Construtores de aplicativos com AI publicaram milhares de apps com vazamentos de dados

Plataformas como Lovable, Base44, Replit e Netlify usam IA para permitir que qualquer pessoa, mesmo sem habilidades de programação, crie aplicações web totalmente funcionais em segundos. Mas pesquisadores da Wired descobriram uma falha nesta utopia: milhares de aplicações contendo dados confidenciais críticos estão expostos na internet — chaves de API, senhas, tokens de autorização. E ninguém está fazendo nada a respeito.

Como os Construtores de IA Funcionam

Serviços como Lovable e Base44 são construídos em modelos de linguagem grandes como GPT-4. Um desenvolvedor simplesmente descreve o que precisa: "Faça um aplicativo para rastrear despesas com integração Stripe." Em poucos segundos, o sistema gera um componente React completo ou uma aplicação Vue com frontend e lógica. Depois, o projeto pode ser publicado imediatamente via Netlify com um clique ou hospedado no Replit. Isto é revolucionário para a velocidade de desenvolvimento. Normalmente um MVP leva semanas ou meses de trabalho. Aqui — horas, às vezes minutos. Não é surpresa que centenas de milhares de desenvolvedores tenham começado a usar esses serviços.

Escala do Problema

Wired decidiu verificar o que acaba em acesso aberto. Pesquisadores analisaram milhares de aplicações criadas nessas plataformas e publicadas na internet aberta. O resultado foi alarmante: uma porção significativa continha chaves de API, senhas de banco de dados e outros dados confidenciais. Estes não são casos isolados de negligência. Este é um problema sistêmico: as plataformas não têm mecanismos para prevenir vazamentos. Quando o código é gerado automaticamente e publicado com um clique, o processo de análise de segurança simplesmente desaparece.

Quais Dados Vazam

• Chaves de API de serviços de terceiros — OpenAI, Stripe, AWS, Google Cloud, Twilio. Todas estão no código JavaScript do lado do cliente, disponível para download para qualquer pessoa.
• Senhas de banco de dados — credenciais para MongoDB, PostgreSQL, MySQL frequentemente não criptografadas e visíveis no código-fonte da aplicação.
• Tokens de autorização e cookies de sessão — com os quais você pode interceptar contas de outras pessoas.
• Chaves de criptografia privadas — usadas para proteger dados de usuários.
• IDs internos e arquitetura — mesmo que individualmente seguras, juntas revelam a estrutura da aplicação para ataques.

Quando os pesquisadores encontraram essas chaves, conseguiram acessar contas de usuários e dados. Além disso — bots que constantemente varrem a internet em busca de tais vazamentos já estão encontrando-os automaticamente.

Por Que Isso Acontece

A razão principal é simples: a velocidade de desenvolvimento não deixa tempo para segurança. Quando um MVP pode ser criado em 10 minutos, não há revisão de código, não há verificação de vulnerabilidades, não há processo padrão. Em projetos grandes, isto teria sido detectado.

A segunda razão — as próprias plataformas não fazem nada. Elas não alertam o desenvolvedor de que uma chave de API foi encontrada no código. Não há limpeza automática de dados sensíveis.

Nenhuma dica: "Certifique-se de que deletou todas as senhas antes de publicar." Apenas publicar — e pronto. A terceira razão — desenvolvedores não são treinados.

Uma pessoa que não sabia programar ontem está criando uma aplicação com lógica real hoje. Ninguém explicou as regras básicas de segurança para ela.

O Que Isto Significa

Este é um caso clássico de democratização que não correu exatamente bem. As ferramentas realmente permitem que mais pessoas criem. Mas ao mesmo tempo, o campo para erros se expande. Para negócios — se você usa essas plataformas para aplicações em produção, simplesmente criar código não é suficiente. Certifique-se de verificar manualmente quanto a vazamentos antes de publicar. Procure por chaves de API no código-fonte, senhas em configs, dados privados em logs. Para as próprias plataformas — este é um momento crítico. Elas precisam de verificações de segurança integradas, avisos quando chaves são detectadas, talvez até rejeição de publicação. Caso contrário, a reputação sofrerá.