Quase 90% dos profissionais de segurança usam ferramentas de IA não aprovadas no trabalho. As pessoas mais cientes dos riscos são as que os correm. Não porque sejam imprudentes. Porque a pilha aprovada não consegue acompanhar. Consultas vão para modelos de terceiros, respostas são coladas em documentos, e a infraestrutura da empresa nunca percebe isso. Sem registro. Sem registro de acesso. Sem rastros. Quando a compliance pergunta "o que os funcionários alimentaram nesses modelos", não há resposta. Não porque alguém escondeu isso. Porque ninguém construiu o sistema para capturá-lo. A política não vai resolver uma lacuna de infraestrutura. @sofia_numbers vem dizendo isso há um tempo: a governança precisa de uma camada de proveniência. Um registro das ferramentas que estão em uso e do que elas estão tocando, antes que a pergunta da auditoria seja atingida. Uma política melhor não vai resolver. Uma infraestrutura melhor sim.