O Problema do Controle de IA

A Escalada da Verificação: Por Que a Janela para Infraestrutura de Segurança de IA Está Fechando

TV
Thiago Victorino
10 min de leitura
A Escalada da Verificação: Por Que a Janela para Infraestrutura de Segurança de IA Está Fechando

Desde que publicamos Quando a IA Escreve o Software, Quem Define o que É Correto? e Você Não Está Matando o Code Review. Está Renomeando Governança., três sinais independentes convergiram. Cada um, isolado, seria preocupante. Juntos, formam um padrão que exige ação.

O primeiro sinal é quantitativo. O segundo é técnico. O terceiro é político. E os três apontam na mesma direção: verificação de código de IA precisa se tornar infraestrutura, não cerimônia.

Sinal 1: Os Números Pioraram

O relatório da Faros.ai, cobrindo mais de 10 mil desenvolvedores em 1.255 equipes, trouxe dados que merecem leitura sem filtro de otimismo.

PRs mesclados aumentaram 98%. Tarefas concluídas subiram 21%. São os números que aparecem nos slides de produtividade. Os outros números, os que não aparecem, contam uma história diferente.

Tempo de revisão aumentou 91%. Bugs por desenvolvedor subiram 9%. Tamanho médio do PR cresceu 154%. E o dado principal do relatório: nenhuma correlação significativa entre adoção de IA e melhoria em nível organizacional.

Leia de novo. Mais código. Mais defeitos. Mais tempo para revisar. Sem evidência de ganho organizacional mensurável.

Google já reporta que mais de 25% do código novo é gerado por IA. Microsoft está acima de 30%. Essas empresas têm infraestrutura de verificação que a maioria das organizações não pode replicar. O que acontece quando o mesmo volume de código de IA chega a equipes com revisão manual e dois QAs?

A CISQ estima que software de baixa qualidade custa US$ 2,41 trilhões por ano nos Estados Unidos. Esse número vai subir. Não porque a IA escreve código ruim, mas porque o volume de código superou a capacidade de verificação. A distância entre produção e supervisão está crescendo.

Sinal 2: A Prova Formal Chegou Mais Cedo

Leonardo de Moura, criador do Lean, vem argumentando que verificação formal precisa substituir revisão humana para código gerado por IA. Como analisamos no artigo anterior, o argumento tinha mérito técnico e viés comercial. Lean é a ferramenta dele.

Mas algo aconteceu entre fevereiro e março de 2026 que mudou a equação.

A biblioteca zlib foi verificada formalmente por IA, usando Claude. A zlib é infraestrutura. Compressão de dados usada por milhões de sistemas. E a verificação formal dela, segundo o próprio De Moura, “não era esperada ser possível ainda.”

Isso importa por dois motivos. Primeiro, porque demonstra que IA consegue gerar provas formais para código real de produção, não apenas para exercícios acadêmicos. Segundo, porque antecipa o cronograma. Se zlib já pode ser verificada, o argumento de que “verificação formal é para o futuro” perdeu validade.

O Lean Mathlib ultrapassou 200 mil teoremas formalizados. É o maior corpus de matemática verificada por máquina que existe. A infraestrutura para provas formais em escala está se consolidando mais rápido do que a maioria dos executivos de tecnologia percebe.

A implicação prática: o investimento em especificação formal (definir com precisão o que o software deve fazer) está se tornando economicamente viável. Para bibliotecas core, protocolos de segurança e infraestrutura crítica, a pergunta deixou de ser “vale a pena?” e passou a ser “quando começar?”.

Sinal 3: O Capital Está Impaciente

Em fevereiro de 2026, a Anthropic publicou a versão 3 de sua Responsible Scaling Policy. A mudança mais significativa: os compromissos de pausa ficaram mais fracos. Na versão anterior, resultados de avaliação de segurança podiam interromper o treinamento de modelos. Na versão 3, a linguagem é mais flexível. Há mais espaço para interpretação.

Timing: Anthropic mira um IPO no segundo semestre de 2026. OpenAI, no quarto trimestre do mesmo ano. Quando uma empresa enfraquece seus compromissos de segurança meses antes de abrir capital, a leitura não é ambígua. Investidores querem crescimento. Compromissos rígidos de pausa são obstáculos a esse crescimento.

