TL;DR: Um relatório da GitGuardian aponta que vazamentos de credenciais cresceram 34% em 2025, chegando a 29 milhões de incidentes. A principal causa apontada é a adoção de assistentes de IA para escrita de código: código gerado por IA vaza informações sensíveis com o dobro da frequência da média. Se a sua empresa usa Copilot, Cursor, ou agentes de IA em produção, este artigo é leitura obrigatória.
Imagine um desenvolvedor da sua empresa usando um assistente de IA para acelerar a criação de uma integração com a API de pagamentos. Em questão de minutos, o código está pronto. Ele faz o commit. Tudo funciona. O que ele não percebeu é que a chave de API pode ter sido incluída diretamente no código e exposta no repositório. Esse tipo de incidente tem se tornado cada vez mais frequente com a adoção de assistentes de IA.
Segundo relatório da GitGuardian, divulgado pelo Digital Inside, o número de credenciais vazadas atingiu 29 milhões de incidentes, segundo o relatório da GitGuardian, um crescimento de 34% em relação ao período anterior, segundo o relatório da GitGuardian. O dado mais preocupante não é o volume absoluto, mas a causa principal por trás do aumento: a adoção acelerada de assistentes de IA para geração de código.
O que o relatório diz, em linguagem direta
A GitGuardian é uma empresa especializada em detecção de segredos expostos em código, repositórios e pipelines de desenvolvimento. Os dados que ela coleta refletem o que acontece no mundo real, não em laboratório.
O achado central é este: código gerado por assistentes de IA tem uma taxa de vazamento de informações sensíveis duas vezes maior que a média, segundo o relatório da GitGuardian. Isso não significa que as ferramentas de IA são defeituosas. Significa que elas geram código funcional muito rápido, e desenvolvedores que usam essas ferramentas tendem a revisar menos o que foi produzido antes de fazer o commit.
O padrão é quase sempre o mesmo. O relatório aponta que um padrão recorrente é desenvolvedores aceitarem sugestões do assistente sem revisar se informações sensíveis foram incluídas no código antes de fazer o commit. O desenvolvedor aceita a sugestão, testa, funciona, e sobe para o repositório sem perceber que uma senha, token, ou chave de API foi junto.
O papel dos agentes de IA no aumento do risco
Além dos assistentes de código, o relatório aponta outro vetor crescente de risco: os agentes de IA autônomos. Diferente de um assistente que sugere código para um humano aprovar, um agente executa tarefas por conta própria, o que exige que ele tenha acesso a sistemas externos.
Para um agente funcionar, ele precisa de credenciais. Essas credenciais precisam estar armazenadas em algum lugar acessível ao agente em tempo de execução, geralmente no ambiente local, em arquivos de configuração, ou em variáveis de ambiente. E aí o risco aumenta: quanto mais agentes autônomos uma empresa coloca em operação, maior é a superfície de ataque.
Se você leu nosso conteúdo sobre ferramentas de IA agêntica para empresas, sabe que esse mercado está crescendo rápido. O problema é que a segurança em torno dessas ferramentas não está crescendo no mesmo ritmo.
O impacto prático para donos de empresa e founders
Se você tem uma startup, uma empresa de software, ou qualquer negócio que usa desenvolvedores com acesso a assistentes de IA como GitHub Copilot, Cursor, ou similares, o risco é concreto e imediato. Não é teórico.
Uma chave de API vazada pode significar custos inesperados de uso indevido, acesso não autorizado a dados de clientes, ou uma notificação de breach que vai direto para os titulares de dados, com todas as consequências de compliance que isso implica. Para empresas que operam ou prestam serviços na Europa, a exposição pode acionar o GDPR. No Brasil, a LGPD também se aplica. O custo de um incidente desse tipo vai muito além da correção técnica.
O segundo impacto é menos óbvio, mas igualmente sério: a velocidade que os times estão ganhando com IA pode estar criando uma dívida de segurança invisível. Cada PR revisado de forma apressada, cada agente configurado sem um processo formal de gestão de credenciais, cada token que expira tarde demais é uma janela aberta. E janelas abertas atraem quem sabe o que está procurando.
O que fazer agora: medidas práticas
Você não precisa parar de usar assistentes de IA. Precisa usar com processos mínimos que reduzam o risco. Algumas ações concretas:
- Implemente escaneamento automático de segredos no repositório. Ferramentas como a própria GitGuardian, TruffleHog, ou o Gitleaks fazem isso antes de qualquer código chegar à branch principal. Algumas dessas ferramentas oferecem planos acessíveis para times pequenos — verifique os planos disponíveis no site oficial de cada uma.
- Use variáveis de ambiente e cofres de credenciais. Nunca coloque chaves, tokens, ou senhas diretamente no código. Use serviços como AWS Secrets Manager, HashiCorp Vault, ou o equivalente da sua infraestrutura.
- Eduque o time sobre os padrões de erro do código gerado por IA. Não é uma crítica às ferramentas. É reconhecer que elas têm pontos cegos, e revisão humana continua sendo necessária, especialmente em arquivos de configuração e integrações externas.
- Estabeleça rotação periódica de credenciais. Mesmo que um segredo tenha sido exposto brevemente, a rotação frequente reduz a janela de exploração.
Para empresas que estão expandindo o uso de agentes autônomos, o ideal é ter uma política formal de concessão de permissões mínimas: cada agente deve ter acesso apenas ao que precisa para executar sua função, nada além.
Um sinal claro do que está por vir
O crescimento de 34% nos incidentes de credenciais vazadas, registrado pela GitGuardian, pode não ser um fenômeno isolado. É o reflexo de uma adoção acelerada de IA sem a maturidade de segurança correspondente. À medida que mais empresas colocarem agentes em produção e mais desenvolvedores usarem copilots no dia a dia, esses números tendem a continuar subindo enquanto a adoção de IA avançar mais rapidamente do que as práticas de segurança correspondentes, segundo a avaliação da GitGuardian.
Isso também significa que o mercado para ferramentas de detecção de segredos e gestão de identidades tende a crescer com a expansão do uso de IA no desenvolvimento de software.
Conclusão
A adoção de IA em desenvolvimento de software é irreversível, e os ganhos de produtividade são reais. Mas o relatório da GitGuardian deixa claro que esses ganhos têm um custo que muitas empresas ainda não colocaram na conta: a exposição de credenciais em código gerado por IA com frequência duas vezes maior que a média, segundo o relatório.
A decisão que você precisa tomar não é entre usar ou não usar IA no desenvolvimento. É entre usar com processos de segurança mínimos ou correr o risco de pagar caro por um incidente que era evitável. Comece pelo escaneamento automático de segredos no seu repositório. É uma hora de configuração que pode evitar semanas de dor de cabeça.
Para entender como estruturar a adoção de IA de forma segura e estratégica, leia nosso guia completo de implementação de IA na empresa.
