A popularização do vibe coding, técnica de desenvolvimento de software baseada estritamente em comandos de voz ou texto via inteligência artificial, resultou em uma onda crítica de vazamentos de dados nesta quinta-feira (07/05). Relatórios de segurança indicam que milhares de aplicativos criados por usuários sem treinamento técnico estão expondo informações privadas, incluindo registros médicos e credenciais financeiras, em plataformas como Replit, Lovable e Bolt.new.
Falhas estruturais e exposição de segredos
O problema central reside na forma como ferramentas de IA geram código para desenvolvedores casuais. Pesquisadores da RedAccess identificaram que muitos desses sistemas inserem chaves de API, senhas de bancos de dados e tokens de autenticação diretamente no código-fonte público ou em pacotes de interface (frontend) acessíveis por qualquer navegador. Sem o conhecimento de práticas básicas de segurança, como o uso de variáveis de ambiente, os criadores acabam publicando ferramentas internas com acesso total a dados corporativos sensíveis.
Um estudo recente conduzido pela consultoria VibeEval analisou mais de 1.500 aplicações geradas por agentes de inteligência artificial em 2026. Os resultados são alarmantes: cerca de 81% dos projetos ativos apresentavam pelo menos uma vulnerabilidade de severidade alta ou crítica. Entre as falhas mais comuns estão:
- Exposição de chaves Supabase e Firebase: Credenciais com privilégios administrativos encontradas em arquivos JavaScript públicos.
- Vulnerabilidades BOLA: Falhas de autorização que permitem que um usuário acesse dados de outros clientes apenas alterando o ID na URL.
- Histórico de chats público: Logs de interação com a IA que contêm senhas reais coladas pelos usuários durante o processo de depuração.
- Segredos hardcoded: Tokens da OpenAI e Stripe inseridos diretamente no corpo das funções geradas pela máquina.
O impacto do desenvolvimento sem supervisão
Para Dor Zvi, pesquisador de segurança da RedAccess, as organizações estão criando seus próprios pontos de entrada para ataques cibernéticos ao permitir o uso indiscriminado dessas ferramentas. O fenômeno do vibe coding permite que funcionários de setores como marketing ou finanças construam soluções complexas em minutos, ignorando ciclos de revisão de segurança que são padrão no desenvolvimento tradicional. Isso cria uma camada de tecnologia invisível para os departamentos de TI, dificultando o monitoramento de possíveis brechas.
O caso mais emblemático envolve a plataforma Lovable, que enfrentou uma exposição crítica de dados por 48 dias antes de uma correção parcial. Um erro na gestão de permissões da API permitiu que contas gratuitas visualizassem o código-fonte e bancos de dados de projetos de terceiros, incluindo painéis de administração de organizações sem fins lucrativos e startups de biotecnologia. A falha expôs nomes, cargos e perfis de profissionais de grandes consultorias globais que utilizavam a ferramenta para prototipagem rápida.
Equilíbrio entre velocidade e proteção
Apesar dos ganhos de produtividade, que chegam a ser 5 vezes superiores ao método de escrita manual de código, a falta de camadas de abstração segura torna o uso de vibe coding arriscado para dados de produção. Especialistas recomendam que plataformas de IA implementem varreduras automáticas de segredos antes da publicação de qualquer URL. Atualmente, a responsabilidade de manter o aplicativo privado recai inteiramente sobre o criador, que muitas vezes não compreende a diferença entre uma aplicação local e uma hospedada na nuvem.
Para mitigar esses riscos, empresas de cibersegurança sugerem a adoção de gateways de IA que filtrem informações sensíveis antes que elas cheguem aos modelos de linguagem. O uso de ferramentas de varredura externa para identificar segredos em repositórios públicos e pacotes de frontend também se tornou essencial. O incidente reforça que, embora a inteligência artificial possa escrever a sintaxe, ela ainda não possui a capacidade de avaliar o contexto de segurança e a conformidade com regulações de privacidade de dados.
O encerramento de acessos indevidos e a expiração de chaves expostas são as medidas imediatas que desenvolvedores devem adotar. Para usuários corporativos, o caminho envolve integrar o desenvolvimento assistido por IA em pipelines de segurança controlados, garantindo que o fluxo criativo não comprometa a integridade dos ativos digitais da instituição.
