Vibe coding é a nova tendência. Talvez você já tenha visto isso por aí:
- Um vendedor cria sua própria ferramenta com IA.
- Um designer envia alterações de UI diretamente para o GitHub.
- Uma equipe de marketing escreve software de campanha em vez de renovar um contrato com um fornecedor.
Como Steve Yegge disse no podcast The Pragmatic Engineer, a IA abriu as portas. O código não vem mais apenas de desenvolvedores. Qualquer um com um prompt pode lançar um aplicativo. A maioria das pessoas que fazem isso nem sabe que está fazendo vibe coding. Elas estão apenas descrevendo o que querem em inglês simples e deixando a IA gerar o código. Essa mudança alterou quem constrói software e a velocidade com que ele é lançado. Essa velocidade é empolgante, mas também vem com um problema sério. A maior parte desse código está rodando às cegas, sem revisões, sem testes e sem segurança.
O que é Vibe Coding?
Vibe coding é quando você descreve o que deseja em inglês simples e permite que uma IA gere o código para você. Plataformas como Lovable, Windsurf e Replit se apresentam como permitindo que qualquer pessoa vá de uma ideia a um aplicativo em horas. Parece mágica porque você não precisa de sintaxe técnica ou treinamento formal. Você apenas diz o que quer, copia e cola, executa e vê se funciona.
É rápido e sem atrito, e é por isso que se espalhou para fora das equipes de engenharia. Designers, profissionais de marketing e equipes de vendas agora podem lançar aplicativos ou recursos sem esperar pelos desenvolvedores.
O problema é que o vibe coding prioriza a saída em detrimento da segurança. Na maioria das vezes, não há revisões, testes ou segurança incorporados. É aí que os problemas começam.
Quando o Vibe Fica Azedo
Há vários exemplos de vibe coding que deram errado:
- Incidente Replit: Jason Lemkin, da SaaStr, confiou no agente de IA da Replit para construir um aplicativo de nível de produção. No início, foi empolgante: protótipos em horas, verificações de QA, progresso rápido. Então as coisas desandaram. A IA começou a mentir sobre testes unitários, ignorou os code freezes e, eventualmente, excluiu todo o banco de dados de produção da SaaStr. Meses de registros executivos cuidadosamente selecionados desapareceram da noite para o dia. Como Lemkin disse à ZDNet, “não se pode sobrescrever um banco de dados de produção. Não, nunca, jamais.”
- Aplicativo Tea: rotas de administração deixadas desbloqueadas, expondo dados de usuários a qualquer um que encontrasse o endpoint. O que parecia um experimento divertido rapidamente se tornou um passivo de privacidade de dados.
Uma proporção considerável de aplicativos construídos por desenvolvedores amadores contém vulnerabilidades sérias antes mesmo de serem lançados; se você testasse dez aplicativos construídos dessa forma, as chances são de que pelo menos um seria hackeável.
Essas falhas importam porque as falhas de segurança em aplicativos desenvolvidos com vibe coding não são apenas bugs menores. Elas frequentemente envolvem proteções essenciais como autenticação, acesso a dados e gerenciamento de Secrets. Se um aplicativo lida com pagamentos ou dados pessoais, as consequências não são apenas técnicas. Elas são financeiras, regulatórias e de reputação.
Mackenzie Jackson, developer advocate na Aikido Security, afirma categoricamente:
“A IA não escreve código seguro por padrão. Ela apenas gera algo que funciona. Por baixo do capô, pode estar totalmente aberta a ataques.”
Por Que Isso Se Espalha Rápido
A principal diferença com o vibe coding é que todos estão fazendo isso agora. Designers, PMs, equipes de vendas e marketing estão todos entregando código. Os atacantes não se importam se é um projeto paralelo ou um software empresarial. Eles só se importam se a porta está destrancada.
A velocidade é uma vantagem, mas também um problema. Um aplicativo que antes levava semanas agora pode ser construído em uma tarde. Isso significa que uma equipe inteira pode criar protótipos e ferramentas sem esperar pela engenharia. O problema é que nenhum desses novos desenvolvedores está pensando em controles de acesso, sanitização de entrada ou atualizações de dependências.
Willem Delbare, Fundador e CTO da Aikido, descreveu essa mudança à ZDNet como uma tempestade perfeita:
“O vibe coding torna o desenvolvimento de software mais acessível, mas também cria uma tempestade perfeita de riscos de segurança que nem mesmo desenvolvedores experientes estão equipados para lidar. Injeções de SQL, path traversal, Secrets hardcoded.”
Mackenzie Jackson alerta que isso vai piorar. Como ele disse à TechMonitor:
“Mais pessoas sem uma forte formação em engenharia ou segurança estão usando essas ferramentas para construir software… o que significa que teremos ainda mais código gerado por IA que ninguém realmente analisou com cuidado.”
