A inteligência artificial está a transformar profundamente a forma como se criam produtos digitais. Hoje, qualquer pessoa consegue desenvolver um site, uma aplicação ou um chatbot em poucas horas – basta descrever o que pretende e deixar que a IA escreva o código. A esta abordagem dá-se o nome de vibe coding.
À primeira vista, parece uma evolução natural e até inevitável. No entanto, existe um problema relevante que muitas empresas ainda estão a subestimar: a velocidade com que se constrói não garante, de forma alguma, que se esteja a construir bem.
O que é Vibe Coding?
O termo foi popularizado pelo investigador de IA Andrej Karpathy para descrever a prática de construir software de forma fluida e intuitiva com recurso a agentes de IA — descrevendo o que se quer em linguagem natural e deixando a IA gerar o código.
É rápido, acessível e está a democratizar o desenvolvimento de software como nunca antes. O problema? Os agentes de IA estão otimizados para fazer o código funcionar, não para o tornar seguro.
O perigo invisível
Um exemplo recente envolveu a plataforma Moltbook, uma rede social gerida por agentes de IA, que acabou por expor cerca de 1,5 milhões de chaves de API e 35 mil endereços de email de utilizadores. A falha foi identificada pela empresa de cibersegurança Wiz. Não houve qualquer ataque sofisticado. A origem do problema foi simplesmente uma má configuração e código gerado sem a devida revisão. Ou seja, a aplicação funcionava – mas nunca foi verdadeiramente segura.
Investigação conduzida por equipas académicas, incluindo a Universidade de Columbia, reforça esta preocupação. Os resultados mostram que equipas que recorrem intensivamente a ferramentas de IA podem produzir um número significativamente superior de vulnerabilidades quando comparadas com abordagens tradicionais. Isto acontece porque os modelos são otimizados para resolver problemas rapidamente, e não para avaliar as implicações de segurança no contexto global de um sistema.
Porque é que isto acontece
Uma das principais limitações está na falta de contexto. A IA trabalha frequentemente sobre partes isoladas do código e pode corrigir um problema específico enquanto introduz outro noutro ponto da aplicação.
Além disso, estes sistemas não “compreendem” verdadeiramente o código – limitam-se a prever padrões com base nos dados com que foram treinados. Não sabem porque é que uma determinada validação existe, nem reconhecem que removê-la pode abrir portas a ataques.
Para a IA, uma barreira de segurança pode parecer apenas um obstáculo técnico a ultrapassar. Na prática, isto traduz-se em erros relativamente comuns, mas potencialmente graves:
- Chaves de API expostas no código
- Bases de dados com acesso público
- Vulnerabilidades como XSS por falta de validação
A ilusão da rapidez
Criar um site em horas pode parecer uma vantagem competitiva. Mas, muitas vezes, significa que:
- Não houve validação;
- Não houve controlo de qualidade;
- Não houve preocupação com segurança.
Ou seja, o que se ganha em velocidade pode perder-se mais tarde – em problemas difíceis de resolver. A inteligência artificial está a mudar a forma como se desenvolve na web, mas ainda não substitui um processo estruturado e cuidadoso.
Um site não é apenas aquilo que se vê. É também tudo aquilo que está por trás – e que garante que nada corre mal. Quando esse cuidado não existe, o risco aumenta. E, muitas vezes, só se percebe quando já é tarde.
Este artigo teve por base o conteúdo do artigo “The Reality of Vibe Coding: AI Agents and the Security Debt Crisis”, publicado no Towards Data Science, bem como outras análises sobre segurança em código gerado por inteligência artificial.
