Raft vê um novo mercado: integradores ganham uma forma de lucrar com segurança de AI

A segurança de IA está rapidamente se tornando um mercado de serviços separado em vez de uma tarefa secundária. Neste contexto, a Raft está oferecendo aos integradores um nicho em pentesting de IA: a demanda está crescendo devido a novos tipos de ataques, requisitos regulatórios e escassez de especialistas que saibam testar modelos, datasets e sistemas RAG.

Por que o Tópico Cresceu

A inteligência artificial no segmento corporativo deixou de ser um experimento. As empresas estão implantando chatbots LLM em sites, integrando assistentes de IA em fluxos de documentos e implementando sistemas RAG para trabalhar com bases de conhecimento internas. De acordo com dados citados pela Raft, em 2026, 39% das empresas russas já usam IA.

Os negócios entram nessa zona para velocidade, redução de custos e automação, mas a implementação quase sempre supera os processos de avaliação de riscos. Por isso, a IA entra na infraestrutura antes que um esquema de segurança claro emerja. O problema é que as ferramentas clássicas de segurança da informação cobrem apenas parte das ameaças.

Para WAF, DLP ou NGFW, um diálogo do usuário com um modelo generativo geralmente parece um uso normal do serviço. Mas um ataque pode acontecer diretamente dentro de uma consulta de texto, sem exploits ou arquivos maliciosos. Isso muda a abordagem de defesa: não é suficiente apenas proteger o perímetro, você precisa verificar como o modelo em si responde a provocações, quais dados pode divulgar e se pode ser forçado a violar suas instruções originais.

Quais Ataques Importam

Uma nova camada de ameaças apareceu junto com modelos generativos e agentes que ganham acesso a documentos, código e serviços internos. Para o cliente, isso significa que a superfície de ataque se expande não apenas pela IA em si, mas também por sua integração aos processos de negócios. O ambiente se torna especialmente arriscado quando os modelos estão conectados a bases de conhecimento corporativas, APIs internas e ferramentas de desenvolvimento. E quanto mais profunda essa integração, menos úteis se tornam os checklists de segurança padrão.

• Injeção de prompt — uma tentativa de substituir ou contornar instruções do sistema através de uma consulta especialmente elaborada.
• Envenenamento de dados — introdução de dados maliciosos ou corrompidos em datasets de treinamento e referência.
• Extração de modelo — recuperação da lógica do modelo através da API ou solicitações em massa, até vazamento de dados.
• Riscos da cadeia de suprimentos — vulnerabilidades na cadeia de ferramentas, quando agentes de IA usam bibliotecas, código e comandos de shell sem controle suficiente.

A Raft enfatiza particularmente que essa paisagem muda muito rapidamente: um esquema seguro ontem pode se mostrar vulnerável hoje a um novo jailbreak ou injeção. Por isso, a segurança de IA não se combina bem com uma auditoria única "para marcar o passo". Isso força o negócio a fazer a transição para verificações contínuas de red teaming, onde o modelo é testado com a mesma regularidade que os serviços externos e interfaces do usuário.

"A defesa aqui requer não uma implementação única de uma pílula

mágica, mas monitoramento e testes constantes."

Onde está o Dinheiro para Integradores

Contra o pano de fundo desses riscos, o mercado está começando a exigir expertise separada. O artigo cita uma estimativa de que em 2026, até 10% dos ataques às infraestruturas de TI bancárias podem estar relacionados a vulnerabilidades de IA. Ao mesmo tempo, entrou em vigor a Ordem nº 117 do Serviço Federal Russo de Controle Técnico e de Exportação de 1º de março de 2026, que pela primeira vez menciona diretamente a proteção de datasets de treinamento, modelos, parâmetros e serviços de tomada de decisão.

Para grandes clientes, isso significa uma conclusão simples: a IA não pode mais ser considerada um "complemento", terá que ser verificada como um elemento completo de um ambiente de TI crítico. Esta é a janela de oportunidade para integradores. Os clientes já estão comprando soluções de IA, mas muitos não têm a metodologia, especialistas ou ferramentas para avaliar sua resiliência a ataques.

É por isso que a Avaliação de Segurança de IA ou pentesting de IA está começando a parecer um novo serviço de alta margem. Um pacote básico pode incluir inventário de todos os componentes de IA, modelagem de ameaças, ataques controlados como jailbreaks e injeções de prompt, e então um mapa de riscos e recomendações de segurança. Isso não é um pacote único, mas um serviço com verificações regulares e suporte subsequente.

A Raft está tentando ocupar esse nicho com sua plataforma HiveTrace Red e programa de parceria para integradores. A empresa promete uma ferramenta para ataques automatizados e semiautomatizados em LLMs, soluções RAG e modelos ML, além de treinamento em vendas e condução de tais projetos. Essencialmente, trata-se de uma tentativa de empacotar a segurança de IA em um produto B2B compreensível: fornecer aos contratantes uma plataforma, metodologia e primeiros estudos de caso conjuntos para entrar no mercado mais rapidamente.

Para pequenas equipes, essa é uma forma de entrar no campo sem uma fase de P&D proprietária de vários anos.

O que Isso Significa

O mercado de IA está gradualmente repetindo o caminho da segurança da informação clássica: primeiro, o negócio implementa maciçamente novas tecnologias, depois aparecem ataques, requisitos regulatórios emergem, e uma classe separada de contratantes. Se a previsão de demanda se confirmar, nos próximos anos o pentesting de IA e auditorias de modelos se tornarão tão normais para integradores quanto o pentesting da web ou auditorias de infraestrutura. Para os clientes, isso significa custos crescentes com verificação de IA, e para os contratantes, o surgimento de novas receitas.