Chatbots baseados em inteligência artificial passaram a ocupar um papel central no desempenho dos negócios. Segundo dados do Google, os brasileiros utilizam essas ferramentas mais do que usuários de outros países: 71% dos adultos conectados no Brasil afirmam ter usado chatbots nos últimos 12 meses. Até 2026, essas soluções devem ir muito além do atendimento ao cliente, passando a apoiar processos internos e funções como vendas, operações e suporte técnico.

À medida que os chatbots assumem o papel de intermediários entre usuários e sistemas corporativos, cresce também sua dependência das APIs (interfaces de programação de aplicações). As APIs conectam aplicações, dados e serviços em ambientes digitais. Embora essa integração traga ganhos em eficiência, escalabilidade e agilidade, ela também centraliza dados sensíveis e lógicas críticas de negócio, ampliando a superfície de ataque e colocando em xeque modelos tradicionais de segurança.

Esse risco cresce com o avanço da automação baseada em IA. De acordo com dados da Akamai, o tráfego automatizado gerado por bots de IA cresceu 300% apenas no primeiro semestre de 2025, resultando em bilhões de requisições direcionadas a aplicações web e APIs. Nessa escala, torna-se significativamente mais complexo diferenciar atividades legítimas de abusos, especialmente em ambientes com múltiplas integrações e pouca visibilidade sobre comportamentos automatizados.

“Quando falamos de chatbots, estamos falando de aplicações que operam conectadas a vários sistemas ao mesmo tempo”, afirma Fernando Serto, field CTO da Akamai Technologies para a América Latina. “Essas aplicações acessam APIs para consultar dados, executar ações e responder a solicitações em tempo real. Isso altera o papel dessas interfaces dentro da arquitetura de segurança.”

APIs se tornam os principais alvos

Com a adoção crescente de chatbots e agentes automatizados, as APIs passaram a ser um dos principais alvos de ataques, justamente por concentrarem permissões e acessos sensíveis.

Para funcionar, os chatbots precisam se conectar a sistemas como plataformas de CRM, sistemas financeiros, bases de dados de clientes, ferramentas de suporte e aplicações internas. Essas conexões dependem de APIs que utilizam chaves específicas, tokens de autenticação e permissões definidas. Em ambientes bem gerenciados, os acessos são limitados ao mínimo necessário e monitorados continuamente. Na prática, porém, é comum encontrar APIs com escopos excessivamente amplos, controles frágeis de autorização e pouca visibilidade sobre seu uso.

Esse cenário cria oportunidades para exploração. Mesmo sem comprometer diretamente um chatbot, atacantes podem abusar de falhas de autenticação nas APIs conectadas, utilizar credenciais legítimas de forma indevida ou explorar comportamentos anômalos e lógicas de negócio para acessar mais dados do que o previsto. Uma única API vulnerável pode permitir extração de dados em larga escala, interrupções de serviço e movimentação lateral em ambientes corporativos.

Os impactos vão além da infraestrutura tecnológica. Vazamentos de dados e falhas de disponibilidade afetam diretamente a confiança de clientes, parceiros e usuários. Em setores regulados, como serviços financeiros, saúde e varejo digital, esses incidentes também podem resultar em sanções legais e danos permanentes à reputação.

“O problema não é a IA em si, mas a forma como ela se conecta aos sistemas existentes. Sem controles adequados, uma API vulnerável pode comprometer toda uma cadeia de serviços”, explica Fernando Serto.

Segurança como parte da arquitetura

Para enfrentar esse desafio, é necessária uma abordagem de segurança em camadas, com foco especial em APIs e aplicações orientadas por IA. O olhar deixa de estar apenas na proteção do perímetro e passa a incluir controles mais granulares, baseados em políticas, sobre acessos, permissões e comportamento.

Entre as principais recomendações estão mecanismos robustos de autenticação e autorização, validação rigorosa de entradas, monitoramento contínuo das interações e soluções de mitigação de bots capazes de diferenciar tráfego automatizado legítimo de atividades maliciosas.

A microssegmentação ganha relevância ao permitir o isolamento de aplicações, workloads e integrações, reduzindo o impacto de incidentes e limitando a movimentação lateral de invasores. Estratégias baseadas em Zero Trust, em que nenhuma identidade, aplicação ou requisição é considerada confiável por padrão, complementam esse modelo e aumentam a resiliência em ambientes altamente automatizados.

“À medida que chatbots e agentes de IA se tornam parte estrutural das operações digitais, a segurança das APIs que sustentam essas interações deixa de ser um detalhe técnico e passa a ser um requisito fundamental para a continuidade dos negócios”, conclui Serto.

Sobre a Akamai

A Akamai impulsiona e protege a vida online. Empresas líderes em todo o mundo escolhem a Akamai para construir, entregar e proteger suas experiências digitais - ajudando bilhões de pessoas a viver, trabalhar e brincar todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e borda distribuída em massa, coloca aplicativos e experiências mais próximos dos usuários e afasta ameaças. Saiba mais sobre as soluções de computação em nuvem, segurança e entrega de conteúdo da Akamai em akamai.com e akamai.com/blog, ou siga a Akamai Technologies no X, anteriormente conhecido como Twitter, e LinkedIn.