Startup Gitar Sai do Sigilo com $9M: Agentes de IA Protegem Código Escrito por Outra IA

A startup Gitar saiu do sigilo e anunciou a atração de $9 milhões em investimentos. A empresa está desenvolvendo uma plataforma de segurança baseada em agentes de IA que verificam código—especialmente o código escrito por outros sistemas de IA. O problema que Gitar resolve surgiu como consequência direta do boom de geração de código por IA.

Ferramentas como GitHub Copilot, Cursor e outros assistentes de IA percorreram o caminho de experiência para prática padrão na maioria das equipes de engenharia nos últimos dois anos. De acordo com estimativas do GitHub, até meados de 2025 mais da metade de todo o código na plataforma é criado com a ajuda de assistentes de IA. Isso muda radicalmente a velocidade de desenvolvimento, mas simultaneamente cria uma nova categoria de riscos: sistemas de IA reproduzem padrões inseguros de seus dados de treinamento, introduzem vulnerabilidades lógicas e geram código que parece correto mas contém buracos de segurança ocultos.

E fazem isso rapidamente—mais rápido do que qualquer revisor consegue verificar. Ferramentas tradicionais de proteção de código—scanners SAST, linters, analisadores estáticos—foram construídas para uma era diferente. Funcionam por regras: procuram padrões conhecidos de vulnerabilidades, emitem avisos.

Em um ritmo moderado de desenvolvimento isso funcionava razoavelmente bem. Hoje o volume de código que precisa ser verificado cresceu uma ordem de magnitude, e a velocidade de seu aparecimento há muito excedeu a capacidade tanto de revisão manual quanto de scanners clássicos. Equipes de segurança se viram em uma situação onde as ferramentas fisicamente não conseguem acompanhar o pipeline, e falsos positivos forçam desenvolvedores a simplesmente ignorar avisos.

Gitar propõe uma abordagem fundamentalmente diferente: agentes de IA que verificam código em tempo real, embutidos no pipeline CI/CD. A ideia-chave é usar IA contra IA. Agentes analisam não apenas linhas individuais por templates, mas entendem o contexto: como dados são passados entre módulos, de onde vem a entrada do usuário, como a autorização é estruturada, se há dependências inseguras na cadeia de chamadas.

Esta abordagem permite detectar vulnerabilidades invisíveis para analisadores estáticos—aquelas que se manifestam apenas na combinação de vários componentes. Ao mesmo tempo, agentes não apenas sinalizam um problema mas oferecem uma correção, reduzindo a carga dos desenvolvedores. Uma rodada de $9 milhões na saída do sigilo é um sinal significativo para o mercado DevSecOps.

Primeiro, investidores estão apostando que segurança de código IA está se tornando um mercado independente em rápido crescimento. Segundo, uma rodada fechada deste tamanho em 2026 quase sempre significa que clientes reais e demanda comprovada existem—durante o sigilo Gitar conseguiu não apenas desenvolver o produto mas também obter confirmações iniciais do mercado. Terceiro, é um desafio direto para atores estabelecidos—Snyk, Semgrep, Veracode—que construíram seus produtos antes da era de geração de código por IA e estão adaptando sua arquitetura às novas realidades mais lentamente do que o mercado exige.

O surgimento do Gitar faz parte de uma onda mais ampla de startups construindo infraestrutura de segurança especificamente para um mundo onde IA escreve a maioria do código. Empresas que apostaram na geração de código pela velocidade agora precisam de ferramentas que não diminuem essa velocidade mas fecham vulnerabilidades antes de chegarem à produção. Se Gitar conseguir provar que a abordagem de agentes produz menos falsos positivos e requer menos configuração manual, a empresa tem todas as chances de ocupar um nicho significativo neste mercado em rápido crescimento.