Por Gabriel Valentim
Uma inteligência artificial escreve milhares de linhas de código em minutos, o sistema entra em produção, os usuários acessam, os dados trafegam e ninguém percebe que a porta dos fundos ficou aberta. Esse cenário se tornou rotina nas auditorias que conduzi em 2025. Como engenheiro da computação, conheço bem o gatilho por trás de quase todos esses casos.
A prática que permite criar software a partir de descrições em linguagem natural, sem escrever uma linha de código manualmente, conhecida como vibe coding, chegou às equipes de empresas brasileiras antes de qualquer protocolo de segurança estar pronto para recebê-la.
Resumidamente, o resultado é a criação de software por meio de linguagem natural, alcançado através da utilização dos Large Language Models (LLMs), que conseguem produzir código por meio de descrições não detalhadas. Isso permite que pessoas não técnicas construam ferramentas que antes apenas desenvolvedores conseguiriam. A democratização é real. O problema é que ela veio desacompanhada de qualquer cultura de segurança.
O termo foi cunhado pelo pesquisador Andrej Karpathy, ex-cofundador da OpenAI, no início de 2025. Em poucos meses, a prática saiu dos laboratórios e chegou às equipes de produto, marketing e operações de empresas que nunca haviam cogitado manter um desenvolvedor no quadro. A velocidade da adoção não veio acompanhada de uma conversa igualmente urgente sobre o que pode dar errado.
A falha que parece certa
O maior risco que vejo na prática é a introdução silenciosa de vulnerabilidades clássicas como injeção de SQL, validação insuficiente de input, exposição indevida de credenciais, tratamento incorreto de autenticação e autorização, além de dependências inseguras ou mal configuradas. Em projetos que auditamos, já encontrei casos de lógica de permissão invertida, endpoints expostos sem autenticação e uso incorreto de metodologias e padrões de software.
O problema não está na IA errar de forma grosseira, mas em errar de forma plausível. O código compila, roda e entrega valor, mantendo a vulnerabilidade latente até que alguém a explore. Se o código parece funcionar, a pergunta seguinte é por que os revisores não identificam as falhas.
Modelos treinados em grandes volumes de código aprendem padrões comuns, e código comum inclui código inseguro. Muitas vezes, o código gerado segue boas práticas aparentes, com nomes corretos e organização limpa, mas carrega falhas sutis de segurança, como ausência de rate limiting, falta de sanitização profunda ou má aplicação das regras de negócio.
A pressão de prazo transforma esse cenário num terreno ainda mais fértil para erros. Em revisões superficiais, principalmente sob pressão de prazo, esses problemas passam despercebidos porque o código parece profissional ou porque replica uma estrutura mal desenhada ou desatualizada que foi utilizada para o treinamento do modelo em uso.
Quando a geração é massiva e rápida, proliferam microserviços, APIs e scripts pouco padronizados ou com integrações ainda inconsistentes. Sem contar que a mesma ferramenta utilizada para o desenvolvimento pode ser utilizada por times com foco em invasão para descobrir as vulnerabilidades produzidas por aquele modelo.
Leia mais: Nutanix aposta em IA agêntica e soberania digital no .NEXT 2026
Velocidade contra segurança
A promessa central do vibe coding é comprimir em horas o que levaria semanas de desenvolvimento convencional. Na prática das empresas, essa equação tem um custo que aparece mais tarde.
O conflito se manifesta como uma dívida técnica acelerada. A empresa experimenta um ganho inicial enorme de produtividade, mas sem guardrails, o custo de correção cresce exponencialmente depois. Nos procuram para ajudar na redução desse débito técnico ou mesmo na erradicação dele.
A natureza do processo de segurança não permite o mesmo ritmo da geração de código. Segurança exige revisão, testes, validação, logging e governança, que exige tempo devido à sua natureza delicada.
Governança antes do prompt
Avalio o vibe coding como camada de prototipação acelerada, nunca como substituto de engenharia estruturada. O segredo é que a IA acelere a execução, mas não substitua o desenho arquitetural e o pensamento crítico. Se a ideia não está bem desenhada mentalmente, dificilmente haverá uma cadeia de prompts consistentes que faça o projeto ter sucesso em seu lançamento.
De forma geral, o mercado está muito mais consciente da oportunidade do que do risco. Existe uma corrida legítima por eficiência, mas em muitos casos a discussão de segurança é reativa, ou seja, só acontece após incidente ou auditoria.
O padrão se repete mesmo nos setores historicamente mais regulados. Nas conversas que tenho com clientes, vejo maturidade maior em setores como financeiro e saúde, mas mesmo nesses ambientes há pressão por velocidade. A adoção de IA não é o problema. O problema é tratá-la como mágica e não como tecnologia que precisa de governança.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
