentas não aprovadas porque a tecnologia evolui mais rapidamente do que qualquer ciclo de aprovação consegue acompanhar. Quando o departamento de TI conclui uma demonstração de viabilidade e concede acesso, os colaboradores já ouviram falar, através de um colega, de algo melhor. Ao fornecer-lhes uma ferramenta aprovada que não se adapta ao seu fluxo de trabalho e, em seguida, bloquear todas as outras, acaba por levá-los a esconder as ferramentas que realmente utilizam.
E é no ato de esconder que a falha começa.
O pânico é agora a sua superfície de ataque
Estudos revelam que mais de metade dos funcionários utiliza atualmente ferramentas de IA não aprovadas no trabalho. Mais de metade desses funcionários está a introduzir dados confidenciais da empresa em ferramentas que a empresa não gere, não monitoriza nem sequer conhece. Isto significa que materiais confidenciais, como documentos jurídicos, dados de clientes e estratégias internas, estão a ser introduzidos em modelos não verificados
Mesmo ferramentas de renome em planos gratuitos podem estar a utilizar esses dados para treinar modelos. Uma ferramenta menos fiável pode ser alvo de uma violação direta. E, como salientou Ahmed-Moshe, «Acho que ainda não vimos os riscos concretizarem-se, porque isto é muito recente.» O alcance do impacto continua a aumentar, e ainda só vimos os primeiros sinais.
A proibição não funciona
É compreensível o instinto de proibir todas as utilizações não autorizadas da IA. A Samsung fez isso com o ChatGPT. Um consultor de segurança publicou no Reddit sobre um cliente que exigiu o mesmo, mas depois descobriu que o seu diretor executivo vinha a utilizar o ChatGPT numa conta pessoal há seis meses para redigir apresentações para o conselho de administração.
Proibir as ferramentas de que os seus colaboradores dependem não os fará deixar de as utilizar. Como afirma Ahmed-Moshe: «Se tentarem proibir as ferramentas de IA na vossa organização, não vejo como poderão continuar a ter sucesso enquanto empresa.» As ferramentas de IA apresentam riscos de segurança reais, mas são uma parte essencial da forma como realizamos o nosso trabalho. Proibir as ferramentas de IA é como dizer aos adolescentes para não usarem os seus telemóveis. Eles vão simplesmente fazê-lo onde não os possam ver.
Já passámos por isto antes. A «TI na sombra» existe há anos, e o BYOD surgiu quando as empresas perceberam que bloquear os dispositivos pessoais acabaria por prejudicar a produtividade. Precisavam de uma forma de os proteger. A «IA na sombra» é o mesmo problema, mas com muito mais em jogo.
Como adaptar a sua estratégia de segurança para ter em conta a IA paralela
As organizações que colmatam esta lacuna estão a eliminar as condições que levam os colaboradores a querer ocultar a utilização das ferramentas.
O que pode realmente fazer:
- Comece por obter visibilidade: analise quais as ferramentas que estão a ser utilizadas antes de começar a bloquear qualquer coisa. Aikido monitoriza todos os dispositivos dos programadores para detetar ameaças que se encontram fora da sua superfície de ataque normal.
- Identifique as lacunas no fluxo de trabalho: se os colaboradores estão a utilizar ferramentas não autorizadas, há uma razão para isso. Descubra qual é e resolva-a com uma solução que realmente funcione.
- Criar um ambiente de segurança psicológica: o diálogo aberto é mais eficaz do que a punição quando se trata de mudar comportamentos. As equipas de segurança que se mostram acessíveis ganham uma visibilidade que as culturas fechadas nunca alcançarão.
- Aja mais rapidamente do que o ciclo de aprovação. O processo de três meses, desde a prova de conceito até à implementação, que funcionava para o software empresarial, já não é viável quando o panorama das ameaças e as ferramentas estão em constante mudança, mês após mês.
A «Shadow AI» é a nova forma de phishing, um problema de comportamento humano que os controlos técnicos podem reduzir, mas nunca eliminar. O pânico é a vulnerabilidade. É isso que se deve resolver em primeiro lugar.
