A OpenAI passou a oferecer novos controles de sessão no ChatGPT, ampliando a visibilidade de usuários e administradores sobre acessos ativos à plataforma. A novidade, chamada Active sessions, permite revisar sessões abertas, identificar dispositivos conectados e encerrar acessos específicos ou todos os acessos ativos. Embora o recurso represente um avanço em segurança operacional, especialistas avaliam que ele não resolve o problema maior enfrentado pelas empresas: a governança contínua de modelos de IA que mudam rapidamente.

A governança de inteligência artificial tem se tornado um processo permanente de adaptação para organizações. Modelos, recursos e comportamentos são atualizados em ciclos cada vez mais curtos, muitas vezes antes que frameworks internos de risco, compliance e segurança tenham sido plenamente testados. Nesse contexto, a visibilidade sobre sessões é importante, mas representa apenas uma parte de uma discussão mais ampla sobre controle, auditoria e mudança de comportamento em sistemas de IA.

O recurso Active sessions está disponível para contas do ChatGPT e diferentes tipos de workspace, incluindo contas pessoais e ambientes gerenciados. Segundo a documentação da OpenAI, a funcionalidade permite acessar “Settings”, depois “Security” e “Active sessions”, para revisar sessões conhecidas e encerrar sessões individuais ou todas as sessões ativas. A própria OpenAI informa que o encerramento de todas as sessões pode levar até 30 minutos para ser concluído.

Para Ensar Seker, CISO da SOCRadar, o recurso melhora um ponto que historicamente limitava a governança em ambientes corporativos: a falta de visibilidade granular sobre onde usuários estavam logados. Antes, muitas organizações dependiam de redefinições de senha ou ações amplas de conta para forçar nova autenticação. Com o controle por sessão, torna-se possível agir de forma mais precisa e menos disruptiva.

Do ponto de vista de governança, a transparência sobre sessões melhora a responsabilização e apoia investigações internas. Administradores e usuários podem identificar acessos não reconhecidos, encerrar sessões antigas e reduzir o risco de uma conta comprometida permanecer ativa sem detecção.

Uma visão mais clara das sessões ativas

O Active sessions permite visualizar sessões conhecidas de navegador e aplicativo associadas ao ChatGPT, Codex e API Platform. Entre os dados exibidos estão informações de dispositivo e navegador, localização aproximada, data e horário de login, indicação de dispositivo confiável e identificação da sessão atual.

A funcionalidade permite encerrar sessões específicas e remover dispositivos da lista de serviços confiáveis. Também há a opção de sair de todas as sessões, encerrando acessos em diferentes dispositivos. Essa ação, no entanto, pode não ser imediata em todos os casos, já que a OpenAI informa que o processo pode levar até 30 minutos.

Apesar do avanço, a própria OpenAI destaca limitações. Os detalhes de sessão podem ser aproximados ou incompletos, e o recurso não gerencia todos os tipos de acesso. A funcionalidade não cobre aplicativos conectados ou sessões de terceiros, logins realizados por serviços externos, sessões do Codex CLI ou sessões encerradas recentemente. Além disso, o Active sessions não está disponível para contas vinculadas ao SSO de uma organização, incluindo autenticação via SAML ou OIDC.

Melhor tarde do que nunca

Especialistas consideram o Active sessions um desenvolvimento positivo, mas também observam que esse tipo de controle é básico e já esperado em plataformas SaaS há anos. David Shipley, da Beauceron Security, afirmou que a capacidade de administradores encerrarem sessões ativas no ChatGPT é algo presente em muitas plataformas e que a OpenAI deveria ter oferecido esse recurso antes.

Para Shipley, a chegada da funcionalidade é bem-vinda, mas não elimina outras preocupações de segurança associadas ao uso corporativo de IA. Ele também avalia que a OpenAI poderia avançar em mecanismos para impedir o uso indevido do ChatGPT por agentes de ameaça, inclusive em cenários envolvendo hospedagem ou apoio a campanhas maliciosas.

Seker, da SOCRadar, segue linha semelhante ao afirmar que visibilidade e controle de sessão são recursos há muito esperados por empresas em plataformas SaaS. Na prática, esse tipo de mecanismo ajuda administradores e usuários a detectar acessos indevidos, encerrar sessões obsoletas e reduzir a persistência de comprometimentos de conta.

Atualizações constantes ampliam o desafio de governança

O ponto central, porém, está além do controle de sessão. Mesmo com ferramentas como Active sessions, empresas continuam enfrentando dificuldades para governar modelos de IA que mudam de forma contínua. Atualizações iterativas podem alterar estilo de resposta, qualidade, comportamento e desempenho prático dos modelos, impactando fluxos de trabalho previamente avaliados por times de segurança, compliance e negócio.

