Em 16 de dezembro de 2025, o NIST publicou um rascunho preliminar do Cybersecurity Framework Profile for Artificial Intelligence (NISTIR 8596): o Cyber AI Profile. A ideia é simples e poderosa: ajudar organizações a usar o NIST CSF 2.0 como “mapa” para acelerar a adoção segura de IA, sem ignorar os novos riscos que a própria IA cria.
O NIST coloca o tema em três frentes que se sobrepõem (como três círculos): Secure, Defend, Thwart, e o centro dessa interseção é uma postura de “AI-aware cybersecurity” (cibersegurança consciente de IA).
O que é o Cyber AI Profile
Pense nele como um “perfil” do CSF 2.0: um jeito padronizado de traduzir o framework para um contexto específico (nesse caso, IA). O NIST chama isso de community profile e cita que já existem perfis para outras comunidades/verticais.
No caso do Cyber AI Profile, o objetivo é orientar empresas a:
- Segurar seus próprios sistemas de IA,
- Usar IA para melhorar defesa cibernética, e
- Se blindar contra ataques habilitados por IA.
As 3 frentes do modelo: Secure, Defend, Thwart
1) Secure — proteger componentes e sistemas de IA
Aqui entram os desafios de integrar IA no ecossistema (dados, pipelines, modelos, integrações, fornecedores, ambientes de execução). A pergunta guia é: “o que muda quando IA vira parte do meu ambiente produtivo?”
2) Defend — usar IA para elevar a operação de segurança
Essa frente olha para oportunidades e riscos de aplicar IA na defesa: detecção, triagem, automação, correlação, resposta. A pergunta guia é: “como usar IA sem criar fragilidade operacional, dependência cega ou falsos ganhos?”
3) Thwart — se preparar para ataques habilitados por IA
É sobre resiliência contra ameaças “turbinadas” por IA: engenharia social mais convincente, exploração acelerada, automação de ataque, novas formas de abuso. A pergunta guia é: “como eu reduzo impacto quando o atacante escala?”
Por que isso importa para CISOs e líderes de negócio
O ponto mais relevante desse movimento do NIST é o “reenquadramento” do problema: IA não é só mais uma tecnologia no stack. Ela mexe em governança, risco, operação e prioridades ao mesmo tempo, e o NIST quer dar um caminho pragmático para conectar IA ao vocabulário de risco que empresas já usam (CSF 2.0).
Isso tende a virar referência para:
- Programas internos de governança de IA,
- Requisitos de segurança para fornecedores/produtos com IA,
- Auditoria e demonstração de diligência,
- Roadmaps de SOC / SecOps com automação responsável.
O NIST abriu uma janela de comentários de 45 dias e indica prazo até 30 de janeiro de 2026, por e-mail, além de um workshop em 14 de janeiro de 2026 para discutir o rascunho.
O Cyber AI Profile é um sinal de que cibersegurança vai precisar ser explicitamente consciente de IA, tanto para proteger o que você constrói com IA quanto para operar a defesa e resistir ao ataque.
Caso queira se aprofundar, acesse: Cyber AI Profile | NCCoE
Faça um assessment baseado no NIST CSF 2.0 e descubra sua maturidade: Assessment – NIST Cybersecurity Framework 2.0 – CG One