45% do código gerado por IA tem falhas de segurança — o risco invisível do vibe coding que pode derrubar seu negócio

Em março de 2026, uma startup vazou 1,5 milhão de chaves de API e 35 mil emails de usuários. O culpado? Um app construído inteiramente com vibe coding — e uma chave de API deixada exposta no JavaScript client-side. Ninguém revisou. A IA gerou, o fundador publicou, e o banco de dados inteiro ficou acessível para qualquer pessoa na internet.

Isso não é um caso isolado. É o padrão.

45% do código gerado por IA falha em testes de segurança básicos. Isso significa que quase metade do que a IA escreve para você pode estar expondo seu negócio agora mesmo.

O que é vibe coding e por que ele chegou com tanta força

Vibe coding é a prática de construir software descrevendo o que você quer em linguagem natural para uma IA — sem escrever código manualmente, sem entender arquitetura, sem revisar o que a máquina produz. O nome surgiu popularizado por Andrej Karpathy, ex-diretor de IA da Tesla, e virou febre em 2025.

A promessa é real: qualquer pessoa pode criar um app funcional em horas. Empreendedores sem formação técnica estão lançando SaaS, MVPs e ferramentas internas a uma velocidade impossível há dois anos. Isso tem valor.

O problema começa quando “funciona” vira o único critério de sucesso.

Os números que ninguém está contando para você

Enquanto o mercado celebra a democratização do desenvolvimento, os dados de segurança contam uma história diferente:

• 45% do código gerado por IA falha em testes de segurança, segundo pesquisa da Veracode — com taxas específicas de 86% de falha em proteção contra XSS, 20% em SQL Injection e 14% gerando falhas criptográficas diretas.
• Código gerado por IA contém 2,74x mais vulnerabilidades do que código escrito por humanos, na mesma pesquisa.
• 53% das equipes que implementaram código de IA em produção encontraram problemas de segurança que passaram pela revisão inicial sem ser detectados, segundo levantamento da Autonoma.
• Uma análise de 5.600 apps gerados por IA encontrou 2.000+ vulnerabilidades, 400+ secrets expostos e 175 instâncias de dados pessoais vazados.

Esses números não são sobre desenvolvedores seniores usando GitHub Copilot. São sobre o vibe coding que está sendo promovido como “qualquer um pode criar software”.

O caso Moltbook: quando a teoria vira prejuízo real

O Moltbook foi um dos casos mais documentados de 2026. O app, construído inteiramente via vibe coding, expôs dados de usuários por dois motivos simples: a chave de API do Supabase estava hardcoded no JavaScript acessível pelo navegador, e o Row Level Security — a camada de controle de acesso do banco de dados — estava desabilitado.

A IA gerou código que funcionava. O dashboard abria, os dados carregavam, os usuários conseguiam usar o produto. Funcionou perfeitamente — até que alguém abriu o DevTools e viu a chave de API exposta no código-fonte.

Com uma chave de admin do Supabase, qualquer pessoa tinha acesso irrestrito a todo o banco. 1,5 milhão de chaves de API de terceiros. 35 mil emails. Mensagens privadas. O fundador não sabia o que estava expondo porque a IA nunca avisou.

Esse é o problema central do vibe coding em produção: a IA gera código que funciona, não código que é seguro.

Por que a IA não resolve isso sozinha

Os modelos de linguagem são treinados para produzir código que funciona. Segurança é uma propriedade diferente de funcionalidade — e frequentemente invisível no momento da geração.

Quando você pede para uma IA “criar um formulário de login”, ela vai gerar um formulário funcional. Ela não vai, por padrão:

• Implementar rate limiting para prevenir ataques de força bruta
• Sanitizar inputs contra SQL Injection e XSS
• Verificar se você está armazenando senhas com hash adequado
• Alertar que você está deixando uma chave de API em variável de ambiente errada
• Configurar as políticas de controle de acesso do banco de dados

Scanners estáticos de código também não resolvem o problema inteiro: eles detectam vulnerabilidades de padrão, mas não falhas de lógica de negócio, autorizações incorretas ou configurações de infraestrutura — que são exatamente os erros mais comuns em vibe coding.

O perfil de quem está mais exposto

Não estamos falando de empresas Fortune 500 com time de segurança. Estamos falando do empreendedor que lançou uma ferramenta SaaS para gerenciar clientes da sua consultoria. Do criador de conteúdo que construiu um site de membros para monetizar sua audiência. Da agência que criou um painel interno para os clientes acompanharem projetos.

Esses negócios têm em comum:

• Dados de clientes (emails, informações de contato, às vezes dados de pagamento)
• Integrações com APIs de terceiros (Stripe, Google, plataformas de automação)
• Código em produção que nunca passou por uma auditoria de segurança
• Um fundador que não sabe o que não sabe sobre segurança

O risco não é teórico. Uma falha de segurança nesse contexto pode significar perda de dados de clientes, violação da LGPD, destruição de reputação e, em alguns casos, responsabilidade legal.

