A reunião começava em silêncio, com aquele minuto em que ninguém sabe se liga a câmera ou só espera o organizador aparecer. De repente, entra um nome estranho na lista de participantes: “AI Notetaker” ou “Read Assistant”. Ninguém o convidou. Ninguém sabia de onde veio. Ainda assim, ali estava, gravando, transcrevendo e prometendo mandar um resumo depois. A reunião seguia – e a inteligência artificial também.

Esse tipo de situação tem se tornado comum em ambientes corporativos e acadêmicos, principalmente após a popularização de ferramentas de IA que se integram a plataformas como Zoom e Teams. Entre as mais conhecidas, estão Read AI, Otter e TacTiq, que oferece recursos automatizados de registro e análise de reuniões, mas tem levantado preocupações com sua atuação silenciosa – especialmente quando entra sem que todos os participantes estejam cientes ou tenham dado permissão explícita.

A questão central não está na funcionalidade em si, mas no modo como essas ferramentas estão sendo integradas aos sistemas corporativos, muitas vezes sem clareza sobre quem autorizou ou quem está no controle do que é gravado.

A Universidade de Washington (UW), nos Estados Unidos, baniu em março de 2024 o uso da transcritores em reuniões realizadas por meio do Zoom e do Teams, após relatos de transcrições automáticas realizadas por IAs sem conhecimento prévio de todos os participantes. Segundo comunicado da instituição, as ferramentas foram considerada "eticamente arriscada" por permitir que qualquer participante de uma chamada acione a gravação e compartilhe relatórios externos — mesmo que não seja o organizador do evento.

A universidade também registrou casos em que a Read AI tentava entrar em reuniões mesmo após a exclusão de contas associadas ou em chamadas com usuários externos, como contas Gmail, dificultando o bloqueio pela administração de TI.

O bloqueio ocorreu após avaliação do comitê de segurança da informação, que recomendou a desativação das integrações com base na falta de consentimento explícito dos presentes nas reuniões.

Paralelo com softwares invasivos do passado

O comportamento dessas IA assistentes em reuniões, embora não malicioso, evoca casos históricos de ferramentas consideradas invasivas. Um exemplo frequentemente citado por profissionais de segurança é o Baidu Antivirus, software desenvolvido pela empresa chinesa Baidu e que, durante os anos 2010, foi amplamente criticado por práticas como varreduras automáticas, instalação sem clareza e coleta de dados sem consentimento detalhado.

Outros produtos, como os antivírus Norton e AVG, enfrentaram críticas semelhantes por dificultar a desinstalação e consumir recursos do sistema, mesmo após desativação. Em comum, esses sistemas foram acusados de operar em uma zona cinzenta entre usabilidade e transparência técnica.

Risco está na má configuração e no consentimento implícito

Embora não configure um ataque direto, o uso indevido dessas ferramentas pode abrir brechas em ambientes corporativos. O Data Breach Investigations Report 2024, da Verizon, aponta que 74% das violações analisadas no último ano envolveram o chamado “elemento humano”,  especialmente erros, configurações inseguras e uso indevido de credenciais legítimas.

Além disso, o relatório destaca que a maioria das violações começa com acessos autorizados tecnicamente, mas operando fora dos limites esperados ou sem supervisão adequada. Esse é justamente o cenário que ferramentas de IA não autorizada podem potencializar: um sistema tecnicamente autorizado, mas ativado em contextos sensíveis, sem ciência plena dos envolvidos.

Segundo especialistas em governança de dados, a ausência de políticas claras sobre o uso de IAs em videoconferências cria um vácuo regulatório, no qual ferramentas legítimas podem agir de forma intrusiva sem violar diretamente as regras das plataformas onde operam.