Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

Este estudo analisa discussões em fóruns do Reddit sobre o uso de Grandes Modelos de Linguagem (LLMs) em operações de segurança, revelando que, embora os profissionais valorizem a eficiência para tarefas de baixo risco, preocupações com confiabilidade, verificação e riscos de segurança limitam significativamente sua autonomia e adoção em larga escala.

O essencial

Imagine que o centro de operações de segurança de uma empresa (o SOC) é como uma torre de controle de um aeroporto muito movimentado. Lá, centenas de "controladores de tráfego" (analistas de segurança) ficam olhando telas cheias de alertas o dia todo, tentando descobrir quais são aviões em perigo real e quais são apenas pássaros ou reflexos do sol (falsos alarmes). Eles estão exaustos, sobrecarregados e muitas vezes prestes a entrar em colapso.

Recentemente, chegou uma nova tecnologia: Inteligência Artificial Generativa (os "LLMs"). Os vendedores de tecnologia prometem que essas IAs são como robôs assistentes mágicos que podem fazer todo o trabalho pesado, triar os aviões e até pilotar as aeronaves sozinhos.

Este estudo, feito por pesquisadores da Universidade do Estado do Arizona e da TU Berlim, foi até o "Reddit" (um grande fórum de discussão online, como uma praça pública digital) para conversar com esses controladores de tráfego e entender o que eles realmente pensam sobre esses robôs. Eles analisaram quase 900 discussões reais.

Aqui está o resumo da história, usando analogias simples:

1. O Martelo e o Quebra-Cabeça (O que eles estão usando?)

Os pesquisadores descobriram que os analistas não estão usando tanto os "robôs de segurança" caros e especializados que as empresas vendem. Em vez disso, eles estão usando ferramentas de uso geral (como o ChatGPT ou o Copilot da Microsoft) como se fossem canivetes suíços.

• A Analogia: É como se, em vez de comprar um martelo de carpinteiro específico para cada tipo de prego, os analistas estivessem usando um martelo universal que eles já tinham em casa para consertar tudo. Eles usam essas ferramentas gerais para escrever códigos, criar relatórios e organizar ideias, mas ainda têm medo de usá-las para as tarefas mais críticas e perigosas.

2. O Assistente de Estágio vs. O Chefe (Como eles usam?)

Os analistas veem a IA como um estagiário muito inteligente, mas que precisa de supervisão constante.

• O que eles fazem: Eles usam a IA para tarefas de baixo risco, como "escrever o rascunho de um relatório" ou "explicar o que significa aquele código estranho". É como pedir ao estagiário para organizar a mesa de trabalho.
• O que eles NÃO fazem: Eles não deixam a IA tomar decisões sozinha, como "fechar o portão do aeroporto" ou "desligar um servidor". A IA pode sugerir, mas o humano tem que dar o "ok".
• O Motivo: Se o estagiário errar e fechar o portão errado, o aeroporto para. Na segurança, um erro da IA pode deixar a empresa vulnerável a hackers.

3. A Confiança e o "Alucinação" (Os Problemas)

Aqui está o grande problema: a IA às vezes alucina.

• A Analogia: Imagine que você pede ao seu assistente para encontrar um documento perdido. Ele traz um documento, mas o conteúdo é inventado por ele, com uma confiança total. No mundo da segurança, isso é perigoso. Se a IA inventar uma prova de que um hacker está lá, você pode gastar horas investigando um fantasma. Se ela inventar que não há hacker quando há, a empresa pode ser invadida.
• O Resultado: Os analistas dizem: "A IA é rápida e útil, mas eu tenho que verificar tudo o que ela faz". Isso cria um trabalho extra: eles ganham tempo na criação, mas perdem tempo na verificação.

4. O Custo e a Promessa Vazia

Muitos analistas estão céticos em relação às grandes promessas das empresas de tecnologia.

• A Analogia: É como comprar um carro autônomo de luxo que promete dirigir sozinho, mas que custa o preço de uma casa e, às vezes, decide parar no meio da estrada porque não entendeu uma placa de trânsito.
• A Realidade: Os analistas dizem que muitas vezes é mais barato e seguro contratar mais pessoas ou usar ferramentas antigas e confiáveis do que pagar caro por uma IA que ainda não é perfeita e que pode vazar segredos da empresa (já que você precisa "ensinar" a IA com dados da sua empresa).

