O abuso de testes gratuitos de IA está a tornar-se um problema dispendioso para startups, diz a Stripe

Startups de IA enfrentam cada vez mais um tipo de fraude que há poucos anos quase não existia: utilizadores automatizados a inscreverem-se em massa para esgotar recursos computacionais caros antes que as empresas possam pará-los.

O CEO da Stripe, Patrick Collison, afirmou que o problema se tornou generalizado entre as empresas de IA que usam a infraestrutura de pagamento da empresa. Ao falar no podcast TBPN, Collison disse que aproximadamente um em cada seis novos registos criados em algumas plataformas de IA parece ser fraudulento.

O abuso centra-se nos tokens de inferência, os créditos de computação necessários para executar modelos de IA. Os fraudadores criam contas falsas, consomem as alocações gratuitas oferecidas aos novos utilizadores, e depois desaparecem sem pagar. Em alguns casos, o acesso é supostamente revendido através de canais online que distribuem credenciais de IA de baixo custo.

A Fortune divulgou detalhes de executivos da Stripe a 7 de maio.

Collison da Stripe alerta que as empresas de IA enfrentam um novo tipo de fraude

O problema está a afetar especialmente as startups porque os produtos de IA acarretam custos reais de uso desde o momento em que alguém começa a interagir com um modelo. Ao contrário das empresas de software tradicionais, as empresas de IA não podem inscrever milhões de utilizadores gratuitos sem pagar pela potência computacional subjacente necessária para processar prompts e gerar respostas.

Emily Sands, Chefe de Dados e IA da Stripe, afirmou que alguns atacantes operam a velocidades que tornam as revisões manuais de fraude ineficazes.

“Uma das coisas que é realmente assustadora nisso é que esses atacantes podem queimar custos de inferência, acumular contas de uso massivas que nunca pretendem pagar, e podem fazer isso muito, muito rapidamente porque estão a consumir tokens à velocidade de máquina,” disse Sands à Fortune.

Segundo Sands, o abuso envolvendo testes gratuitos de IA mais do que duplicou nos últimos seis meses.

Pesquisadores que monitorizam vulnerabilidades de segurança em IA dizem que os ataques frequentemente exploram controles fracos de credenciais, em vez de técnicas sofisticadas de hacking. Muitos sistemas de IA ainda dependem de permissões amplas de API que permitem a agentes automatizados aceder a grandes partes da infraestrutura de backend assim que as credenciais são obtidas.

Um relatório de março de 2026 da empresa de pesquisa de segurança Grantex revelou que a maioria dos principais projetos de agentes de IA de código aberto carecia de separação granular de identidade entre agentes, dificultando isolar contas comprometidas sem rotacionar todas as credenciais do sistema.

O mercado mais amplo de credenciais roubadas também está a expandir-se. A empresa de cibersegurança SpyCloud afirmou que recuperou 18,1 milhões de chaves de API expostas e credenciais de máquinas de mercados criminosos em 2025, incluindo milhões ligados a serviços relacionados com IA.

Algumas startups estão a começar a mudar a forma como lidam com a aquisição de utilizadores

Algumas startups já estão a alterar a forma como gerem a aquisição de utilizadores devido aos custos crescentes. Executivos do setor dizem que empresas que antes dependiam fortemente de testes gratuitos estão agora a encurtar os períodos de teste, a impor limites de taxa mais rígidos ou a exigir detalhes de pagamento mais cedo no processo de inscrição.

A Stripe afirmou que expandiu o seu sistema de deteção de fraude Radar para avaliar registos de contas de IA usando indicadores como impressões digitais de dispositivos, reputação de IP e histórico de domínios de email. A empresa disse que o sistema bloqueou mais de 3,3 milhões de inscrições potencialmente arriscadas em oito empresas de IA durante o último mês.

A empresa também está a explorar sistemas de pagamento projetados para reduzir ao máximo o uso não pago. A Stripe apoiou um projeto baseado em blockchain chamado Tempo, que permitiria aos serviços de IA cobrar continuamente os clientes à medida que os recursos de computação são consumidos.

A bolsa de criptomoedas Coinbase está a desenvolver um sistema semelhante conhecido como x402, focado em pagamentos em tempo real entre aplicações e APIs.

Os apoiantes desta abordagem acreditam que a liquidação instantânea poderia reduzir a exposição à fraude ao eliminar o atraso entre o consumo de recursos e a cobrança.

Mesmo assim, os analistas de segurança dizem que o problema reflete uma tensão mais ampla dentro da indústria de IA: startups estão a correr para crescer o mais rapidamente possível, enquanto muitos dos sistemas subjacentes de segurança e identidade permanecem imaturos.

Se estás a ler isto, já estás à frente. Mantém-te assim com a nossa newsletter.