Fornecedores de AI SOC exageram na venda de caça de ameaças autônoma

Fornecedores de centros de operações de segurança estão prometendo investigação autônoma de ameaças e "operações sem humanos", mas profissionais descrevem uma realidade de implantações limitadas e integração AI superficial. Um novo relatório de Anton Chuvakin do Google Cloud e Oliver Rochford da Aunoo AI pesquisou mais de 30 briefings de fornecedores e entrevistou CISOs rodando ferramentas AI SOC em produção. A adoção do mercado está em apenas 1-5 por cento segundo o Hype Cycle 2025 da Gartner, com a maioria das equipes esperando que capacidades AI sejam construídas em plataformas SIEM e XDR existentes ao invés de comprar soluções independentes.

O que realmente está acontecendo em produção revela a lacuna entre promessas de fornecedores e realidade. Equipes implantam AI para enriquecimento de alertas, resumos de investigação e rascunho de relatórios — mas mantêm humanos no loop de decisão para qualquer coisa que importa. O relatório identifica "purgatório piloto" como um padrão comum: prova de valor se converte em pequena implantação de produção, AI lida com tarefas de baixo risco, expansão nunca vem. Algumas equipes maduras de engenharia de detecção relatam que LLMs de propósito geral bem prompteados com acesso à documentação interna superam produtos de fornecedores que carecem de contexto ambiental.

As métricas também não apoiam alegações de adoção de fornecedores. "Exposição" não é "confiança", nota Rochford — analistas podem ver resumos gerados por AI em cada alerta, mas isso não significa que ajam sobre eles. Chuvakin pede definições mais precisas em torno de alegações de desempenho: "'investigações 50% mais rápidas' poderia significar quase qualquer coisa." Estatísticas de fornecedores frequentemente contam ativação de recursos ou respostas de pesquisas sobre "explorar" ferramentas AI, não dependência operacional real.

Para equipes de segurança avaliando ferramentas AI SOC: comecem estreito, meçam mudanças reais de comportamento de analistas, não apenas uso de recursos. O futuro autônomo que fornecedores estão vendendo não está aqui ainda, e decisões de compra baseadas em promessas de roadmap ao invés de capacidades atuais é pensamento ilusório caro.