Vulnerabilidades do vibe coding: como sites gerados por AI criam brechas de segurança para hackers

A programação por vibe deu a milhões de pessoas a capacidade de criar aplicações sem conhecimento de programação — basta descrever uma tarefa em linguagem comum e a IA gerará código funcional. É conveniente, rápido e muitas vezes produz resultados excelentes. Mas por trás dessa acessibilidade existe um problema que a maioria dos iniciantes simplesmente não pensa: a IA escreve código funcional — mas nem sempre seguro.

A História de Um Site

Bob Starr, gerente de projeto na indústria de tecnologia, usou programação por vibe para criar o site "Boomberg" — uma ferramenta que mostrava visualmente quanto dinheiro de impostos dos EUA vai para empresas de tecnologia. Ficou satisfeito com o resultado e imediatamente lançou o projeto para acesso público — é assim que funciona a programação por vibe: rápido, da ideia ao produto, sem etapas intermediárias. Apenas alguns meses depois, Starr descobriu um detalhe alarmante: o código continha uma SQL injection. Esta é uma vulnerabilidade clássica onde um atacante pode ler ou modificar dados em um banco de dados simplesmente formulando uma consulta especial. A vulnerabilidade existia desde o início — simplesmente ninguém havia notado.

"Isso foi um lapso claro da minha parte.

Um ponto cego completo ao aprender uma nova tecnologia. E tenho certeza de que outros estão cometendo o mesmo erro", reconheceu Starr em uma conversa com The Verge.

Por Que a IA Deixa Passar Ameaças

As ferramentas de codificação com IA são otimizadas para uma coisa: fazer o código fazer o que é solicitado. Geram resultados funcionais rapidamente — mas a segurança muitas vezes fica em segundo plano ou é completamente ignorada. O problema não está na qualidade da geração. O problema é que um usuário sem experiência em desenvolvimento não sabe que perguntas fazer. Um engenheiro experiente, após escrever código, sempre verificará: como os dados entram nas consultas do banco de dados, quem tem acesso às funções administrativas, nenhum segredo acabou no repositório. Para a maioria dos programadores por vibe, essas questões simplesmente não surgem.

Vulnerabilidades típicas em projetos desenvolvidos por programação por vibe:

• SQL injections — o código não sanitiza a entrada do usuário antes de passá-la ao banco de dados
• Chaves de API expostas — segredos acabam diretamente no código-fonte
• Dependências desatualizadas — uso de bibliotecas com vulnerabilidades conhecidas
• Endpoints desprotegidos — funções administrativas sem verificação de autorização
• Vulnerabilidades XSS — saída de dados insegura no navegador

A Escala Não Deve Ser Subestimada

A programação por vibe há muito tempo deixou o status de nicho. Cursor, GitHub Copilot, Replit e Lovable atraíram dezenas de milhões de usuários, muitos dos quais estão programando pela primeira vez em suas vidas. Alguns desses projetos são experimentos pessoais sem usuários reais. Mas outros já estão funcionando na internet, processando dados reais e abertos para qualquer pessoa. É importante entender: a vulnerabilidade que Starr encontrou não é exótica. SQL injections estão na lista OWASP Top 10 há mais de 15 anos e continuam sendo um dos problemas mais comuns em aplicações web. A IA as reproduz porque foi treinada em código que as continha.

A história de Bob Starr é instrutiva precisamente porque ele não estava tentando pular etapas — ele simplesmente não sabia o que exatamente precisava ser verificado. E esse é o principal risco estrutural da programação por vibe: não a má intenção, mas a ignorância sistêmica.

O Que Isso Significa

A programação por vibe reduz a barreira de entrada no desenvolvimento, mas não remove a responsabilidade pelo que você lança na internet. Se um projeto processa dados de usuários ou é simplesmente acessível da internet — uma auditoria de segurança básica é obrigatória. Pedir à mesma IA para verificar o código em busca de vulnerabilidades, estudar OWASP Top 10 ou enviar o projeto para uma auditoria rápida de um especialista — já é um bom começo.