573 funcionários do Google e 93 da OpenAI assinaram a carta “We Will Not Be Divided,” pedindo transparência sobre riscos de IA. Cientistas dentro das empresas que constroem esses modelos estão preocupados o suficiente para arriscar suas carreiras.

Para quem lidera tecnologia em organizações que consomem esses modelos (e não os constroem), a implicação é direta. Os provedores de IA estão sob pressão para priorizar velocidade sobre cautela. A responsabilidade pela verificação e governança está sendo transferida, na prática, para os consumidores da tecnologia.

Se você espera que a Anthropic, o Google ou a OpenAI resolvam o problema de verificação por você, está delegando para quem tem incentivos conflitantes.

A Convergência

Os três sinais apontam para o mesmo lugar.

O volume de código de IA explodiu, mas a capacidade de verificação não acompanhou (Sinal 1). A tecnologia para verificação formal avançou mais rápido que o esperado (Sinal 2). E os provedores de IA estão relaxando seus próprios controles de segurança sob pressão do mercado de capitais (Sinal 3).

Isso configura uma janela que está fechando. Hoje, organizações podem construir infraestrutura de verificação enquanto o volume de código de IA ainda é gerenciável. Em 12 a 18 meses, com IPOs concluídos, modelos mais poderosos liberados sob políticas mais permissivas, e equipes de desenvolvimento produzindo 3x mais código, a mesma infraestrutura vai custar muito mais para implementar.

O Que Fazer Agora

Não existe solução única. Mas existem princípios que se sustentam independente de qual framework você escolhe.

Verificação proporcional ao risco. Nem todo código merece o mesmo nível de escrutínio. Código de IA que toca dados sensíveis, transações financeiras ou infraestrutura de segurança precisa de verificação rigorosa. Código que gera relatórios internos pode ter controles mais leves. A ausência de uma política de classificação é, em si, um risco.

Especificação antes da automação. A lição do artigo sobre O Problema da Especificação É o Problema da Governança continua válida, agora com urgência adicional. Se sua organização não consegue articular o que o software deve fazer antes de pedir para a IA escrevê-lo, nenhuma ferramenta de verificação vai compensar.

Independência do verificador. Como argumentamos em Você Não Está Matando o Code Review, transferir verificação inteiramente para agentes de IA é transferir governança para os governados. Camadas automatizadas são necessárias. Pontos de decisão humana nos momentos de risco alto são insubstituíveis.

Métricas de saída, não de atividade. O relatório da Faros.ai mostra o perigo de medir PRs mesclados sem medir defeitos, retrabalho e custo de manutenção. Se seu dashboard de produtividade mostra apenas volume, você está medindo a coisa errada.

A Janela

Existe um período, entre a explosão de capacidade e a consolidação de consequências, em que construir infraestrutura é investimento. Depois desse período, é remediação.

Organizações que tratam verificação como cerimônia (um passo no processo, um checkbox, uma reunião) vão descobrir que cerimônias não escalam. Organizações que tratam verificação como infraestrutura (sistemas, políticas, classificação de risco, pontos de decisão definidos) vão ter vantagem quando o volume se tornar incontrolável para métodos manuais.

O relógio dos IPOs está correndo. Os compromissos de segurança estão enfraquecendo. O volume de código está acelerando. E a tecnologia de verificação formal, pela primeira vez, está madura o suficiente para uso prático.

A janela para agir com custo razoável está aberta. Não vai ficar assim por muito tempo.

Fontes

  • Faros.ai. “AI Software Engineering Productivity Paradox Report.” 2025.
  • De Moura, Leonardo. “When AI Writes the World’s Software, Who Verifies It?” Fevereiro 2026.
  • Anthropic. “Responsible Scaling Policy v3.” Fevereiro 2026.
  • CISQ. “The Cost of Poor Software Quality in the US.” 2022.
  • Lean Community. “Mathlib: 200K+ Formalized Theorems.” 2026.
  • “We Will Not Be Divided.” Carta aberta de funcionários Google e OpenAI. 2026.

Victorino Group ajuda organizações a construir infraestrutura de verificação antes que o custo de remediação ultrapasse o de prevenção: contato@victorino.com.br | www.victorino.com.br

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa