Blog

Como a cside trouxe a IA para a segurança do lado do cliente

Em 2024, a cside lançou a primeira solução de segurança do lado do cliente com IA integrada para análise de segurança JavaScript e automação de conformidade.

Dec 14, 2025 • 9 min read

Simon Wijckmans Founder & CEO

cside, primeira plataforma a integrar IA na segurança do lado do cliente

DR

Em maio de 2024, o cside foi lançado como a primeira solução de segurança do lado do cliente para integrar IA em seu produto.

Usamos modelos de código aberto auto-hospedados em nossa própria infraestrutura para analisar JavaScript em busca de intenções maliciosas. Explique o comportamento do script em linguagem simples, rastreie alterações ao longo do tempo e automatize as revisões de conformidade de script do PCI DSS 4.0.1.

Ao contrário das soluções que utilizam APIs de IA de terceiros, nossa arquitetura evita o vazamento de dados e protege a privacidade do usuário final usando LLMs de código aberto auto-hospedados. Para organizações com restrições de IA, esses recursos podem ser desativados. A IA é uma sobreposição, não um requisito, mas provou ser extremamente valiosa para o GRC e as equipes de segurança.

Segurança do lado do cliente na era da IA

Quando lançamos o cside em maio de 2024, queríamos capturar ataques que outros não conseguiram. Portanto, tomamos uma decisão que nos diferenciou de todos os outros participantes no espaço de segurança do lado do cliente: incorporamos a IA no núcleo do nosso produto desde o primeiro dia.

Na época, éramos o único fornecedor de soluções que usava LLMs para lidar com a segurança JavaScript do lado do cliente. Mais tarde, o resto do mercado seguiu nosso exemplo, mas a forma como você implementa a IA é tão importante quanto a funcionalidade que ela fornece.

Por que a IA é importante para a segurança do JavaScript

JavaScript é excepcionalmente difícil de analisar. Os provedores de soluções SAST também usam LLMs para analisar código. Mas os scripts do lado do cliente mudam constantemente, ficam ofuscados propositalmente e podem se comportar de maneira diferente com base em quem os está visualizando, onde estão localizados ou que horas são.

A correspondência de padrões tradicional desmorona quando os invasores randomizam seu código ou têm como alvo usuários específicos.

Ao contrário dos sistemas operacionais, os navegadores não foram desenvolvidos para segurança. É por isso que a cside oferece múltiplas abordagens para cobrir as lacunas:

Método Script (Mais Fácil): verificamos os comportamentos dos scripts no navegador e buscamos os scripts do nosso lado, depois confirmamos que recebemos o mesmo script. Não nos colocamos no caminho de um script a menos que você peça explicitamente. Fácil de implementar, sem impacto no desempenho, e você ainda pode interromper ações de scripts ou bloquear por URL, hash ou domínio.
Método Scan (Mais Rápido): se você não puder adicionar um script ao seu site, o cside o analisa usando inteligência de ameaças de milhares de outros sites com bilhões de visitantes combinados. Rápido de configurar e útil quando a instalação de um script não é possível.

A combinação desses modos nos aproxima da cobertura total que é tecnicamente possível hoje.

LLMs são realmente bons em contextualizar JavaScript mesmo quando ele foi mutilado de forma irreconhecível. Um LLM pode examinar o código ofuscado, entender sua intenção e sinalizar um comportamento que a análise estática deixaria totalmente de lado. Esse recurso é extremamente valioso para a segurança do JavaScript. Mas apenas se for implementado de forma responsável.

Arquitetura de IA responsável: por que nos auto-hospedamos

cside executa LLMs de código aberto em nossa própria infraestrutura de nuvem. Mantemos controle total sobre os dados que fluem através de nossos modelos.

Muitas vezes, quando as empresas enviam recursos habilitados para IA, elas usam como padrão APIs de empresas de IA bem conhecidas. Embora essas empresas tenham dados de recursos usados em treinamento sem consentimento, os dados são fornecidos a terceiros. Em um mundo ideal, os dados nunca saem da sua área de controle.

Ao executarmos nós mesmos modelos de código aberto, não há risco de vazamento do conteúdo do script para fornecedores externos. Não há chance de os dados do cliente aparecerem em um conjunto de treinamento.

Ao enviar JavaScript para uma API de terceiros, você confia nas políticas de manipulação de dados desse fornecedor, que mudam ativamente ao longo do tempo.

cside entende os requisitos de segurança e o que é necessário para manter seus dados seguros. Você mesmo pode verificar nossa postura de segurança em nosso Central de Confiança, onde publicamos nosso SOC 2 Tipo II, testes de penetração e documentação PCI DSS AOC.

