A resposta é sim. O maior risco não está no código de desenvolvimento, mas nos scripts criados fora do radar da TI.
Python é hoje a linguagem de programação mais popular do mundo, com 19,98% de participação no TIOBE Index (2026), o maior índice já registrado por qualquer linguagem. Mas essa popularidade chegou a um ponto crítico para as empresas: Python saiu dos times de desenvolvimento e foi parar nas mãos de analistas, cientistas de dados, profissionais de finanças e operações que criam automações por conta própria, sem conhecimento de segurança e sem supervisão do TI.
O resultado? Scripts rodando em endpoints corporativos acessando dados sensíveis, chamando APIs externas e instalando bibliotecas sem nenhuma revisão, criados com ajuda de IAs como ChatGPT ou Copilot.
Este artigo explica os riscos reais, com dados de 2026, e o que sua empresa pode fazer para governar o uso de Python sem bloquear a produtividade.
Por que Python virou um problema de segurança corporativa?
Python não é intrinsecamente inseguro. O problema é onde e por quem ele está sendo executado.
Até pouco tempo atrás, Python era território dos times de desenvolvimento e de dados. Mas com a popularização de ferramentas de IA generativa, qualquer colaborador consegue gerar um script funcional em minutos, sem precisar saber programar.
Segundo análises do setor publicadas pela BetaNews, até o final de 2026, os “desenvolvedores cidadãos” (citizen developers) vão superar os desenvolvedores profissionais na proporção de 4 para 1. E 23% das automações de TI nas empresas já são criadas por usuários fora do time de TI.
Ainda segundo a BetaNews, 66% das automações e workflows criados por usuários de negócio em 2026 permanecem invisíveis para os times de segurança. Em grandes empresas, isso pode representar milhares de scripts rodando paralelamente sem nenhuma auditoria.
Isso cria o que está sendo chamado de Shadow Python: um ecossistema de scripts e automações rodando fora da visibilidade dos times de segurança e governança.
Quais são os riscos concretos de Python fora do controle?
1. Vazamento de dados sensíveis
Scripts Python criados por usuários de negócio frequentemente acessam arquivos com dados de clientes, planilhas financeiras ou sistemas internos e podem enviar esses dados para serviços externos sem qualquer controle.
Um script que simplesmente organiza os dados pode estar exfiltrando informações para uma API pública de IA sem que ninguém saiba. Hoje, 60% dos funcionários estão usando ferramentas de IA não aprovadas com frequência ainda maior do que há um ano. Entre esses usuários, 68% recorreram a contas pessoais para acessar ferramentas gratuitas e, quando isso é feito via script Python automatizado, o vazamento pode ser contínuo e silencioso.
2. Código gerado por IA com vulnerabilidades embutidas
Com a popularização do vibe coding (usar IA para gerar código), o risco aumentou. Estudos de 2026 mostram que:
- 45% do código gerado por IA contém falhas de segurança conhecidas (Veracode, análise de 4 milhões de scans)
- 92% dos codebases empresariais com uso intensivo de IA apresentam vulnerabilidades críticas ou altas (Sherlock Forensics, auditoria de 50 aplicações reais, jan–abr 2026)
- Código gerado por IA é responsável por 1 em cada 3 incidentes de segurança corporativa
- Apenas 12% das organizações aplicam testes de segurança consistentes em código gerado por IA
Isso significa que um analista que pede ao ChatGPT um script para processar dados de RH tem, estatisticamente, quase metade de chance de receber código com uma falha de segurança embutida.
3. Falta de trilha de auditoria para compliance
Scripts rodando localmente em endpoints não aparecem no Git, não passam por revisão de código e não têm logs centralizados. Em uma auditoria de LGPD, SOC 2 ou ISO 27001, a pergunta “quem acessou esses dados e quando?” pode não ter resposta, já que o acesso foi feito por meio de um script Python invisível.
4. Scripts que persistem após a saída de colaboradores
Um script criado por um colaborador que saiu da empresa pode continuar rodando em sua máquina ou ser repassado informalmente para outros. Sem visibilidade sobre o que está sendo executado, é impossível revogar acessos completamente no offboarding.
O problema não é o Python, é a invisibilidade
Bloquear Python não é a resposta. Python gerou produtividade real para as empresas. Analistas que automatizam tarefas repetitivas estão ajudando o negócio. O problema é que essa produtividade está acontecendo no escuro.
A governança real começa quando o TI consegue ver:
- Quais scripts estão rodando e em quais máquinas
- Quais bibliotecas estão sendo importadas
- Quais dados estão sendo acessados
- Se há chamadas para APIs ou serviços externos
Sem essa visibilidade, cada script Python rodando fora do controle é um risco potencial que a empresa simplesmente não consegue avaliar.
Como a BotCity Sentinel resolve isso
O BotCity Sentinel é uma plataforma de monitoramento e governança criada especificamente para esse cenário: scripts Python e automações criadas por IA rodando fora do controle do TI.
Com o Sentinel, seu time de segurança consegue:
- Mapear todos os scripts Python em execução nos endpoints corporativos
- Inspecionar quais bibliotecas são importadas e identificar dependências vulneráveis
- Monitorar chamadas HTTP e acesso a dados sensíveis em tempo real
- Auditar com trilha de execução completa para fins de compliance
- Agir sem bloquear: definir políticas que permitem o uso seguro, não a proibição total
A governança de Python não precisa ser um confronto com as áreas de negócio. Com visibilidade, você pode dizer “sim” com controle.
Recupere o controle sobre o Python na sua organização.
Saiba exatamente o que está rodando nos seus endpoints. Agende um Shadow Python Risk Assessment.
