Agendar Reunião
Código colorido em tela de desenvolvedor — vibe coding e segurança de software

Vibe coding em produção: o novo bug que nenhum revisor viu chegar

por

Jonathas Santos
em

|

Em 2017, o maior vetor de vazamento de dados em empresas de tecnologia era o bucket S3 público esquecido por um desenvolvedor. Em 2026, a indústria está repetindo o mesmo erro — desta vez com código gerado por IA que vai direto para produção sem revisão de segurança adequada. O VentureBeat já batizou o fenômeno: “shadow AI is the new S3 bucket crisis.” Se você tem equipes usando ferramentas de vibe coding, este artigo é para você.

Os números que revelam um problema sistêmico

A escala do problema ficou visível quando a Escape.tech escaneou 5.600 aplicações publicamente disponíveis criadas com vibe coding em outubro de 2025. O resultado: mais de 2.000 vulnerabilidades de alto impacto, mais de 400 segredos expostos (chaves de API, tokens de acesso) e 175 instâncias de exposição de dados pessoais — incluindo prontuários médicos e números de contas bancárias. Não são aplicações experimentais. São sistemas em produção.

A Veracode aprofundou a análise de 470 pull requests no GitHub e encontrou que código gerado por IA produz vulnerabilidades XSS em 2,74 vezes a taxa do código humano. Para Log Injection, o índice chega a 88% das amostras. Uma avaliação do primeiro trimestre de 2026 de mais de 200 aplicações de vibe coding revelou que 91,5% continham ao menos uma vulnerabilidade atribuível a alucinação do modelo.

No Brasil, o cenário não é diferente. Segundo o IT Forum, 45% das empresas de médio porte investiram em soluções low-code/no-code em 2023 — e 37% dessas empresas relataram incidentes de segurança causados por configurações incorretas e monitoramento inadequado.

O caso que a indústria não consegue ignorar: CVE-2025-48757

Em 2025, o pesquisador Taimur Khan encontrou 16 vulnerabilidades — 6 críticas — em um aplicativo em destaque na plataforma Lovable, criado com vibe coding e integrado ao Supabase. A falha: ausência de políticas de Row-Level Security, com queries ignorando completamente os controles de acesso. Resultado: 18.697 registros de usuários expostos, incluindo alunos da UC Berkeley e UC Davis.

O que tornaria esse caso apenas mais um CVE se transformou em estudo de caso quando o relatório ficou aberto por 48 dias sem escalonamento. Mais de 170 aplicações de produção estavam expostas durante esse período. A falha não estava no modelo de IA — estava na ausência de processo de revisão de segurança para código gerado por IA.

A dívida técnica que cresce no silêncio

O problema não é pontual. Os CVEs diretamente atribuídos a código gerado por IA saltaram de 6 em janeiro de 2026 para 15 em fevereiro e 35 em março — uma curva de crescimento que acompanha a adoção acelerada das ferramentas. Segundo o The New Stack, 87% das empresas Fortune 500 já adotaram ao menos uma plataforma de vibe coding — mas entre as organizações que reportaram brechas, 97% não tinham controles de acesso adequados e 63% não possuíam nenhuma política de governança de IA.

A velocidade de adoção está superando a capacidade das equipes de segurança de acompanhar. O código gerado por IA entra nas bases de código sem que os revisores saibam distingui-lo — e as ferramentas SAST tradicionais não foram calibradas para os padrões de erro específicos dos modelos de linguagem.

Como equipes de engenharia líderes estão respondendo

A resposta da indústria está se consolidando em torno de três frentes:

  • SAST shift-left para código IA: O LinkedIn reconstruiu seu pipeline de análise estática com GitHub Actions + CodeQL + Semgrep, tornando a varredura de segurança obrigatória para todos os repositórios — incluindo código gerado por ferramentas de IA. Detalhes técnicos no InfoQ (fevereiro de 2026).
  • Revisão automática específica para IA: Em março de 2026, a Anthropic lançou o Claude Code Security — uma ferramenta que varre toda a base de código em busca de SQL injection, XSS, falhas de autenticação e manipulação insegura de dados, rodando como uma camada separada da revisão lógica de código.
  • Políticas de governança de IA: Empresas maduras estão criando políticas explícitas sobre quais partes do código podem ser geradas por IA sem revisão humana, quais exigem revisão sênior e quais são proibidas de usar geração assistida.

O checklist mínimo para equipes que usam vibe coding

Você não precisa abandonar as ferramentas — precisa criar o envelope de segurança ao redor delas. Um checklist mínimo para começar agora:

  1. Ative varredura automática de segredos no repositório (GitHub Secret Scanning, GitGuardian ou equivalente)
  2. Adicione CodeQL ou Semgrep ao pipeline de CI para rodar em todo pull request que inclua código gerado por IA
  3. Defina política explícita: quais componentes permitem geração IA sem revisão de segurança? Spoiler: nenhum que toque dados de usuário ou sistemas externos
  4. Treine revisores para identificar padrões comuns de falha em código IA: autenticação invertida, ausência de RLS, chaves hardcoded, ausência de sanitização de inputs
  5. Implemente revisão de dependências: ferramentas de IA frequentemente sugerem pacotes que não existem (AI package hallucination) — e atacantes já registram esses pacotes com código malicioso

Vibe coding não é o problema — governança ausente é

As ferramentas de IA para desenvolvimento são genuinamente produtivas. O problema não é o código gerado — é a ausência do envelope de segurança ao redor dele. Equipes que tratarem governança de código IA como infraestrutura obrigatória, e não como burocracia opcional, vão colher os benefícios de velocidade sem acumular a dívida de segurança que está esperando para explodir nas demais. A Luby pode apoiar sua equipe na construção desse framework — entre em contato com nosso time de desenvolvimento seguro e consultoria de IA.