Como cside usa IA: 4 aplicativos principais

É aqui que a IA realmente funciona em nosso produto.

1. Analisando scripts em busca de intenções maliciosas

Cada script carregado em seu site é analisado em sua forma original e após desofuscação. O LLM procura padrões que indiquem comportamentos maliciosos:

Roubo de tokens de sessão
Interceptação e exfiltração de dados não autorizada
Coleta de credenciais
Adulteração de formulários de pagamento

Isso se aplica tanto a scripts de aparência limpa quanto a scripts mais alarmantes. Seja no bloco JavaScript primário ou em uma pequena subsolicitação.

A IA captura ambos. Ele entende o contexto de uma forma que as detecções baseadas em regex simplesmente não conseguem. E ao contrário scanners, CSP ou produtos baseados em agente, estamos analisando a carga útil real que seus usuários recebem, sabemos que é exatamente o que o usuário recebeu. Não estamos apenas verificando informações de ameaças ou aguardando o disparo de armadilhas do lado do cliente, embora, é claro, também usemos esses métodos como camadas em nosso mecanismo de detecção.

A camada de IA em nosso mecanismo de detecção é apenas uma das muitas camadas diferentes, mas a IA pode ser altamente eficaz na detecção de comportamentos maliciosos ocultos.

2. Raciocínio comercial do roteiro

Este widget de chat deve ter acesso aos dados do formulário?
Por que esse script analítico está na sua página de pagamento?
Esta ferramenta de marketing precisa ser executada como parte do processo de checkout?

Fornecemos um motivo comercial gerado pelo LLM, que é um requisito de conformidade para algumas estruturas.

Economizando horas de investigação para as equipes. Em vez de revisar cada alteração de hash do script ou tentar descobrir quem o adicionou, você obtém uma explicação em linguagem simples do que cada script está fazendo.

3. Explicando as mudanças ao longo do tempo

Os scripts não permanecem estáticos. Muitos atualizam constantemente. Na semana passada, o script X realizou ações relacionadas a análises. Esta semana, também está acessando o localStorage e fazendo solicitações para um novo domínio registrado apontando para um endereço IP residente.

O que mudou e isso importa?

A IA do cside gera explicações legíveis para alterações de script. Você não precisa ser um pesquisador de segurança para entender o que aconteceu entre as mudanças. A plataforma informa exatamente o que é diferente e se isso levanta preocupações.

Isso é muito útil para auditorias de conformidade. Quando um auditor pergunta sobre o comportamento do script nos últimos seis meses, você tem explicações documentadas e com data e hora prontas para uso. Nosso rastreamento histórico de 100% significa que nada se perde.

4. IA para automação de conformidade PCI DSS 4.0.1

Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 exigem revisão contínua de scripts em páginas de pagamento. A maioria das equipes faz isso manualmente: carregando a página, inspecionando os scripts, documentando tudo e repetindo o processo semanal ou mensalmente.

Com Escudo PCI, a IA trata da revisão automaticamente. Cada alteração de script nas páginas de pagamento é analisada. Se a mudança parecer benigna, nenhuma ação será necessária. Se mostrar sinais de comportamento malicioso, você receberá um alerta com um detalhamento completo do que aconteceu.

Esta abordagem foi validada pela VikingCloud, que confirmou que o cside atende aos requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 quando implantado corretamente. Você pode leia o relatório completo ou baixe-o em nosso Central de Confiança.
Isto não é apenas conveniência. É a diferença entre resposta reativa a incidentes e prevenção proativa de ameaças.

Flexibilidade é a resposta

Entendemos que nem todas as organizações estão prontas para adotar a IA em toda a sua pilha de tecnologia. Alguns têm políticas internas contra o uso de IA. Outros querem avaliá-lo caso a caso.

É por isso que todos os nossos recursos de IA podem ser desativados. A sobreposição está lá se você quiser, mas não é obrigatório executar o cside.

Você ainda obtém visibilidade total da carga útil, bloqueio em tempo real, rastreamento histórico e relatórios de conformidade sem IA.

Esteja você usando o Método Script ou o Método Scan, a plataforma oferece visibilidade completa do script e um design à prova de falhas. A IA é um aprimoramento e para as equipes que podem usá-la, a camada de IA torna tudo mais rápido e preciso.

