Vibe coding sob o microscópio: o que a análise estática encontra em projetos de AI
A equipe da PVS-Studio começou a analisar projetos feitos com vibe coding — aqueles mesmos que vão “mudar o mundo”. O analisador estático encontra desreferencia
Vibe coding é uma tendência onde desenvolvedores usam IA para gerar código sem entender profundamente os detalhes de implementação. O time do PVS-Studio começou a analisar sistematicamente tais projetos usando ferramentas de análise estática — e os primeiros resultados se provaram surpreendentemente interessantes.
O que é Código Vibe
O termo 'vibe coding' foi popularizado por Andrej Karpathy no início de 2025. Ele descreveu uma abordagem onde um desenvolvedor declara uma intenção, a IA escreve o código — e o programador aceita o resultado sem mergulhar nos detalhes de implementação. A velocidade de criação de MVP com essa abordagem aumentou dramaticamente: projetos que costumavam levar meses agora surgem em fins de semana.
Foi precisamente tais repositórios 'revolucionários' — com afirmações ousadas e MVPs rápidos — que chamaram a atenção do PVS-Studio. O time começou a selecionar sistematicamente projetos públicos codificados com vibe e executá-los através de um analisador estático. O problema é que velocidade de geração e qualidade de código são coisas diferentes.
Modelos de IA são bons em reproduzir padrões dos dados de treinamento, mas não entendem lógica de negócio, casos extremos e invariantes de um projeto específico. O que funciona em uma demonstração não necessariamente funciona sob carga.
O que o Analisador Encontra
PVS-Studio é uma das ferramentas de análise estática mais antigas para C, C++, C# e Java. Os achados típicos em projetos codificados com vibe formam um padrão previsível:
- Dereferência de ponteiro nulo — o código assume que um objeto sempre existe sem verificar casos extremos
- Variáveis não utilizadas e código morto — a IA gera ramos 'de backup' da lógica que nunca executam
- Comparar uma variável consigo mesma — um erro de digitação clássico em instruções condicionais
- Contradições lógicas — uma condição que ou nunca executa ou é sempre verdadeira
- Vazamentos de recursos — descritores de arquivo abertos e conexões de rede sem fechamento
Notavelmente: muitos desses erros não se manifestam no 'caminho feliz' — o que é exatamente por que projetos codificados com vibe parecem funcionais em demos mas quebram na primeira situação não padrão em produção.
Por que Isso é um Problema Sistêmico
Assistentes de IA são treinados em código do GitHub — e o GitHub contém uma quantidade enorme de código de qualidade variável. Os modelos reproduzem padrões estabelecidos mas carecem de um mecanismo para verificar correção em um contexto específico: eles não sabem sobre invariantes comerciais, comportamento esperado sob carga, ou requisitos de segurança.
'Vibe coding é quando você se rende completamente à IA,' — o próprio
Karpathy descreveu a abordagem.
Isso não significa que o método é inútil. O vibe coding funciona muito bem para protótipos, scripts descartáveis e templates de UI. Mas quando uma 'startup que vai mudar o mundo' é construída em tal código, um analisador estático se transforma de uma opção em uma necessidade. Um risco adicional: um desenvolvedor 'viber' muitas vezes não entende o código gerado profundamente o suficiente para avaliar adequadamente os achados do analisador. O aviso existe, mas o que fazer com ele é pouco claro. Isso cria uma ilusão de controle: rodar a análise, obter uma lista, ignorar — e prosseguir.
O que Isso Significa
O vibe coding reduziu a barreira de entrada para desenvolvimento — e isso é bom. Mas não elevou automaticamente o padrão de qualidade do código. A análise estática permanece um filtro que separa 'funciona no meu laptop' de 'pronto para produção'. As equipes que levam seus projetos codificados com vibe a sério devem adicionar CI com um analisador o quanto antes — antes que a dívida técnica se torne o principal produto.