Chatbots baseados em inteligência artificial passaram a ocupar um papel central no desempenho dos negócios e devem seguir ocupando cada vez mais espaço no atendimento ao cliente, passando a apoiar processos internos e funções como vendas, operações e suporte técnico. Diante desse cenário, Fernando Serto, field CTO da Akamai Technologies para a América Latina, ressalta que as aplicações que operam conectadas a vários sistemas ao mesmo tempo consultam dados, executam ações e respondem a solicitações em tempo real — e isso altera o papel dessas interfaces dentro da arquitetura de segurança.

À medida que os chatbots assumem o papel de intermediários entre usuários e sistemas corporativos, cresce também sua dependência das interfaces de programação de aplicações. Embora essa integração traga ganhos em eficiência, escalabilidade e agilidade, ela também centraliza dados sensíveis e lógicas críticas de negócio, ampliando a superfície de ataque e colocando em xeque modelos tradicionais de segurança.

Esse risco cresce com o avanço da automação baseada em IA. De acordo com dados da Akamai, o tráfego automatizado gerado por bots de IA cresceu 300% apenas no primeiro semestre de 2025, resultando em bilhões de requisições direcionadas a aplicações web e APIs. Nessa escala, torna-se significativamente mais complexo diferenciar atividades legítimas de abusos, especialmente em ambientes com múltiplas integrações e pouca visibilidade sobre comportamentos automatizados.

Com a adoção crescente de chatbots e agentes automatizados, as APIs passaram a ser um dos principais alvos de ataques, justamente por concentrarem permissões e acessos sensíveis. De acordo com a Akamai, em ambientes bem gerenciados, os acessos são limitados ao mínimo necessário e monitorados continuamente. Na prática, porém, é comum encontrar APIs com escopos excessivamente amplos, controles frágeis de autorização e pouca visibilidade sobre seu uso.

Esse cenário cria oportunidades para exploração. Mesmo sem comprometer diretamente um chatbot, atacantes podem abusar de falhas de autenticação nas APIs conectadas, utilizar credenciais legítimas de forma indevida ou explorar comportamentos anômalos e lógicas de negócio para acessar mais dados do que o previsto, conforme explica a Akamai. Uma única API vulnerável pode permitir extração de dados em larga escala, interrupções de serviço e movimentação lateral em ambientes corporativos — alerta a empresa.

Os impactos incluem vazamentos de dados e falhas de disponibilidade que afetam diretamente a confiança de clientes, parceiros e usuários. Em setores regulados, como serviços financeiros, saúde e varejo digital, esses incidentes também podem resultar em sanções legais e danos permanentes à reputação.“O problema não é a IA em si, mas a forma como ela se conecta aos sistemas existentes. Sem controles adequados, uma API vulnerável pode comprometer toda uma cadeia de serviços”, explica Fernando Serto.

Para enfrentar esse desafio, a Akamai recomenda uma abordagem de segurança em camadas, com foco especial em APIs e aplicações orientadas por IA. Para além da proteção do perímetro, é preciso incluir controles mais granulares, baseados em políticas, sobre acessos, permissões e comportamento. Entre as principais recomendações estão mecanismos robustos de autenticação e autorização, validação rigorosa de entradas, monitoramento contínuo das interações e soluções de mitigação de bots capazes de diferenciar tráfego automatizado legítimo de atividades maliciosas.

A microssegmentação ganha relevância ao permitir o isolamento de aplicações, workloads e integrações, reduzindo o impacto de incidentes e limitando a movimentação lateral de invasores. Estratégias baseadas em Zero Trust, em que nenhuma identidade, aplicação ou requisição é considerada confiável por padrão, complementam esse modelo e aumentam a resiliência em ambientes altamente automatizados.

“À medida que chatbots e agentes de IA se tornam parte estrutural das operações digitais, a segurança das APIs que sustentam essas interações deixa de ser um detalhe técnico e passa a ser um requisito fundamental para a continuidade dos negócios”, conclui Serto.