5. O Dilema do Futuro (O Perigo para os Trabalhadores)

Há uma preocupação triste no final da história.

• A Analogia: Imagine que a IA começa a fazer o trabalho dos aprendizes (os estagiários). O problema é que, para se tornar um "Mestre" (um analista sênior experiente), você precisa ter passado por todas as tarefas difíceis e chatas de aprendendo na prática.
• O Perigo: Se a IA fizer todo o trabalho de nível básico, como os novos analistas vão aprender a ser bons? Eles podem nunca ganhar a experiência necessária para supervisionar a IA quando ela errar. É um ciclo vicioso: precisamos de humanos experientes para vigiar a IA, mas a IA está impedindo que os humanos ganhem essa experiência.

Conclusão: O Martelo Constrói, Mas Também Quebra

O título do estudo diz: "Como um Martelo, Pode Construir, Pode Quebrar".

• Construir: A IA ajuda a escrever relatórios, organizar dados e acelerar tarefas chatas, tornando o trabalho do analista mais leve.
• Quebrar: Se confiarmos demais nela sem supervisão, ela pode criar falsos alarmes, vazar dados ou fazer a empresa perder o controle.

A lição final: A IA é uma ferramenta poderosa, mas no mundo da segurança cibernética, ela ainda é apenas um assistente, não o chefe. Os humanos precisam manter o controle, verificar o trabalho e garantir que o "robô" não leve a empresa para o abismo.

Resumo técnico

Título: Como um Martelo, Pode Construir e Quebrar: Usos, Percepções e Adoção de Modelos de Linguagem de Grande Escala (LLMs) em Operações de Cibersegurança no Reddit

1. Problema e Contexto

Os Centros de Operações de Segurança (SOCs) enfrentam uma crise de fadiga de alertas, estresse e burnout devido ao volume massivo de ameaças e falsos positivos. Embora ferramentas tradicionais de automação (SIEM, SOAR) e aprendizado de máquina (ML) existam, a automação completa ainda é limitada.
Recentemente, Modelos de Linguagem de Grande Escala (LLMs) emergiram como ferramentas promissoras para aumentar os fluxos de trabalho dos SOCs, com fornecedores lançando soluções autônomas (ex: Microsoft Copilot for Security, CrowdStrike Charlotte AI). No entanto, há uma lacuna empírica significativa sobre como esses ferramentas são realmente usadas, percebidas e adotadas por profissionais de segurança no mundo real, além dos relatos de marketing das empresas.

2. Metodologia

Os autores realizaram uma análise mista (qualitativa e quantitativa) de discussões em fóruns online de cibersegurança para capturar conversas naturais e orientadas por praticantes.

• Fonte de Dados: 892 posts relevantes extraídos de três subreddits focados em cibersegurança (r/cybersecurity, r/Information_Security, r/ciso) entre dezembro de 2022 e setembro de 2025.
• Coleta e Filtragem:
  • Inicialmente, foram coletados 1.703 posts de 9 subreddits.
  • Utilizou-se uma classificação assistida por IA (GPT-4.1-mini) para filtrar threads relevantes, seguida de revisão manual para garantir confiabilidade (Kappa de inter-rater = 0,96).
• Análise:
  • Codificação Qualitativa: Desenvolvimento de um códigobook híbrido (indutivo e dedutivo) para categorizar usos, percepções e fatores de adoção. A confiabilidade foi alcançada após oito rodadas de codificação dupla (Alfa de Krippendorff ≥ 0,8).
  • Análise Quantitativa: Testes estatísticos (qui-quadrado, testes de proporção de duas amostras) para comparar a prevalência de ferramentas, casos de uso e sentimentos (positivo/negativo) entre diferentes fatores.
• Ética: O estudo foi aprovado pelo Comitê de Ética (IRB), utilizando apenas dados públicos, com anonimização rigorosa de usuários e organizações.

3. Principais Contribuições

O estudo oferece uma visão granular e baseada em dados sobre a adoção de LLMs em operações de segurança, diferenciando-se de trabalhos anteriores por:

1. Escala e Naturalidade: Analisar discussões orgânicas em vez de entrevistas controladas ou testes de laboratório.
2. Multidimensionalidade: Abranger desde ferramentas genéricas até específicas de segurança, e desde o uso tático até implicações estratégicas de longo prazo.
3. Identificação de Tensões: Revelar o conflito entre a promessa de autonomia dos fornecedores e a realidade da desconfiança dos praticantes.