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#article",
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
},
"headline": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage",
"url": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"contentUrl": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"width": 1200,
"height": 630
},
"datePublished": "2026-05-12T00:00:00+00:00",
"dateModified": "2026-05-12T00:00:00+00:00",
"author": {
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@type": "Organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
"publisher": {
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
}
},
"keywords": [
"shadow AI",
"shadow IT",
"AI security risks",
"unapproved AI tools",
"employee AI usage",
"AI data leakage",
"BYOD security",
"AI note-taker risks",
"security posture",
"attack surface",
"AI governance",
"insider threat",
"enterprise AI security",
"AI compliance",
"behavioral security"
],
"articleSection": "Cybersecurity",
"inLanguage": "en-US",
"timeRequired": "PT5M",
"isBasedOn": {
"@type": "PodcastEpisode",
"name": "AI Panic is Driving Shadow IT with Noora Ahmed-Moshe",
"url": "https://creators.spotify.com/pod/profile/thesecuredisclosure/episodes/AI-Panic-is-Driving-Shadow-IT-w-Noora-Ahmed-Moshe-e3ivlbo",
"partOfSeries": {
"@type": "PodcastSeries",
"name": "Secure Disclosures"
}
},
"about": [
{
"@type": "DefinedTerm",
"name": "Shadow AI",
"description": "The use of unapproved or unsanctioned AI tools by employees within an organization without the knowledge or consent of IT or security teams."
},
{
"@type": "DefinedTerm",
"name": "Shadow IT",
"description": "The use of information technology systems, software, and services without explicit organizational approval."
},
{
"@type": "Thing",
"name": "AI security risk",
"sameAs": "https://schema.org/Thing"
},
{
"@type": "Thing",
"name": "BYOD",
"description": "Bring Your Own Device — a policy allowing employees to use personal devices for work purposes."
}
],
"mentions": [
{
"@type": "Person",
"name": "Noora Ahmed-Moshe",
"jobTitle": "Behavioral Scientist",
"sameAs": "https://www.linkedin.com/in/noora-ahmed-moshe/"
},
{
"@type": "Organization",
"name": "Samsung",
"sameAs": "https://www.samsung.com"
},
{
"@type": "SoftwareApplication",
"name": "ChatGPT",
"applicationCategory": "AI Assistant",
"operatingSystem": "Web",
"sameAs": "https://chat.openai.com"
},
{
"@type": "SoftwareApplication",
"name": "Aikido Endpoint",
"applicationCategory": "Security Software",
"operatingSystem": "Web",
"url": "https://www.aikido.dev/attack/surface-monitoring-dast"
}
],
"citation": [
{
"@type": "WebPage",
"name": "Samsung bans ChatGPT and other generative AI use by staff after leak",
"url": "https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak"
},
{
"@type": "WebPage",
"name": "Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants",
"url": "https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/"
},
{
"@type": "WebPage",
"name": "AI Job Market Report",
"url": "https://zapier.com/blog/ai-job-market-report/"
},
{
"@type": "WebPage",
"name": "Many workers are using unapproved AI tools at work",
"url": "https://www.techradar.com/pro/many-workers-are-using-unapproved-ai-tools-at-work-and-sharing-a-lot-of-private-data-they-really-shouldnt"
}
],
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"url": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"name": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb"
},
"inLanguage": "en-US"
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Shadow AI risks start with fear, and banning makes them worse",
"item": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikido_security"
]
},
{
"@type": "FAQPage",
"mainEntity": [
{
"@type": "Question",
"name": "What is shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI refers to the use of unapproved or unsanctioned AI tools by employees within an organization, without the knowledge or oversight of IT or security teams. It is a subset of shadow IT and poses significant data security and compliance risks."
}
},
{
"@type": "Question",
"name": "Why do employees use shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Employees use unapproved AI tools primarily out of fear of falling behind in a job market where AI skills are increasingly required. When approved tools don't fit their workflows, or approval cycles move too slowly, employees turn to tools that help them do their jobs more effectively."
}
},
{
"@type": "Question",
"name": "Why doesn't banning AI tools work?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Banning AI tools forces usage underground rather than eliminating it. Employees will use personal devices or accounts to access the tools they depend on. As with BYOD, the more effective approach is to create a secure, sanctioned framework that meets employees' actual workflow needs."
}
},
{
"@type": "Question",
"name": "What are the security risks of shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI poses multiple security risks including sensitive data being fed into unvetted models, data used to train third-party AI systems, exposure through breaches of unsecured tools, and AI-generated content such as meeting transcripts becoming discovery targets in legal proceedings."
}
},
{
"@type": "Question",
"name": "How can organizations reduce shadow AI risk?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Organizations should first gain visibility into what tools are being used, understand the workflow gaps driving unsanctioned usage, create psychological safety so employees feel comfortable disclosing tool usage, and accelerate their approval cycles to keep pace with the speed of AI development."
}
}
]
}
]
}
</script>