O caminho seguro para quem usa IA para criar software

Nós não defendemos parar de usar IA para criar produtos. Defendemos usar com inteligência. Estes são os passos não negociáveis:

1. Nunca coloque secrets no código — API keys, senhas e tokens sempre em variáveis de ambiente, nunca hardcoded. Peça explicitamente para a IA mostrar como configurar as variáveis de ambiente da sua plataforma de hospedagem.
2. Habilite controles de acesso no banco de dados — Se estiver usando Supabase, Firebase ou qualquer BaaS, verifique as políticas de Row Level Security antes de colocar qualquer dado de usuário em produção.
3. Use um scanner de vulnerabilidades básico — Ferramentas como Snyk (plano gratuito disponível) ou o próprio GitHub Dependabot detectam vulnerabilidades conhecidas em dependências. Não substitui auditoria, mas captura os erros mais óbvios.
4. Peça para a IA revisar o código com foco em segurança — Existe uma diferença enorme entre “crie uma autenticação” e “crie uma autenticação segura e liste os vetores de ataque que preciso considerar”. A qualidade da instrução muda o output.
5. Antes de ir para produção com dados reais, consulte alguém técnico — Uma hora de revisão com um desenvolvedor experiente antes do lançamento pode evitar meses de consequências depois.

O que isso significa para o seu negócio

Vibe coding vai continuar crescendo. Os modelos vão melhorar. Em algum momento, a IA provavelmente vai gerar código mais seguro por padrão. Mas esse momento ainda não chegou — e enquanto não chega, quem está construindo produtos com dados de clientes precisa tomar decisões conscientes.

A questão não é se você deveria usar IA para criar software. A questão é: você sabe o que está em risco quando faz isso sem as salvaguardas certas?

Na Posicionamento Digital, nós usamos IA extensivamente para criar sistemas internos e automações. E exatamente por isso nós conhecemos os riscos de perto. O objetivo deste post não é criar medo — é criar consciência. Porque a diferença entre um app seguro e um app que vaza dados dos seus clientes, muitas vezes, é um detalhe de configuração que a IA gerou errado e ninguém checou.

Se você tem um app ou ferramenta em produção feita com vibe coding, reserve um tempo esta semana para verificar: tem algum secret hardcoded no código? Os controles de acesso do banco estão configurados? Alguém técnico já revisou o que está exposto?

Perguntas frequentes sobre segurança em vibe coding

Vibe coding é seguro para usar em produção?

Depende de como é usado. Código gerado por IA pode ser seguro se revisado adequadamente, com configurações corretas de controle de acesso e gestão de secrets. O problema não é a IA em si, mas usar o output sem revisão de segurança quando há dados de usuários envolvidos.

Qual é o maior risco de segurança no vibe coding?

Os principais riscos são: secrets hardcoded no código (API keys, senhas), controles de acesso mal configurados em bancos de dados, ausência de sanitização de inputs e dependências com vulnerabilidades conhecidas. O caso Moltbook ilustra como uma chave de API exposta pode dar acesso completo ao banco de dados de produção.

Como proteger um app feito com vibe coding?

Os passos essenciais são: usar variáveis de ambiente para todos os secrets, habilitar Row Level Security se usar Supabase/Firebase, usar um scanner como Snyk para dependências vulneráveis, e solicitar explicitamente para a IA listar os vetores de ataque antes de publicar em produção.

A LGPD se aplica a apps feitos com vibe coding?

Sim. A forma como o código foi gerado não altera as obrigações legais. Se seu app coleta, processa ou armazena dados pessoais de brasileiros, a LGPD se aplica integralmente — incluindo as obrigações de segurança e as penalidades por vazamento.

A IA vai resolver esses problemas de segurança sozinha no futuro?

Os modelos estão melhorando em segurança, mas ainda não geram código seguro por padrão de forma confiável. Pesquisas de 2025-2026 mostram que 45% do código de IA falha em testes básicos de segurança. Por enquanto, a revisão humana (ou com ferramentas especializadas) ainda é necessária para aplicações em produção com dados reais.

Fontes: Infosecurity Magazine — Moltbook data exposure (2026) · Veracode — AI-Generated Code Security Risks · Autonoma — Vibe Coding Security Risks

---

Leia também

• GEO para profissionais liberais: como coaches, corretores e fotógrafos aparecem (ou somem) nas respostas do ChatGPT
• O dia que o Claude Code quebrou meu SaaS: bastidores reais da construção de um produto com IA
• Claude Managed Agents chegou: o que mudou na prática e o que ninguém está explicando sobre o custo real