Por que isso é importante agora

Os ataques do lado do cliente estão cada vez mais sofisticados. Os invasores sabem que o lado do servidor e suas dependências estáticas de código aberto estão sendo monitoradas de perto. Então eles ajustaram sua superfície de ataque e estão:

Usando scripts dinâmicos do lado do cliente que mudam com base no contexto do usuário, evitando a detecção por verificações estáticas.
Scripts altamente ofuscantes para evitar análises estáticas.
Explorar a lacuna entre o que as especificações do navegador permitem e como o navegador é realmente construído.

As ferramentas de caixa de seleção não conseguem acompanhar. As violações do CSP não informam o que está dentro de um script e são difíceis de gerenciar. Os rastreadores recebem cargas limpas enquanto usuários reais veem cargas maliciosas. O monitoramento comportamental só detecta ataques depois que eles já foram executados e estão propensos a ignorar métodos.

Detecções baseadas em IA e uma abordagem que combina métodos têm a melhor chance. Analisando o comportamento em tempo real, entendemos o código ofuscado mesmo quando a desofuscação falha e sinalizamos anomalias que a correspondência de padrões não perceberia.

Modelos auto-hospedados, infraestrutura isolada e sem compartilhamento de dados com terceiros. É assim que você obtém os benefícios da IA sem introduzir novos riscos ou enfrentar resistências internas.

Pronto para conferir? Comece de graça ou agende uma demonstração para bater um papo com nossa equipe.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Usamos LLMs de código aberto que hospedamos e mantemos em nossa própria infraestrutura de nuvem. Isso nos dá controle sobre o comportamento, o treinamento e o tratamento de dados do modelo. Não dependemos de APIs de terceiros.

Não. A IA analisa tanto o script original quanto sua versão desofuscada. As técnicas de ofuscação que enganam os analisadores estáticos não funcionam contra modelos de linguagem contextual. O LLM entende o que o código faz, não apenas sua aparência.

Não. Nossa arquitetura auto-hospedada significa que nenhum dado do cliente sai de nossa infraestrutura controlada. Não enviamos conteúdo de script para fornecedores externos de IA. Para organizações com políticas rígidas de IA, todos os recursos de IA podem ser desativados, mantendo todas as funcionalidades de segurança. Verifique nossa Central de Confiança para ver nossas certificações de conformidade.

Cada vez que um script é carregado. Capturamos e analisamos a carga completa de cada solicitação. Isso nos permite detectar alterações imediatamente e acompanhar o comportamento ao longo do tempo com visibilidade histórica completa.

Você será notificado com uma explicação detalhada do motivo pelo qual o script foi sinalizado. Nosso painel inclui a carga completa do script, análise contextual e comparações históricas para que sua equipe possa revisar a decisão. Falsos positivos são raros, mas quando acontecem, a transparência ajuda a resolvê-los rapidamente.

Sim. Todos os recursos de IA podem ser desativados. Você ainda terá bloqueio em tempo real, visibilidade total da carga útil, rastreamento histórico, relatórios de conformidade e todos os outros recursos básicos de segurança. A IA é um aprimoramento, não um requisito.

O cside oferece dois métodos de implantação complementares. O Método Script é o mais fácil: verificamos os comportamentos dos scripts no navegador e buscamos os scripts do nosso lado para confirmar que recebemos o mesmo script, sem nos colocarmos no caminho de um script a menos que você peça explicitamente. O Método Scan é o mais rápido: se você não puder adicionar um script ao seu site, o cside o analisa usando inteligência de ameaças de milhares de outros sites. Você pode combinar os dois para a melhor cobertura.

Não. Não usamos dados de clientes para treinar nossos modelos. O conteúdo do script, os resultados da análise e os dados de conformidade permanecem em seu ambiente isolado. Esta é uma parte central da nossa arquitetura.

APIs de terceiros apresentam riscos de compartilhamento de dados. Ao enviar JavaScript para um provedor externo, você confia em suas políticas de retenção de dados e treinamento. Com o cside, o modelo é executado em nossa infraestrutura, o que significa que seus dados nunca saem do nosso controle. Não há envolvimento de terceiros em nenhum ponto do pipeline de análise.

Escrevemos uma análise detalhada em nossa página Comparar. A versão resumida: soluções somente CSP não analisam cargas úteis, os rastreadores perdem ataques direcionados e produtos baseados em agentes podem ser ignorados. cside vê exatamente o que seus usuários veem.

Contribuímos ativamente para o W3C e para a comunidade mais ampla de segurança na web. No entanto, nunca compartilhamos dados específicos do cliente. Nossas contribuições de pesquisa se concentram em metodologias, padrões de detecção e abordagens arquiteturais, e não em scripts ou incidentes individuais.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.