Shadow AI · Visibilidade & Controle · Windows / AD

A IA já entrou na sua rede. Você está no controle?

Seus colaboradores usam ChatGPT, Ollama, Copilot — muitas vezes com dados da empresa, e sem o TI ver. O Shadow AI Guard mostra quem, o quê e de onde, direto do endpoint — e devolve o controle para você. Sem proxy. Sem ler um único prompt.

◦ Roda na sua rede · ◦ Metadado, não conteúdo · ◦ Regras por grupo do Active Directory

shadowaiguard · Visão geral
14Máquinas
9Usuários com IA
318Sessões (30d)
3Shadow AI
Uso de IA por processo
ProcessoClasseSessões
ollama.exeShadow AI41
claude.exeShadow AI23
winword.exeIA embarcada18
chrome.exeWeb66
O problema

A IA virou a maior porta dos fundos da sua rede

Ferramentas de IA entram em minutos, sem passar pelo TI. E o que sai por elas você não vê.

🔓

Dados vazando

Código, planilhas, contratos e dados de clientes colados em IA que ninguém aprovou.

📈

Custo sem controle

Consumo de tokens crescendo sem ninguém saber quanto, por quem, em qual provedor.

⚖️

Risco de compliance

Uso de IA sem rastro, sem política e sem prova — um problema na próxima auditoria (LGPD).

Como funciona · a jornada do dado

Do endpoint à decisão, num fluxo só

O sinal nasce na máquina, é classificado no seu servidor e vira decisão — sem sair da sua rede e sem ler conteúdo.

Endpoint Detecta 2 sinais · catálogo assinado Classifica Shadow · Embarcada · Web Você decide regras por objeto do AD Avisar / Bloquear Relatórios Consumo
O produto
O que é

Um firewall de IA que roda no endpoint.

O agente detecta o uso de IA em cada máquina; o painel mostra tudo, classifica e deixa você criar regras por usuário, grupo ou máquina do Active Directory.

O benefício

Troque o "não sei o que está acontecendo" por visão e controle.

Você enxerga até o shadow AI que passa por fora dos gateways, separa o ruído (IA embarcada no Office) do que importa, e age — tudo no seu servidor, sem proxy e sem ler conteúdo.

▸ Telas reais do painel — capturadas com dados de demonstração. Clique para ampliar.

localhost:8080 · Visão geral
Visão geral do painel: 8 máquinas, 12 usuários, 220 sessões, top serviços de IA e uso por processo
Versões

Comece na Light. Ligue tudo na Premium.

A Light já entrega monitoramento completo e a criação de regras. A Premium liga o bloqueio e os recursos avançados.

Versão Light
Light

Enxergar todo o uso de IA e montar suas regras.

  • Detecção web + agentes locais
  • Classificação Shadow / Embarcada / Web
  • Criação de regras (modo Avisar)
  • Painéis e visão geral do parque
completaVersão Premium
Premium

Governança de verdade, por grupo do Active Directory.

  • Tudo da Light
  • Bloqueio efetivo (AppLocker / WDAC)
  • Filtro por grupo do Active Directory
  • Relatórios + exportação (Excel / CSV)
  • Análise de custo de IA por metadado
  • Conferência de custo com seu gateway (LiteLLM…)
Privacidade por arquitetura

Metadado, não conteúdo.

🔒 sem proxy · sem MITM

O Guard nunca lê um prompt ou uma resposta. Trabalha com sinais de rede e processo — nome do processo, porta, domínio, volume de bytes. Sem proxy, sem MITM. Por isso enxerga até o shadow AI que passa por fora dos gateways, e tudo fica no seu servidor.

Programa de testers

Obrigado por testar o Shadow AI Guard 🛡️

Você é um tester convidado. Abaixo, o que baixar, o que fazer e como sua contribuição ajuda o projeto. Tudo roda na sua rede — nada é enviado automaticamente.