A OpenAI atualizou recentemente o GPT-5.5 Instant no ChatGPT e na API para melhorar estilo e qualidade das respostas. Segundo a empresa, o modelo passou a entregar respostas mais fáceis de ler, mais naturais em conversas cotidianas, com melhor ritmo em tarefas práticas e menos tendência a produzir respostas excessivamente longas ou carregadas de listas. A atualização ocorreu após o lançamento do GPT-5.5 Instant como sucessor do GPT-5.3 Instant, descrito pela OpenAI como mais inteligente e menos propenso a alucinações.

Para empresas, esse tipo de evolução gera uma dificuldade específica. Muitas organizações realizam testes de segurança, compliance e validação de negócio antes de aprovar um modelo para uso em produção. No entanto, quando o comportamento do modelo muda dentro da mesma família de versão, pressupostos documentados anteriormente podem deixar de refletir o desempenho real.

Segundo Seker, o maior desafio de governança em IA não é a adoção do modelo, mas a mudança do modelo. Avaliar uma solução uma vez é viável para muitas organizações. O problema é manter uma avaliação contínua de como essa solução evolui ao longo do tempo.

Esse ponto é especialmente relevante para setores regulados, nos quais auditabilidade, repetibilidade e gestão de mudanças são requisitos críticos. Mesmo melhorias benéficas podem criar preocupações de governança quando empresas não têm clareza suficiente sobre o que mudou, quando mudou e qual impacto a alteração pode ter sobre processos, decisões e controles existentes.

Governança em um serviço que não para de mudar

Valence Howden, advisory fellow da Info-Tech Research Group, observa que muitas organizações não conseguem avaliar adequadamente as implicações de cada iteração dos modelos em relação aos seus próprios limites internos. Em alguns casos, sequer sabem que mudanças relevantes ocorreram.

No início da adoção corporativa de IA, a principal preocupação estava em saber qual modelo era usado, o que ele fazia e quem era responsável por sua operação. Com atualizações frequentes, essa visibilidade se torna mais difícil. As empresas passam a depender mais das práticas de terceiros e de ferramentas externas que nem sempre conseguem auditar em profundidade.

Para Howden, quando empresas não têm a capacidade de optar por não receber uma atualização antes de sua incorporação, acabam testando as mudanças diretamente junto com seus clientes. Essa dinâmica aumenta o risco de que alterações de comportamento sejam descobertas somente após impacto em processos reais.

Seker afirma que equipes de segurança já estão no limite porque precisam gerenciar modelos em rápida evolução, novos recursos e mudanças de comportamento sem abrir mão de compliance, gestão de risco e continuidade de negócios. A dificuldade é que as organizações não estão mais avaliando um produto estático. Elas estão gerenciando um serviço em evolução contínua, no qual capacidades, integrações e comportamentos de usuários podem mudar mais rapidamente do que os ciclos tradicionais de revisão de segurança.

Howden acrescenta que muitas empresas ainda têm práticas frágeis de governança e accountability. Se a organização já enfrenta dificuldades para gerenciar riscos tradicionais, torna-se ainda mais difícil aplicar disciplina de governança em uma tecnologia que evolui rapidamente e é incentivada por velocidade e inovação.

Como as empresas devem responder

Especialistas defendem que organizações passem a tratar modelos de IA como sistemas vivos, e não como versões fixas de software. Isso significa substituir aprovações únicas por validação contínua, monitoramento recorrente e reavaliações periódicas.

Programas de segurança e governança devem incluir testes regulares de comportamento, análise de impacto sobre processos críticos, revisão de permissões, monitoramento de uso, gestão de integrações e documentação de mudanças relevantes. Também é necessário estabelecer expectativas claras com fornecedores sobre gestão de mudanças, incluindo transparência sobre atualizações de modelo, alterações comportamentais e possíveis impactos sobre fluxos já existentes.

O Active sessions melhora a camada de controle de acesso e investigação, mas não substitui governança de modelo. Para ambientes corporativos, a questão central passa a ser a capacidade de enxergar mudanças, avaliar consequências e ajustar controles de forma contínua.

A evolução da IA corporativa torna insuficiente uma abordagem baseada apenas em inventário, autorização inicial e políticas estáticas. A governança efetiva depende cada vez mais da visibilidade sobre mudanças, e não apenas da visibilidade sobre riscos conhecidos. Em um cenário no qual modelos, recursos e integrações são atualizados rapidamente, empresas precisarão construir processos capazes de acompanhar essa velocidade sem comprometer segurança, conformidade e continuidade operacional.