IA & Carreira
As 7 coisas que eu audito primeiro quando uma empresa me chama pra ver a IA deles
Toda empresa acha que o problema de IA é técnico. Quase nunca é. Quando me chamam pra auditar, eu olho 7 pontos antes de tocar em uma linha de código. 6 deles não são código. Este é o checklist que uso, aberto pra você aplicar sozinho.
Toda empresa que me chama pra ver a IA deles começa igual: "o problema é técnico, a gente precisa de alguém que entenda de modelo".
Quase nunca é técnico. Em 5 anos fazendo isso, o problema real tá em processo, risco e método. Não em código.
Quando eu entro, olho 7 pontos antes de tocar em uma linha. Seis deles não são código. Este é o checklist que uso, aberto pra você rodar sozinho antes de gastar dinheiro com qualquer consultor (inclusive eu).
1. Quem tem acesso a quê
Primeira pergunta, sempre: quem na empresa pode usar quais ferramentas de IA, com qual conta, com qual permissão?
O que eu costumo achar:
- Conta de ChatGPT compartilhada entre 10 pessoas (ninguém sabe quem fez o quê).
- Chave de API de produção na mão de estagiário.
- Ninguém com visão de quem acessa o quê.
Pergunta pra você: se um funcionário sair amanhã, você sabe exatamente quais acessos de IA revogar? Se a resposta é "não sei", você tem risco.
2. Onde estão os segredos
Chave de API, senha, token. Onde estão?
O que eu costumo achar:
- Chave commitada no GitHub (às vezes em repo público).
- Chave em arquivo .env que foi pro Git sem querer.
- Chave hardcoded no código do front-end (visível pra qualquer um que abra o navegador).
Esse é o achado mais comum e o mais perigoso. Já escrevi sobre isso em nunca vaze uma senha e o risco não é o código que você escreve.
Pergunta pra você: suas chaves de API estão em variável de ambiente no servidor, nunca no código? Tem certeza?
3. Qual dado vai pro prompt
Quando alguém da empresa usa IA, o que ela digita?
O que eu costumo achar:
- Dado de cliente (nome, CPF, e-mail) colado em prompt do ChatGPT público.
- Contrato inteiro jogado numa IA sem saber onde aquilo é armazenado.
- Código proprietário passando por ferramenta que treina em cima do input.
Isso é bomba de LGPD. Dado pessoal em prompt de ferramenta pública pode ser violação. E ninguém percebe até virar processo.
Pergunta pra você: existe regra clara na empresa sobre o que pode e o que não pode ir pra um prompt de IA? Alguém treinou o time nisso?
4. O que os agentes podem fazer
Se a empresa usa agente de IA (automação que age sozinha), qual o poder dele?
O que eu costumo achar:
- Agente com acesso de escrita ao banco de produção.
- Agente que manda e-mail em nome da empresa sem revisão.
- Agente que executa código sem sandbox.
Agente é poderoso e perigoso na mesma medida. Já falei disso em você soltou um agente de IA sem revisar o que ele pode.
Pergunta pra você: cada agente da sua empresa tem o mínimo de permissão necessário, ou você deu acesso amplo "pra facilitar"?
5. Quem revisa o que a IA gera
A IA gerou código, texto, decisão. Quem olha antes de ir pra produção ou pro cliente?
O que eu costumo achar:
- Código da IA indo direto pra produção sem review.
- Texto gerado por IA publicado sem alguém ler.
- Decisão baseada em análise de IA sem ninguém questionar.
Isso é o vibecoding às cegas em escala corporativa. Sem revisão, você multiplica erro na velocidade da máquina.
Pergunta pra você: existe uma etapa humana obrigatória de revisão entre "a IA gerou" e "foi pro mundo"? Ou a IA tem passe livre?
6. Custo real vs percebido
Quanto a empresa acha que gasta com IA, e quanto gasta de verdade?
O que eu costumo achar:
- Empresa pagando 3x mais do que precisa por usar modelo caro pra tarefa simples.
- Assinatura de ferramenta que ninguém usa mais.
- Custo de API disparando sem ninguém acompanhar dashboard.
Método corta custo sem cortar qualidade. Falei sobre isso em custo real de API de IA.
Pergunta pra você: você sabe, com número, quanto sua empresa gastou com IA no último mês? Se não sabe, provavelmente tá gastando demais.
7. O que acontece se o fornecedor mudar
A empresa depende de qual ferramenta? E se ela mudar preço, política ou sumir?
O que eu costumo achar:
- Produto inteiro amarrado numa API que pode mudar amanhã.
