RuStore implementou IA em segurança da informação: como a VK automatiza revisão de tarefas, código e testes DAST

O RuStore demonstrou uma abordagem pragmática para usar IA em segurança da informação: não para uma vitrine bonita nem para substituir especialistas, mas para descarregar os estágios mais repetitivos do trabalho dentro do ciclo de lançamento. A equipe de segurança automatizou três áreas onde os engenheiros mais frequentemente gastam tempo com revisão básica e filtragem: processamento inicial de tarefas de Security Check, revisão de mudanças em merge requests e testes dinâmicos de aplicações. A lógica é simples: se a máquina conseguir reunir rapidamente contexto, destacar riscos típicos e filtrar problemas óbvios, os humanos têm mais recursos disponíveis para soluções genuinamente complexas, casos borderline e análise arquitetônica profunda.

Isso representa uma mudança importante na abordagem para segurança aplicada. No desenvolvimento de produtos, a segurança há muito tempo consiste em muito mais do que incidentes críticos raros e caçadas por ataques sofisticados. A maior parte da carga de trabalho é operação constante: você precisa ler descrições de tarefas, ver o que exatamente muda na funcionalidade, entender quais dados são afetados, que integrações aparecem e onde vulnerabilidades podem surgir seguindo padrões já conhecidos.

Tal trabalho é obrigatório, mas é exatamente o que consome horas de especialistas. Dimensionar a equipe para esse fluxo nem sempre é racional: junto com o número de especialistas cresce o volume de rotina, não apenas a profundidade de expertise. Portanto, apostar em IA aqui parece não um experimento na moda, mas uma tentativa de redistribuir pontualmente o tempo dentro da equipe.

A primeira direção é a revisão de tarefas de Security Check em estágio inicial. Normalmente um engenheiro precisa entender rapidamente qual mudança está em questão, onde a segurança é potencialmente afetada e se análise profunda é mesmo necessária. IA em tal processo pode reunir contexto básico da descrição da tarefa, destacar áreas sensíveis e marcar coisas que parecem com padrões de risco conhecidos.

Isso é especialmente útil onde o fluxo de tarefas é alto e uma parcela significativa das solicitações acaba precisando de qualificação rápida e roteamento, não investigação completa. A segunda direção é análise de código em merge requests. Aqui há especialmente muitas verificações rotineiras: tratamento de entrada do usuário, controles de acesso, tokens, segredos, logging, validação, chamadas externas.

Se o modelo consegue passar por essas camadas como uma checklist, torna-se não "um revisor no lugar de um humano" mas um primeiro filtro antes da avaliação especializada. A terceira área é AI-DAST, isto é, usar o modelo em testes dinâmicos de aplicações. Para uma equipe de segurança isso é uma extensão lógica da mesma ideia: algumas verificações podem ser padronizadas, aceleradas e executadas mais consistentemente sem esperar que um engenheiro encontre uma janela para passagem manual por cenários típicos.

Nesse modo, a IA é útil principalmente como assistente que não se cansa de executar passos repetitivos e pode mais rapidamente notar desvios no comportamento da aplicação. Isso reduz a probabilidade de que um problema rotineiro se perca entre iterações de lançamento simplesmente por falta de tempo para teste manual. Ao mesmo tempo, a decisão final permanece com o humano: é o engenheiro que avalia o contexto, distingue um problema real de um falso positivo e entende o quão crítico é o sinal encontrado para o produto particular e sua arquitetura.

Em nível de mercado, este é um bom exemplo de como a IA está gradualmente sendo incorporada em processos internos maduros. O valor mais prático aqui não está em promessas altas de "segurança autônoma," mas em reduzir o custo do trabalho rotineiro e acelerar verificações iniciais sem perda de controle. Se tal abordagem se estabelecer, equipes de segurança conseguirão gastar menos tempo em triagem mecânica de tarefas e mais tempo em modelagem de ameaças, cenários de ataque não-triviais e prevenção de erros antes do lançamento.

Para grandes equipes de produto, isto é provavelmente o que se tornará o efeito principal: não uma redução no papel do especialista, mas um aumento notável em sua capacidade de processamento. Essencialmente, trata-se de redistribuir atenção em favor daquelas áreas onde a expertise humana realmente fornece máximo valor e onde a automação ainda não é capaz de substituir o julgamento de engenharia.