É assim que o vibe coding acaba se tornando o que Mackenzie chama de “vulnerabilidade como serviço”. Quanto mais rápido mãos inexperientes lançam aplicativos com IA, mais rápido os buracos de segurança se multiplicam pela web.
Protegendo o Vibe Coding
Já publicamos um Checklist de Segurança para Vibe Coders para quem está desenvolvendo. Isso cobre o básico: autenticação, sanitização de entrada, varredura e gerenciamento de Secrets.
Mas o ponto principal aqui é a conscientização. Se você está experimentando com codificação por IA, ou se sua equipe está, você precisa reconhecer que o protótipo brilhante que você lança em uma tarde também pode ser a porta dos fundos que permite a entrada de atacantes.
O que as equipes podem fazer?
- Trate o código de IA como se um desenvolvedor júnior o tivesse escrito: revise, teste e proteja-o.
- Terceirize a autenticação para serviços construídos para isso, em vez de desenvolver o seu próprio.
- Mantenha os Secrets fora do frontend e dos repositórios.
- Não apenas execute varreduras. Pense de fato em falhas de lógica.
Parece óbvio, mas a maioria dos vibe coders não está fazendo isso. É por isso que a segurança precisa fazer parte da conversa, mesmo para funções fora da engenharia.
O Que é Agentic Coding?
Agentic coding é o passo além do vibe coding. Em vez de você pedir snippets a uma IA e colá-los, os agentes de IA assumem o processo de escrever, executar e modificar código automaticamente. Eles podem instalar dependências, executar testes, refatorar arquivos e até mesmo atualizar a infraestrutura.
Essa abordagem é mais utilizada por desenvolvedores e equipes técnicas do que por usuários casuais, o que a torna aparentemente mais confiável. O problema é que essa confiança é equivocada. A codificação agentic cria um código mais limpo e com aparência mais profissional, mas essa aparência esconde os riscos.
A Codificação Agentic Aumenta o Nível
Enquanto a vibe coding frequentemente cria um código bagunçado e obviamente frágil, a codificação agentic produz um código que parece impecável. Isso faz parte do perigo. Uma única decisão equivocada pode se espalhar por todo um sistema e se propagar por dependências e ambientes antes que alguém perceba.
Ferramentas de IA estão produzindo mais desse código mais rápido do que nunca, e nada disso é, por padrão, consciente da segurança. Código limpo é mais fácil de implantar e reutilizar, o que significa que as vulnerabilidades se espalham silenciosa e rapidamente.
A única forma de controlar o risco é identificar os erros antes que entrem em produção. Isso significa integrar-se diretamente aos pipelines de CI/CD, escanear cada dependência e validar suposições com feedback imediato.
O Que os CISOs Precisam Considerar
Para líderes de segurança, a vibe coding não é apenas uma tendência de desenvolvedores. Ela está mudando a forma como o software é construído em toda a organização. O trabalho do CISO está se deslocando de impor barreiras para projetar guardrails que permitam às pessoas experimentar sem derrubar a produção.
Algumas ideias-chave para se basear:
- MTTG (Tempo Médio para Orientação)
Métricas tradicionais como MTTD e MTTR medem o que acontece depois que as coisas dão errado. O MTTG mede a rapidez com que os vibe coders obtêm orientação acionável antes que seu código se torne uma vulnerabilidade. Quanto menor o MTTG, menos incidentes se materializam. - PromptBOMs
Pense em SBOMs, mas para código de IA. Um registro simples do modelo, prompt e parâmetros que geraram um trecho. Se algo quebrar, você sabe de onde veio e por quê. Proveniência equivale a responsabilidade. - Níveis de Garantia de Vibe-Coding (VCAL 0–5)
Como os níveis de direção autônoma, mas para codificação assistida por IA. VCAL-1 significa que a IA está apenas sugerindo. VCAL-3 adiciona guardrails e captura de proveniência. VCAL-5 são merges totalmente autônomos para mudanças de baixo risco com atestação contínua. A estrutura oferece aos CISOs uma maneira de calibrar as expectativas em vez de reagir cegamente.
A lição: não tente ensinar a cada funcionário a “fazer segurança”. Em vez disso, entregue uma UX de segurança que seja invisível, incorporada e escalonada para a forma como as pessoas estão realmente construindo com IA.
Conclusão
A vibe coding não vai desaparecer. O código está sendo escrito na velocidade da IA por pessoas dentro e fora da engenharia. Se você não planejar a segurança, não estará apenas se movendo rápido, mas também espalhando vulnerabilidades na mesma velocidade.
As vibes são boas. Apenas não se esqueça da verificação de segurança.
Quer os passos práticos? Leia o Checklist de Segurança para Vibe Coders.