🖥️ Instalador completo (Premium)

ShadowAIServer.msi (~77 MB) + ShadowAIAgent.msi (~33 MB) · Windows x64 · sem .NET necessário

A versão completa, com bloqueio, relatórios e consumo já destravados para avaliação. O servidor é o painel; o agente roda nas máquinas e detecta o uso de IA.

  • Instale o ShadowAIServer.msi numa máquina que fique ligada.
  • Abra http://localhost:8080 e defina a senha no primeiro acesso.
  • Conecte um agente pelo painel, em /setup/agent.
Sua contribuição: validar a instalação, a detecção nas máquinas reais e se a classificação (Shadow / Embarcada / Web) faz sentido no seu parque.

Baixar o servidor (.msi) →

🔎 Ferramentas de diagnóstico (spikes)

ShadowAIGuard-tester-tools.zip (~344 MB) · Windows x64 · sem .NET necessário · 11 programas

Programas independentes que rodam sem instalar nada. Eles cobrem três momentos do teste: preparar o terreno antes de instalar, confirmar que a detecção funciona na sua rede, e entender o que o produto deveria fazer. Cada um gera uma saída simples que você nos envia.

1 · Antes de instalar — conheça o terreno · só leitura, não altera nada

  • ReconSpike — tira um “raio-X” da máquina: quais apps de IA, modelos locais (Ollama, LM Studio), portas abertas e grupos do Active Directory já existem. Responde: “o que o Guard deveria encontrar aqui?”. Rode e envie o relatório — é o nosso ponto de partida.
  • EnforceSpike — verifica como a sua edição do Windows sabe bloquear um programa: por AppLocker (dá pra mirar em grupos do AD) ou por WDAC (vale pra máquina toda). Responde: “o bloqueio da versão Premium vai funcionar no meu parque?” — antes de você depender dele.

2 · Confirme que a detecção funciona · requer rodar como administrador

  • EtwSpike — é o coração do produto: prova que dá pra dizer qual programa falou com qual IA usando só os eventos do próprio Windows (consulta de DNS + conexão) — sem instalar driver, sem proxy e sem ler nada do conteúdo. Responde: “o Guard consegue mesmo ligar processo ao destino, na minha máquina?”.
  • SniSpike — vai além do DNS: mostra que o Guard continua enxergando o destino de IA mesmo quando o DNS está criptografado (DoH), olhando o nome do site no aperto de mão TLS (SNI). Responde: “a detecção aguenta as defesas de privacidade modernas do navegador?”.

3 · Entenda o comportamento esperado · demonstrações, não tocam na sua máquina

  • Simuladores (Captura, Classificação, Firewall, Licença, Custo, Diagnóstico, Conferência de custo) — cada um roda um cenário pronto e mostra, passo a passo, como o produto raciocina: separa o Shadow AI do ruído da IA embarcada (Word/Excel), transforma uma regra em bloqueio ou aviso, estima o custo em faixa e pseudonimiza o diagnóstico. Servem para você entender e questionar o comportamento antes de vê-lo no painel — cada um termina em verde quando está tudo certo.
Sua contribuição: esses relatórios mostram como a detecção e o bloqueio se comportam em Windows e parques reais — é o que valida se o caminho do produto está certo.

Baixar ferramentas →

📋 Como reportar

Anote o que funcionou, o que confundiu e qualquer falso positivo (um app "normal" aparecendo como shadow AI). Envie junto os relatórios .txt dos spikes. Passo a passo no guia completo.

Manual

O que é o Shadow AI Guard

Um produto para Windows que detecta e controla o uso de IA a partir do endpoint. Duas peças: o agente (detecta nas máquinas) e o servidor (o painel).


Instalar o servidor (painel)

Para que serve: ter o painel central que recebe os dados dos agentes.

  1. Rode o ShadowAIServer.msi numa máquina que fique ligada.
  2. Sobe em http://localhost:8080.
  3. Já vem com o catálogo assinado.
localhost:8080 · Visão geral
Visão geral do parque com KPIs, top serviços de IA e uso por processo
Visão geral do parque, assim que os agentes começam a reportar.