- Zero plano B se a ferramenta principal cair.
- Código acoplado a um fornecedor específico, impossível de trocar rápido.
Vimos Sora sumir standalone e Alibaba banir o Claude Code. Muda o tempo todo.
Pergunta pra você: se sua ferramenta de IA principal mudasse as regras amanhã, quanto tempo você levaria pra migrar? Se a resposta é "meses" ou "não sei", você tá refém.
O padrão que aparece sempre
Reparou? Só 1 dos 7 pontos é sobre código de verdade (a revisão do que a IA gera toca nisso). Os outros 6 são acesso, segredo, dado, permissão, custo e dependência.
Por isso eu digo: empresa quase nunca tem problema técnico de IA. Tem problema de método.
O CTO acha que precisa de alguém que entenda de modelo. Precisa de alguém que organize o processo. São coisas diferentes.
Como usar esse checklist
Roda os 7 pontos na sua empresa hoje. Marca cada um:
- Verde: você tem controle e sabe a resposta.
- Amarelo: você tem alguma coisa mas não tem certeza.
- Vermelho: você respondeu "não sei" ou "ninguém".
Conta os vermelhos:
- 0-1 vermelho: você tá bem. Método já existe.
- 2-3 vermelhos: risco ativo. Resolve antes de escalar.
- 4+ vermelhos: para de adicionar IA nova e organiza o que já tem. Você tá sentado num barril.
Vale o ponto
"Isso não é só o consultor querendo vender medo?"
Vale o ponto. Por isso o checklist tá aberto de graça. Roda sozinho. Se der tudo verde, ótimo, você não precisa de mim.
Consultor que vende medo esconde o método. Consultor que entrega valor abre o método e deixa você decidir se precisa de ajuda pra executar. A diferença é essa.
Conclusão
Quando me chamam pra auditar a IA de uma empresa, eu não começo pelo código. Começo por quem acessa o quê, onde estão os segredos, qual dado vaza, o que os agentes podem fazer, quem revisa, quanto custa e o que quebra se o fornecedor mudar.
Seis dos sete não são código. São método. E método é o que separa empresa que usa IA com segurança de empresa que tá esperando o próximo incidente.
Rodou o checklist e achou vermelho demais? Me chama no LinkedIn com o contexto. Se achou tudo verde, parabéns, continua fazendo o que faz.
A decisão é sua.
Perguntas frequentes
Perguntas rápidas
+O que um consultor de IA audita primeiro numa empresa?
Não é o código. É o processo e o risco: quem tem acesso a quê, onde estão as chaves e segredos, qual dado sensível está passando por prompt público, o que os agentes autônomos podem executar, e quem revisa o que a IA gera antes de ir pra produção. Código vem depois.
+Como saber se minha empresa tem risco de IA sem contratar consultor?
Rode este checklist de 7 pontos você mesmo. Se em 3 ou mais você respondeu 'não sei' ou 'ninguém', você tem risco ativo. Os mais comuns e perigosos: chave de API no código, dado de cliente em prompt do ChatGPT, e agente com acesso ao banco de produção sem revisão.
+Auditoria de IA é só sobre segurança?
Não. Segurança é parte. Também cobre custo (empresa paga 3x mais do que precisa por falta de método), dependência de fornecedor (o que quebra se a ferramenta mudar), e método (quem revisa, quem decide). É análise técnica e de negócio junto.
Continue lendo
OpenAI lançou o GPT-Live: a IA que ouve e fala ao mesmo tempo. O que muda de verdade
A OpenAI liberou o GPT-Live, modelo de voz que escuta e responde ao mesmo tempo, tipo conversa de verdade (você interrompe, ela para). Parece mágica na demo. Pra quem constrói produto, a pergunta certa não é 'que legal', é 'quando isso melhora o meu produto de verdade'.
IA & CarreiraQuando contratar um consultor de IA em 2026 (e quando não)
Toda semana vejo empresa contratar consultor de IA pra resolver dor que não é técnica, e outra que precisa desesperadamente de consultor e ainda tenta fazer sozinha. Este post é o filtro: 5 sinais claros de que faz sentido contratar e 5 sinais de que ainda não é a hora.
IA & CarreiraA Alibaba baniu o Claude Code. A história real é sobre confiança em ferramenta
Pesquisadores acharam código escondido no Claude Code que detectava se o usuário estava na China e reportava isso de um jeito quase invisível. A Alibaba baniu tudo. A Anthropic diz que era anti-abuso. Os dois têm razão em parte. E a lição vale pra você que vibecoda.