Ações de cibersegurança foram "punidas por engano" pela IA? Morgan Stanley vê uma oportunidade de US$ 220 bilhões

A narrativa do impacto da IA no setor de segurança cibernética está sendo reavaliada.

Nas últimas semanas, a Anthropic lançou o Claude Code Security e anunciou que o modelo Mythos AI alcançou a pontuação máxima em seu próprio teste de referência de segurança cibernética, provocando receios de que a IA iria revolucionar o setor de segurança cibernética, com algumas ações relacionadas acumulando queda de cerca de 25%.

No entanto, o Morgan Stanley afirmou em seu relatório mais recente que essa venda reflete um erro estrutural de avaliação do mercado em relação às ameaças trazidas pela IA, e não um verdadeiro agravamento dos fundamentos. Os investidores subestimaram a expansão da demanda por defesa proporcionada pela IA, mas superestimaram a sua ameaça de disrupção para os fornecedores existentes—a oportunidade incremental de segurança originada pela IA é de até 220 bilhões de dólares, múltiplas vezes maior do que o risco de disrupção de aproximadamente 10% do mercado, sendo que o tamanho líquido do mercado de softwares de segurança cibernética deverá, na verdade, superar o atual em cerca de 10%.

O que motivou essa rodada de vendas foram diversos anúncios de empresas nativas de IA. De acordo com o MarketWatch, o lançamento do Claude Code Security pela Anthropic e a obtenção de pontuação máxima pelo modelo Mythos AI nos testes próprios de referência de segurança cibernética fizeram os investidores temer que a IA desvalorizaria significativamente as soluções tradicionais de segurança cibernética, levando à ampla redução de posições.

O Morgan Stanley afirmou que algumas empresas nativas de IA já começaram a estabelecer parcerias prévias ao lançamento de modelos com fornecedores selecionados de segurança cibernética, como Palo Alto Networks e CrowdStrike, com o objetivo de construir coletivamente “barreiras” de segurança antes da implementação oficial dos modelos. Essa ação por si só demonstra que as empresas de IA veem a segurança cibernética como pré-requisito para a escalabilidade dos modelos, e não como objeto de substituição.

Sobre as divergências internas do setor, o Morgan Stanley aponta que investidores de longo prazo estão geralmente otimistas, acreditando que a IA, ao reduzir o custo de ataques e aumentar sua frequência e complexidade, fortalecerá continuamente o orçamento de segurança pelo lado da demanda; já os fundos hedge são mais pessimistas e duvidam da capacidade de fornecedores tradicionais resistirem ao longo prazo à concorrência nativa de IA.

O Morgan Stanley acredita que a controvérsia atual é altamente semelhante à narrativa histórica do início da migração para a nuvem de que “fornecedores de nuvem substituirão o setor de segurança”—preocupações que, no final, foram comprovadamente superestimadas.

Segundo as estimativas do Morgan Stanley, o tamanho atual do mercado de segurança cibernética é de cerca de 300 bilhões de dólares (incluindo serviços), representando de 6% a 7% do orçamento total de TI.

O risco de disrupção está principalmente concentrado na camada de “segurança preventiva”—gestão de vulnerabilidades, testes de segurança de aplicações, gestão de configuração de nuvem e outras tarefas que podem ser executadas de forma assíncrona, com alta tolerância a latência, sendo áreas onde modelos de IA têm relativa facilidade de atuar. Essa parte representa cerca de 10% do mercado total.

No entanto, a demanda incremental de segurança trazida pela IA está se formando rapidamente: com a implementação em larga escala de modelos de IA, agentes inteligentes e pipelines de dados pelas empresas, proteger esses novos ativos vai gerar um orçamento incremental significativo. O Morgan Stanley estima que essa nova demanda é suficiente para compensar qualquer perda de mercado, e fará com que o tamanho líquido do mercado de softwares de segurança cibernética aumente cerca de 10% em relação ao atual.

Os dados do lado ofensivo reforçam ainda mais a lógica da demanda: atualmente, de 80% a 90% dos ataques já são gerados por IA, com o custo dos ataques chegando quase a zero. Isso não enfraquece a justificativa para os gastos em segurança; pelo contrário, reforça fundamentalmente a necessidade de capacidades de detecção em tempo real, resposta e segurança de identidade.

