Vibe coding sob o microscópio: o que a análise estática encontra em projetos de AI

Vibe coding é uma tendência onde desenvolvedores usam IA para gerar código sem entender profundamente os detalhes de implementação. O time do PVS-Studio começou a analisar sistematicamente tais projetos usando ferramentas de análise estática — e os primeiros resultados se provaram surpreendentemente interessantes.

O que é Código Vibe

O termo 'vibe coding' foi popularizado por Andrej Karpathy no início de 2025. Ele descreveu uma abordagem onde um desenvolvedor declara uma intenção, a IA escreve o código — e o programador aceita o resultado sem mergulhar nos detalhes de implementação. A velocidade de criação de MVP com essa abordagem aumentou dramaticamente: projetos que costumavam levar meses agora surgem em fins de semana.

Foi precisamente tais repositórios 'revolucionários' — com afirmações ousadas e MVPs rápidos — que chamaram a atenção do PVS-Studio. O time começou a selecionar sistematicamente projetos públicos codificados com vibe e executá-los através de um analisador estático. O problema é que velocidade de geração e qualidade de código são coisas diferentes.

Modelos de IA são bons em reproduzir padrões dos dados de treinamento, mas não entendem lógica de negócio, casos extremos e invariantes de um projeto específico. O que funciona em uma demonstração não necessariamente funciona sob carga.

O que o Analisador Encontra

PVS-Studio é uma das ferramentas de análise estática mais antigas para C, C++, C# e Java. Os achados típicos em projetos codificados com vibe formam um padrão previsível:

• Dereferência de ponteiro nulo — o código assume que um objeto sempre existe sem verificar casos extremos
• Variáveis não utilizadas e código morto — a IA gera ramos 'de backup' da lógica que nunca executam
• Comparar uma variável consigo mesma — um erro de digitação clássico em instruções condicionais
• Contradições lógicas — uma condição que ou nunca executa ou é sempre verdadeira
• Vazamentos de recursos — descritores de arquivo abertos e conexões de rede sem fechamento

Notavelmente: muitos desses erros não se manifestam no 'caminho feliz' — o que é exatamente por que projetos codificados com vibe parecem funcionais em demos mas quebram na primeira situação não padrão em produção.

Por que Isso é um Problema Sistêmico

Assistentes de IA são treinados em código do GitHub — e o GitHub contém uma quantidade enorme de código de qualidade variável. Os modelos reproduzem padrões estabelecidos mas carecem de um mecanismo para verificar correção em um contexto específico: eles não sabem sobre invariantes comerciais, comportamento esperado sob carga, ou requisitos de segurança.

'Vibe coding é quando você se rende completamente à IA,' — o próprio

Karpathy descreveu a abordagem.

Isso não significa que o método é inútil. O vibe coding funciona muito bem para protótipos, scripts descartáveis e templates de UI. Mas quando uma 'startup que vai mudar o mundo' é construída em tal código, um analisador estático se transforma de uma opção em uma necessidade. Um risco adicional: um desenvolvedor 'viber' muitas vezes não entende o código gerado profundamente o suficiente para avaliar adequadamente os achados do analisador. O aviso existe, mas o que fazer com ele é pouco claro. Isso cria uma ilusão de controle: rodar a análise, obter uma lista, ignorar — e prosseguir.

O que Isso Significa

O vibe coding reduziu a barreira de entrada para desenvolvimento — e isso é bom. Mas não elevou automaticamente o padrão de qualidade do código. A análise estática permanece um filtro que separa 'funciona no meu laptop' de 'pronto para produção'. As equipes que levam seus projetos codificados com vibe a sério devem adicionar CI com um analisador o quanto antes — antes que a dívida técnica se torne o principal produto.