4. Resultados Chave

A. Ferramentas e Casos de Uso (RQ1)

• Dominância de LLMs Genéricos: Ferramentas de propósito geral (ChatGPT, Microsoft Copilot, Claude) são mencionadas com muito mais frequência (60,5%) do que ferramentas específicas de segurança (43,9%), apesar de existirem mais de 30 plataformas comerciais específicas.
• Casos de Uso: As discussões concentram-se em:
  1. Triagem e Resposta a Incidentes (42,77%): O uso mais comum, mas geralmente como suporte à decisão ("buddy"), não como ação autônoma.
  2. Scripting e Consultas (27,08%): Geração de código (Python, PowerShell) e queries para SIEM/KQL.
  3. Relatórios e Documentação (25,85%): Resumo de investigações e tradução técnica para linguagem de negócios.
• Adoção Real vs. Discussão: Embora a discussão sobre resposta a incidentes seja alta, a adoção ativa tende a ocorrer em tarefas de menor risco e maior controle (scripting, relatórios), evitando a delegação total de tarefas críticas.

B. Percepções e Fatores Críticos (RQ2)

A análise estatística revelou uma correlação significativa entre o fator discutido e o sentimento (positivo ou negativo):

• Positivos: Capacidades e Eficiência. Os praticantes relatam ganhos reais na velocidade de análise (redução do tempo de triagem de 45 min para <2 min) e na contextualização de alertas.
• Negativos: Confiabilidade, Segurança/Privacidade, Autonomia e Custo.
  • Confiabilidade: Preocupações com "alucinações" (fatos inventados) e falta de determinismo são barreiras críticas. Em segurança, um erro pequeno pode criar grandes brechas.
  • Segurança: Risco de vazamento de dados confidenciais ao usar modelos públicos e a expansão da superfície de ataque (jailbreaking, injeção de prompts).
  • Autonomia: Os praticantes rejeitam a delegação total de tarefas. A visão predominante é usar o LLM como um "estagiário" que coleta informações, mas nunca toma ações críticas sem supervisão humana.
  • Custo: O custo de inferência em escala e a necessidade de infraestrutura local para privacidade são vistos como barreiras de ROI (Retorno sobre Investimento).

C. Trajetórias de Adoção (RQ3)

• Adoção Híbrida: 53,6% dos posts relatam uso ativo.
• Discrepância de Interesse: Analistas adotam LLMs genéricos para produtividade individual, enquanto gestores demonstram maior interesse em plataformas corporativas específicas de segurança, mas com ceticismo quanto às promessas de "automação total".
• Barreiras: Promessas infladas dos fornecedores, a suficiência de soluções tradicionais para tarefas determinísticas e restrições organizacionais de política de dados impedem a adoção em larga escala.

5. Significância e Implicações

O estudo conclui que a adoção de LLMs em SOCs é um processo sociotécnico complexo, não apenas uma atualização tecnológica.

1. O Teto de Confiabilidade: A autonomia dos LLMs é limitada pela confiabilidade. Até que a precisão e a capacidade de explicar incertezas melhorem, os LLMs permanecerão como ferramentas de suporte à decisão, exigindo verificação humana constante (o que pode anular os ganhos de eficiência).
2. Crise no Desenvolvimento da Força de Trabalho: Existe um risco circular. Os LLMs podem automatizar tarefas de nível júnior (L1), que são essenciais para o aprendizado e desenvolvimento de expertise dos analistas. Se os júnior não tiverem exposição prática a esses problemas, a próxima geração de especialistas não terá as habilidades necessárias para supervisionar os sistemas autônomos.
3. Recomendações:
   • Design de Sistemas: Desenvolver LLMs que comuniquem incerteza de forma acionável e específica para a tarefa, não apenas avisos genéricos.
   • Estratégia de Adoção: Focar em "co-aprendizado" (humano e IA aprendendo juntos) e manter o controle humano sobre tarefas de alto risco.
   • Governança: Estabelecer frameworks claros para avaliação de riscos de dados e custos antes da implementação de soluções autônomas.

Em resumo, o artigo alerta que, embora os LLMs tenham o potencial de "construir" eficiências operacionais, eles também podem "quebrar" a confiança e a segurança se implementados sem as devidas salvaguardas, supervisão humana e compreensão das limitações atuais da tecnologia.