Assim como você provavelmente não cultiva e tritura trigo para fazer a farinha do seu pão, a maioria dos desenvolvedores de software também não escreve todas as linhas de código de um projeto do zero.
Essa abordagem seria extremamente lenta e poderia gerar mais problemas de segurança do que soluções.
Por isso, os desenvolvedores costumam utilizar bibliotecas existentes — muitas vezes projetos open source — para integrar componentes básicos de software de forma ágil.
Embora eficiente, esse método pode aumentar a exposição e reduzir a visibilidade sobre a real composição do software.
Hoje, um fenômeno emergente chamado vibe coding tem sido adotado de modo similar.
Ele permite que desenvolvedores criem rapidamente códigos que podem ser adaptados, em vez de serem redigidos totalmente do zero.
No entanto, especialistas em segurança alertam que essa nova modalidade de código plug-and-play torna a segurança da cadeia de suprimentos de software ainda mais complexa e arriscada.
“Estamos chegando a um ponto em que a IA está prestes a perder seu período de indulgência em relação à segurança”, explica Alex Zenla, CTO da empresa de segurança em nuvem Edera.
“A IA se torna seu pior inimigo quando gera código inseguro. Se ela foi treinada, em parte, com softwares antigos, vulneráveis ou de baixa qualidade, todas as vulnerabilidades anteriores podem reaparecer e ser reintroduzidas, sem falar nos novos problemas que podem surgir.”
Além de absorver dados de treinamento potencialmente inseguros, a essência do vibe coding é gerar um rascunho inicial de código que nem sempre leva em conta todo o contexto e as especificidades de um produto ou serviço.
Ou seja, mesmo que uma empresa treine um modelo local com o código-fonte do projeto e uma descrição em linguagem natural dos objetivos, o processo final ainda depende da capacidade dos revisores humanos para detectar falhas ou incongruências no código gerado pela IA.
“As equipes de engenharia precisam repensar o ciclo de desenvolvimento na era do vibe coding”, ressalta Eran Kinsbruner, pesquisador da empresa de segurança de aplicações Checkmarx.
“Se você pedir para o mesmo modelo LLM escrever para seu código-fonte específico, a cada execução ele gera uma saída ligeiramente diferente. Assim, um desenvolvedor da equipe pode receber um resultado, enquanto outro terá uma versão distinta — o que adiciona uma complicação além das que já enfrentamos com open source.”
Em uma pesquisa da Checkmarx com diretores de segurança da informação, gerentes de segurança de aplicações e líderes de desenvolvimento, um terço dos entrevistados revelou que mais de 60% do código produzido em suas organizações em 2024 foi gerado por IA.
Contudo, apenas 18% afirmaram possuir uma lista oficial de ferramentas aprovadas para vibe coding.
A pesquisa, aplicada a milhares de profissionais e divulgada em agosto, também destacou que o uso da IA dificulta o rastreamento da “propriedade” do código.
Projetos open source podem ser naturalmente inseguros, desatualizados ou vulneráveis a manipulações maliciosas.
Frequentemente, são incorporados às bases de código sem documentação adequada ou transparência.
No entanto, pesquisadores apontam que muitos dos mecanismos fundamentais de segurança e responsabilidade que sempre existiram no open source estão ausentes ou fragmentados no desenvolvimento orientado por IA.
Esse cenário revela um desafio crescente para a indústria: equilibrar a agilidade e produtividade proporcionadas pela IA e pelo vibe coding com a necessidade crítica de garantir códigos seguros, confiáveis e auditáveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...