Insights de IA
Os AI Insights são uma camada opcional de inteligência artificial que enriquece os resultados do assessment com narrativa executiva, análise de prioridade e identificação de quick-wins. A análise técnica principal é sempre 100% determinística; a IA adiciona interpretação e contexto.
O que a IA adiciona
Quando habilitada, a IA (modelo Claude da Anthropic) gera:
| Seção | Conteúdo |
|---|---|
| Narrativa executiva | Resumo em linguagem de negócio dos principais riscos e impactos |
| Priorização contextual | Reordenação dos riscos considerando o perfil do ambiente (tipo de indústria, tamanho, conformidade aplicável) |
| Plano de ação | Sugestão de roadmap de remediação com justificativas |
| Quick-wins | Ações de alto impacto e baixo esforço para melhorar rapidamente o score |
| Guias enriquecidos | Contexto adicional nos guias de remediação (veja Remediação) |
A IA não substitui a análise técnica
Os findings, scores e mapeamentos de compliance são sempre gerados de forma determinística pelos scanners — sem IA. A IA apenas interpreta esses dados e gera narrativa. Se a IA estiver desativada, todos os dados técnicos continuam disponíveis.
O que a IA NÃO recebe
Por padrão, a IA recebe apenas metadados dos findings:
- Tipo de finding (ex.: "Security Group com SSH aberto")
- Severidade
- Serviço afetado (ex.: "EC2")
- Pilar (ex.: "Segurança")
- Número de recursos afetados
A IA não recebe: - Código-fonte do repositório - Credenciais ou chaves - Dados de negócio dos bancos de dados - Nomes de recursos internos (são anonimizados antes de enviar) - Dados de clientes ou usuários finais
Verificação de privacidade
Antes de habilitar a IA, você pode clicar em "Visualizar dados enviados para IA" para ver exatamente quais informações serão compartilhadas com a API da Anthropic. Nenhum dado é enviado sem que você confirme.
Configuração
Para administradores (self-hosted)
A IA é configurada via variável de ambiente no servidor:
Após configurar a variável, reinicie a plataforma. Os usuários poderão ver e usar os AI Insights nos assessments.
Custo da API
O uso dos AI Insights consome tokens da API da Anthropic. Um assessment médio gera aproximadamente 2.000–5.000 tokens de entrada e 500–1.500 tokens de saída. Consulte a tabela de preços da Anthropic para estimar o custo.
Para planos Enterprise (platform key)
Em instalações Enterprise, a Elven Works pode configurar uma platform key compartilhada — gerenciada pela Elven Works. Nesse caso:
- Cada tenant tem um limite mensal de tokens
- O uso é rastreado por tenant no painel administrativo
- Não é necessário que o cliente forneça sua própria API key
Entre em contato com o suporte Elven Works para habilitar a platform key.
Habilitando por assessment
Assessments de nuvem (AWS, GCP, Azure, OCI, Magalu)
Para nuvem, a IA é habilitada por padrão quando a ANTHROPIC_API_KEY está configurada. Você pode desabilitar por assessment individual:
- No formulário de novo assessment, localize o toggle AI Insights.
- Desative o toggle se não quiser usar IA neste assessment específico.
Assessments de código-fonte
Para código-fonte, a IA é desabilitada por padrão, mesmo quando a chave está configurada. Você precisa habilitá-la explicitamente:
- No formulário de novo assessment de código-fonte, localize o toggle Habilitar AI Insights.
- Ative o toggle.
- Um banner de confirmação exibe quais dados serão enviados para a IA.
- Confirme e prossiga.
Opt-in explícito para código-fonte
O código-fonte pode conter informações proprietárias. Por isso, a plataforma exige um opt-in explícito por assessment — para garantir que a decisão de usar IA no contexto do código seja sempre consciente e intencional.
Visualizando os AI Insights
Quando os AI Insights estão disponíveis, eles aparecem em:
- Aba Sumário Executivo — seção adicional "AI Insights" com a narrativa completa
- Excel exportado — aba "AI Insights" com o texto completo e a lista de quick-wins
- Drawer de remediação — seção adicional em cada finding com contexto enriquecido
Screenshot
📸 Captura de tela: Seção AI Insights no Sumário Executivo — card com ícone de IA (estrela roxa), título "Análise Executiva por IA", parágrafo de narrativa descrevendo os principais riscos do ambiente AWS, seguido de seção "Quick-wins" com 3 ações listadas com bullet points.
Quando os AI Insights não aparecem
Se a plataforma está configurada com API key mas os insights não aparecem, verifique:
| Situação | O que verificar |
|---|---|
| Assessment de código-fonte | O toggle "Habilitar AI Insights" estava ativado? |
| Todos os assessments | A variável ANTHROPIC_API_KEY está configurada corretamente? |
| Todos os assessments | A chave ainda é válida? Verifique no painel da Anthropic |
| Enterprise | O limite mensal de tokens foi atingido? Consulte o admin |
| Assessment muito antigo | AI Insights são gerados no momento da conclusão — não retroativos |
Privacidade e conformidade
Dados que saem da sua infraestrutura
Quando os AI Insights são habilitados, os metadados dos findings são enviados para a API da Anthropic (Claude). Isso significa que esses dados saem da sua infraestrutura e são processados nos servidores da Anthropic nos EUA.
Considerações para ambientes regulados
| Framework | Consideração |
|---|---|
| LGPD | Nenhum dado pessoal é enviado para a IA — apenas metadados técnicos |
| PCI-DSS | Nomes de recursos são anonimizados antes do envio |
| SOC2 | Recomendamos revisar o DPA da Anthropic antes de habilitar em ambientes SOC2 |
| Regulações bancárias | Consulte sua equipe de compliance antes de habilitar em ambientes financeiros regulados |
Desabilite em assessments altamente sensíveis
Para assessments de ambientes com dados ultra-sensíveis (sistemas financeiros, saúde, governo), avalie se o benefício dos AI Insights justifica o compartilhamento dos metadados com um serviço de terceiro. A análise técnica completa está sempre disponível sem IA.