O Morgan Stanley divide o mercado de segurança cibernética em três níveis: segurança preventiva, segurança de pontos de controle/fronteiras e segurança em tempo de execução, enfatizando que o potencial de disrupção da IA está distribuído de forma altamente desigual entre esses três níveis.

A segurança em tempo de execução é especialmente difícil de ser revolucionada porque, após a entrada dos modelos de IA em ambientes de produção, ameaças como injeção de prompts, vazamento de dados e mau uso do modelo precisam ser capturados e tratados em tempo real, algo que não pode ser eliminado previamente durante o desenvolvimento e treinamento. Tanto a segurança nos pontos de controle quanto em tempo de execução requerem baixa latência e respostas determinísticas, o que conflita fundamentalmente com os modelos de IA probabilísticos atuais. CrowdStrike, Palo Alto Networks, Okta e SailPoint estão usando isso como ponto de apoio para ampliar suas capacidades em segurança em endpoints, redes e identidade até a camada de IA, construindo “barreiras dinâmicas” de execução ao redor de sistemas de IA em tempo real.

A lógica de custo também é fundamental. O Morgan Stanley destaca que usar grandes modelos de linguagem para processar tarefas de segurança de alta frequência, como filtragem de e-mail ou autenticação de identidade, pode ser diversas ordens de magnitude mais caro do que as soluções atuais.

Atualmente, plataformas de segurança de e-mails e identidade geralmente são precificadas em poucos dólares por usuário por mês e fazem frente a dezenas de milhares, senão mais, eventos, resultando em um custo marginal por evento inferior a um centavo; enquanto rodar modelos de IA baseados em tokens nesse mesmo volume resultaria em um aumento significativo dos custos computacionais. O Morgan Stanley acredita que a curto prazo, a IA provavelmente atuará mais como função de “reforço” em cenários sensíveis a custo e de baixa latência, ao invés de substituir completamente as arquiteturas atuais.

A popularização da IA está impulsionando uma elevação estratégica contínua do papel da segurança de identidade. Com o rápido crescimento do número de APIs, identidades de máquinas e agentes autônomos—“Identidades Não-Humanas” (NHI)—os frameworks de gestão de identidades tradicionalmente centrados em usuários humanos não conseguem mais cobrir os novos riscos.

O Morgan Stanley ressalta que sistemas orientados por IA operam geralmente com altos privilégios, acessam dados sensíveis em ambientes distribuídos e aumentam consideravelmente as superfícies de ataque para abuso de credenciais, elevação de privilégios e rotas de acesso não intencionais.

A segurança de identidade está evoluindo de uma simples “autenticação” para uma camada de controle de execução em tempo real que incorpora validação contínua, controle de acesso granular e gerenciamento ao longo de todo o ciclo de vida. À medida que agentes de IA começam a executar consultas em bancos de dados, iniciar fluxos de trabalho e interagir com sistemas externos de maneira autônoma, a identidade torna-se o principal mecanismo para definir os limites de confiança e controle de políticas.

O analista da TD Cowen, Shaul Eyal, também destacou que cada agente inteligente em cada plataforma de IA necessita de credenciais de identidade, sendo Okta e SailPoint as únicas empresas puramente de segurança de identidade listadas na bolsa, conferindo a ambas um valor de escassez.

O Morgan Stanley acredita que, na era da IA, as empresas de segurança cibernética de maior destaque devem apresentar três atributos essenciais: um roteiro de segurança para agentes bem definido e capacidade ágil de lançamento de produtos de IA; uma estrutura de precificação de consumo flexível (como o Falcon Flex da CrowdStrike), reduzindo as barreiras para os clientes ao adotar novas capacidades; e uma proposta de valor geral baseada em execução em tempo real, vantagens de dados proprietários e eficiência de custo.

Em termos de diretrizes orçamentárias, o Morgan Stanley prevê que os fluxos financeiros irão migrar de soluções pontuais e fragmentadas para plataformas integradas; no longo prazo, a expansão contínua da superfície de ataque fará com que segurança cibernética se torne o campo defensivo prioritário de maior robustez dentro dos gastos de TI das empresas—segundo pesquisa CIO do banco, o software de segurança cibernética é o menos sujeito a cortes dentre todos os tipos de projetos de TI.