Primeiro acesso

Para que serve: proteger o painel com uma conta de administrador.

  1. Abra http://localhost:8080.
  2. Defina usuário e senha (mín. 8).
  3. A partir daí o painel pede login.
localhost:8080/login
Tela de login do painel Shadow AI Guard
A tela de acesso ao painel, protegida por conta de administrador local.

Instalar o agente

Para que serve: detectar o uso de IA em cada máquina.

  1. No painel, Instalar agente (/setup/agent), copie o comando.
  2. Rode como administrador na máquina.
  3. Em ~1 min a máquina aparece.
Detecta por metadado (processo, porta, domínio, bytes). Nunca lê conteúdo.
/setup/agent · Instalar agente
Assistente de instalação do agente com comando pré-configurado
O painel entrega o comando de instalação já com a URL do servidor e a chave.

Ver o uso de IA

Para que serve: enxergar quem usa qual IA, de onde.

/local-agents · Agentes de IA locais
Agentes de IA locais detectados por máquina, usuário, tipo, risco e confiança
Agentes de IA locais detectados, por máquina, usuário, risco e confiança.

Entender a classificação

Para que serve: separar o que importa do ruído.

  • Shadow AI ferramenta/agente dedicado.
  • IA embarcada app sancionado (Word/Excel/Copilot). Oculta por padrão.
  • Web uso pelo navegador.
/apps · Uso de IA por processo
Classificação do uso de IA por processo: Shadow AI, Web e Não classificado
Cada processo classificado — o Shadow AI separado do ruído de IA embarcada.

Criar regras (modo Avisar)

Para que serve: montar sua política já na Light.

  1. Em Regras: sujeito (usuário/grupo/máquina) × alvo × ação.
  2. A ordem é a precedência.
/regras · Regras do firewall de IA
Lista ordenada de regras: sujeito do AD por alvo por ação, com modo efetivo e o formulário de nova regra
Lista ordenada (a primeira que casa vence). Na Light, as regras de bloquear apenas avisam.

Ativar a Premium

Para que serve: destravar bloqueio, grupos do AD, relatórios e consumo.

No preview do tester a versão já vem Premium. Na distribuição normal, é ativada por uma chave.


Bloquear de fato

Para que serve: impedir a execução de um agente de IA, por objeto do AD.

  1. Marque a regra como Bloquear.
  2. O servidor gera a política AppLocker/WDAC.
  3. Implantada no endpoint; identidade pelo token de logon.
Edição do Windows decide: Enterprise/Education → AppLocker (por grupo); Pro → WDAC (máquina).

Consumo estimado

Para que serve: ordem de grandeza do uso de IA da rede.

É uma estimativa, não uma fatura. Calculada a partir do volume de bytes (nunca do conteúdo); detectamos o provedor, não o modelo — daí a faixa. Serve para tendência.
/custo · Consumo estimado de IA
Consumo estimado de IA por provedor em faixa; provedor sem preço fica sem estimativa
Faixa por provedor. Quem não tem preço (agentes locais) fica sem estimativa — nunca um zero falso.

Conferência com o seu gateway Premium · novo

Para que serve: conferir, de forma independente, o que o seu gateway LLM está cobrando.

Já roda um gateway (LiteLLM, Helicone…)? Em Custo, importe o CSV de custo dele. O Guard compara o medido (do seu gateway) com a nossa estimativa por metadado, por provedor, e dá o veredito: dentro da faixa, acima da estimativa (possível cobrança fora da curva) ou sem preço no catálogo. Opt-in — é o custo do seu gateway, nunca conteúdo. Reconhece os cabeçalhos comuns (provider/model, prompt_tokens/completion_tokens, cost/spend).

/custo · Conferência com o seu gateway
Conferência de custo: estimado por metadado comparado ao medido pelo gateway, por provedor, com veredito
Estimado × medido, por provedor — com o veredito da conferência.

Privacidade e dados

Metadado, não conteúdo. Nunca lê prompts ou respostas. Tudo fica no seu servidor.