Em 2017, o maior vetor de vazamento de dados em empresas de tecnologia era o bucket S3 público esquecido por um desenvolvedor. Em 2026, a indústria está repetindo o mesmo erro — desta vez com código gerado por IA que vai direto para produção sem revisão de segurança adequada. O VentureBeat já batizou o fenômeno: “shadow AI is the new S3 bucket crisis.” Se você tem equipes usando ferramentas de vibe coding, este artigo é para você.
Os números que revelam um problema sistêmico
A escala do problema ficou visível quando a Escape.tech escaneou 5.600 aplicações publicamente disponíveis criadas com vibe coding em outubro de 2025. O resultado: mais de 2.000 vulnerabilidades de alto impacto, mais de 400 segredos expostos (chaves de API, tokens de acesso) e 175 instâncias de exposição de dados pessoais — incluindo prontuários médicos e números de contas bancárias. Não são aplicações experimentais. São sistemas em produção.
A Veracode aprofundou a análise de 470 pull requests no GitHub e encontrou que código gerado por IA produz vulnerabilidades XSS em 2,74 vezes a taxa do código humano. Para Log Injection, o índice chega a 88% das amostras. Uma avaliação do primeiro trimestre de 2026 de mais de 200 aplicações de vibe coding revelou que 91,5% continham ao menos uma vulnerabilidade atribuível a alucinação do modelo.
No Brasil, o cenário não é diferente. Segundo o IT Forum, 45% das empresas de médio porte investiram em soluções low-code/no-code em 2023 — e 37% dessas empresas relataram incidentes de segurança causados por configurações incorretas e monitoramento inadequado.
O caso que a indústria não consegue ignorar: CVE-2025-48757
Em 2025, o pesquisador Taimur Khan encontrou 16 vulnerabilidades — 6 críticas — em um aplicativo em destaque na plataforma Lovable, criado com vibe coding e integrado ao Supabase. A falha: ausência de políticas de Row-Level Security, com queries ignorando completamente os controles de acesso. Resultado: 18.697 registros de usuários expostos, incluindo alunos da UC Berkeley e UC Davis.
O que tornaria esse caso apenas mais um CVE se transformou em estudo de caso quando o relatório ficou aberto por 48 dias sem escalonamento. Mais de 170 aplicações de produção estavam expostas durante esse período. A falha não estava no modelo de IA — estava na ausência de processo de revisão de segurança para código gerado por IA.
A dívida técnica que cresce no silêncio
O problema não é pontual. Os CVEs diretamente atribuídos a código gerado por IA saltaram de 6 em janeiro de 2026 para 15 em fevereiro e 35 em março — uma curva de crescimento que acompanha a adoção acelerada das ferramentas. Segundo o The New Stack, 87% das empresas Fortune 500 já adotaram ao menos uma plataforma de vibe coding — mas entre as organizações que reportaram brechas, 97% não tinham controles de acesso adequados e 63% não possuíam nenhuma política de governança de IA.
A velocidade de adoção está superando a capacidade das equipes de segurança de acompanhar. O código gerado por IA entra nas bases de código sem que os revisores saibam distingui-lo — e as ferramentas SAST tradicionais não foram calibradas para os padrões de erro específicos dos modelos de linguagem.
Como equipes de engenharia líderes estão respondendo
A resposta da indústria está se consolidando em torno de três frentes:
- SAST shift-left para código IA: O LinkedIn reconstruiu seu pipeline de análise estática com GitHub Actions + CodeQL + Semgrep, tornando a varredura de segurança obrigatória para todos os repositórios — incluindo código gerado por ferramentas de IA. Detalhes técnicos no InfoQ (fevereiro de 2026).
- Revisão automática específica para IA: Em março de 2026, a Anthropic lançou o Claude Code Security — uma ferramenta que varre toda a base de código em busca de SQL injection, XSS, falhas de autenticação e manipulação insegura de dados, rodando como uma camada separada da revisão lógica de código.
- Políticas de governança de IA: Empresas maduras estão criando políticas explícitas sobre quais partes do código podem ser geradas por IA sem revisão humana, quais exigem revisão sênior e quais são proibidas de usar geração assistida.
O checklist mínimo para equipes que usam vibe coding
Você não precisa abandonar as ferramentas — precisa criar o envelope de segurança ao redor delas. Um checklist mínimo para começar agora:
- Ative varredura automática de segredos no repositório (GitHub Secret Scanning, GitGuardian ou equivalente)
- Adicione CodeQL ou Semgrep ao pipeline de CI para rodar em todo pull request que inclua código gerado por IA
- Defina política explícita: quais componentes permitem geração IA sem revisão de segurança? Spoiler: nenhum que toque dados de usuário ou sistemas externos
- Treine revisores para identificar padrões comuns de falha em código IA: autenticação invertida, ausência de RLS, chaves hardcoded, ausência de sanitização de inputs
- Implemente revisão de dependências: ferramentas de IA frequentemente sugerem pacotes que não existem (AI package hallucination) — e atacantes já registram esses pacotes com código malicioso
Vibe coding não é o problema — governança ausente é
As ferramentas de IA para desenvolvimento são genuinamente produtivas. O problema não é o código gerado — é a ausência do envelope de segurança ao redor dele. Equipes que tratarem governança de código IA como infraestrutura obrigatória, e não como burocracia opcional, vão colher os benefícios de velocidade sem acumular a dívida de segurança que está esperando para explodir nas demais. A Luby pode apoiar sua equipe na construção desse framework — entre em contato com nosso time de desenvolvimento seguro e consultoria de IA.