O “vibe coding” — prática de criar aplicativos usando IA generativa sem escrever uma linha de código — explodiu em popularidade. Mas junto com a facilidade de criar software vieram riscos de segurança que a maioria dos criadores casuais está ignorando completamente.
O que deu errado (os casos reais)
Bob Starr criou o “Boomberg”, um site que mostrava quanto dinheiro de impostos americanos vai para empresas de tecnologia. Ele colocou no ar imediatamente após gerar o código com IA. Só meses depois descobriu que o site tinha uma vulnerabilidade de SQL injection que poderia permitir que atacantes lessem ou alterassem dados. “Foi um ponto cego completo no meu processo de aprendizado dessa nova tecnologia”, admitiu Starr.
Jer Crane, fundador da PocketOS, postou no X que um agente de codificação com IA simplesmente destruiu o banco de dados de produção da sua empresa. Joe Procopio, empreendedor serial, criou um app web para demonstrar protótipos privadamente — hackers entraram e ele teve que tirar o app do ar. “Agora faço demos do jeito antigo, pela minha máquina local via Zoom. É tão 2023”, ironizou.
O caso mais grave foi o Moltbook, uma rede social para agentes de IA criada por Matt Schlicht — inteiramente por vibe coding, zero linhas de código manual. Pesquisadores da Wiz descobriram que o banco de dados de produção do app estava totalmente exposto, vazando dezenas de milhares de e-mails e mensagens privadas.
Pesquisadores da Red Access encontraram aproximadamente 5.000 aplicativos publicamente acessíveis construídos com ferramentas populares de vibe coding que não tinham autenticação nenhuma. Quase 2.000 desses apps estavam vazando dados sensíveis como informações médicas, financeiras, documentos estratégicos e logs de conversas com chatbots.
A falsa sensação de segurança
“Meu take geral é que vibe coding não é ruim porque amadores podem construir software. Essa é justamente a parte boa”, diz Gabriel Bernadett-Shapiro, pesquisador da SentinelOne. “O perigo é quando um app pessoal deriva para o território de software empresarial e passa a armazenar dados de outras pessoas sem que ninguém perceba essa transição.”
Jack Cable, CEO da Corridor, concorda: “Vibe coding é ótimo para coisas de baixo risco” — um protótipo, um tracker de exercícios. Mas dados financeiros merecem mais escrutínio, assim como qualquer coisa na internet pública. “Pense no modelo de ameaça. Se você não tem certeza se algo que está fazendo é seguro, melhor prevenir do que remediar.”
A grande armadilha do vibe coding é a autoconfiança artificial. Quando uma ferramenta de IA diz que o código está seguro, é fácil acreditar. Numa sessão típica de vibe coding, nada para automaticamente para verificar segurança — a não ser que você tenha instalado algo especificamente para isso, o que a maioria dos criadores casuais não fez.
As ferramentas que existem (e que ninguém usa)
O Claude Code tem o comando /security-review, mas você precisa invocá-lo manualmente. O Codex da OpenAI tem um agente de segurança embutido (Codex Security), mas ele é voltado para desenvolvedores com fluxos de versionamento reais, não para quem está “conversando” um app e colocando no ar.
Modelos como GPT-5.5-Cyber conseguem avaliar segurança de aplicações e identificar vulnerabilidades que até desenvolvedores experientes poderiam deixar passar. Mas Bernadett-Shapiro alerta: o maior risco não é código bugado gerado por IA — é a falta total de autenticação. É o criador que faz o app rodar localmente e depois joga na nuvem com configurações que não entende, expondo dados sensíveis como quem deixa uma caixa de segredos aberta na calçada.
O que fazer (guia prático)
- Peça revisão de segurança explicitamente: no começo e no fim de cada sessão, peça para a IA revisar o código em busca de vulnerabilidades
- Autenticação é obrigatória: se o app vai para a nuvem ou lida com dados de outras pessoas, implemente autenticação antes de mais nada
- Entenda o modelo de ameaça: o que acontece se esses dados vazarem? Quem poderia atacar?
- Mantenha apps pessoais realmente pessoais: um tracker de enxaqueca roda localmente. Dados de clientes, registros médicos ou informações financeiras exigem outro padrão
- Use as ferramentas disponíveis:
/security-reviewno Claude Code, Codex Security, ou peça para o modelo avaliar vulnerabilidades
A era do “software pessoal” chegou para ficar. Mas entre criar um app em uma tarde e colocá-lo no ar para o mundo, existe um abismo de segurança que nenhum prompt pode pular sozinho.