Vibe coding expõe vulnerabilidades das empresas brasileiras
Inteligência Artificial e Segurança: Os Desafios do Vibe Coding nas Empresas Brasileiras
Uma inteligência artificial capaz de gerar milhares de linhas de código em minutos tem se tornado uma realidade nas auditorias realizadas em 2025. Este cenário, que parece promissor, esconde riscos significativos, especialmente no que diz respeito à segurança das aplicações desenvolvidas.
A prática conhecida como vibe coding, que permite a criação de software a partir de descrições em linguagem natural, chegou às equipes de empresas brasileiras antes que qualquer protocolo de segurança estivesse em vigor. Essa técnica utiliza Large Language Models (LLMs) para transformar descrições simples em código, possibilitando que até mesmo pessoas sem formação técnica possam desenvolver ferramentas que antes eram exclusivas de programadores.
O fenômeno foi nomeado por um pesquisador no início de 2025 e rapidamente se espalhou por equipes de produto, marketing e operações, que antes não consideravam a necessidade de desenvolvedores. Contudo, essa rápida adoção não foi acompanhada de uma discussão sobre as potenciais falhas que poderiam surgir.
A falha que parece certa
Um dos principais riscos associados ao vibe coding é a introdução silenciosa de vulnerabilidades comuns, como injeção de SQL, validação inadequada de entradas, exposição indevida de credenciais e falhas no tratamento de autenticação e autorização. Em auditorias, já foram identificados casos de lógica de permissão invertida e endpoints expostos sem autenticação.
O problema não reside apenas em erros evidentes, mas na criação de falhas que parecem plausíveis. O código gerado pode funcionar e entregar resultados, mas mantém vulnerabilidades ocultas até que sejam exploradas. A questão que se levanta é por que essas falhas não são detectadas nas revisões.
Modelos treinados em grandes volumes de código aprendem padrões que incluem práticas inseguras. Muitas vezes, o código gerado parece seguir boas práticas e é bem organizado, mas pode conter falhas sutis, como falta de rate limiting e sanitização inadequada.
A pressão por prazos curtos agrava essa situação, tornando mais fácil a passagem despercebida de problemas em revisões superficiais. O código pode parecer profissional ou replicar estruturas mal projetadas que foram utilizadas para treinar os modelos.
Com a geração rápida de código, proliferam microserviços, APIs e scripts que carecem de padronização. Além disso, as mesmas ferramentas usadas para desenvolvimento podem ser exploradas por equipes mal-intencionadas em busca de vulnerabilidades.
Velocidade contra segurança
A promessa do vibe coding é reduzir o tempo de desenvolvimento de semanas para horas. No entanto, essa agilidade traz um custo que se manifesta mais tarde, sob a forma de uma dívida técnica crescente.
A empresa pode experimentar um aumento inicial na produtividade, mas a falta de controles adequados resulta em custos de correção que aumentam exponencialmente. Muitas organizações buscam ajuda para lidar com essa dívida técnica após a sua acumulação.
A segurança não pode acompanhar o ritmo acelerado da geração de código. Ela requer revisão, testes, validação e governança, processos que demandam tempo e atenção.
Governança antes do prompt
Considero o vibe coding como uma ferramenta de prototipação rápida, e não como um substituto para uma engenharia bem estruturada. A chave é que a inteligência artificial deve acelerar a execução, mas não deve substituir o planejamento arquitetônico e o pensamento crítico. Se a ideia não for bem formulada, será difícil criar uma sequência de prompts que leve ao sucesso do projeto.
O mercado parece mais consciente das oportunidades do que dos riscos envolvidos. Há uma busca legítima por eficiência, mas muitas vezes a discussão sobre segurança ocorre apenas após um incidente ou auditoria.
Esse padrão se repete até mesmo em setores historicamente mais regulados. Apesar de uma maior maturidade em áreas como finanças e saúde, a pressão por velocidade ainda é significativa. O problema não reside na adoção da inteligência artificial em si, mas na percepção dela como uma solução mágica, sem a devida governança necessária.
