A adoção acelerada da inteligência artificial (IA) está criando novas vulnerabilidades de segurança nas empresas, específicamente nas interfaces de programação de aplicações (APIs). Essa é a principal conclusão do relatório “2026 Apps, APIs, and DDoS State of the Internet” da Akamai, que destaca que as organizações estão investindo cada vez mais em automação e IA em camadas que atualmente enfrentam intensa pressão de ataques.
De acordo com a Akamai, os atacantes estão modernizando suas táticas, combinando abusos de APIs, ataques a aplicativos web e DDoS de camada 7 em campanhas coordenadas e repetíveis. O objetivo, segundo o relatório, já não é apenas causar uma grande intrusão, mas sim degradar o desempenho, aumentar os custos de infraestrutura e explorar a automação impulsionada por IA em larga escala.
Quatro dados preocupantes do relatório ilustram essa mudança: os ataques DDoS de camada 7 cresceram 104% nos últimos dois anos, 87% das organizações entrevistadas sofreram pelo menos um incidente de segurança relacionado a APIs em 2025, os ataques a aplicativos web aumentaram 73% entre 2023 e 2025, e o número médio diário de ataques a APIs teve um aumento de 113% em relação ao ano anterior.
Essas estatísticas são vistas pela Akamai como um sinal claro de que segurança de aplicativos e APIs não podem mais ser tratadas como problemas isolados. Quando uma empresa trata a segurança web separadamente da segurança de APIs, surgem lacunas que os atacantes podem explorar, aproveitando-se da lógica de negócios, abusando de fluxos legítimos e comprometendo a disponibilidade dos serviços.
Um aspecto curioso do relatório é sua ênfase na mudança de ataques tradicionais para ameaças baseadas no comportamento. As vulnerabilidades técnicas não são mais o único alvo; os atacantes agora automatizam requisições e pressionam a infraestrutura, transformando a própria lógica de negócios em um vetor de ataque. Além disso, o relatório menciona a tendência do “vibe coding”, onde o uso intenso de IA na geração de código acrescenta vulnerabilidades e configurações inadequadas, muitas vezes levadas a produção sem testes rigorosos.
A evolução do mercado de DDoS também contribui para essa situação, com a Akamai apontando que o aumento significativo nos ataques de camada 7 se deve ao fácil acesso a botnets alugadas e scripts assistidos por IA, facilitando ataques contra aplicações web e APIs.
A segurança das APIs está ainda mais comprometida pela ascensão da “IA agéntica”, que amplia a superfície de ataque ao permitir que sistemas ajam de forma autônoma. A Akamai cita o novo marco OWASP Top 10 for Agentic Applications 2026, que destaca riscos específicos associados a esses agentes, incluindo “goal hijacking” e “memory poisoning”.
Diante desse cenário, a proteção das APIs não se resume mais a colocar um firewall de aplicações web (WAF) na frente. É necessário revisar autenticações, limites de uso e controlar como os agentes podem interagir com ferramentas e dados sensíveis.
Por fim, o relatório da Akamai traz uma conclusão inquietante: muitas empresas ainda veem a segurança da IA como um problema novo e separado, enquanto o maior risco está enraizado em componentes mais tradicionais como APIs e aplicativos web. Portanto, priorizar a regulamentação de segurança fundamental como inventário, visibilidade e proteção contra DDoS é crucial antes de considerar soluções específicas para IA. Essa redobrada no foco se dá no entendimento de que as APIs são a base técnica da transformação digital através da IA, mas também o ponto em que essa transformação pode fracassar.
