87% das empresas já usam vibe coding. O risco cresceu na mesma velocidade #LideraSamba
- há 2 dias
- 5 min de leitura
Durante anos, a TI foi o gargalo institucional de qualquer empresa que quisesse testar uma ideia. Uma área de negócio chegava com uma proposta, abria um chamado, esperava meses por aprovação e, quando o projeto finalmente saía do papel, o mercado já tinha mudado de assunto.
O vibe coding promete resolver exatamente isso. Com ferramentas como Cursor, Lovable, Bolt ou Replit Agent, qualquer pessoa descreve o que precisa em linguagem natural e recebe, em minutos, uma aplicação funcional, sem fila, sem dependência técnica, sem meses de espera.
A autonomia que isso gera é real. Áreas de negócio testam hipóteses diretamente, protótipos saem em dias em vez de trimestres, e o volume de experimentação dispara porque o custo de tentar caiu a praticamente zero. Faz sentido que 87% das empresas da Fortune 500 já tenham adotado pelo menos uma plataforma de vibe coding e que a adoção corporativa tenha crescido 340% em um ano.
O problema é que essa fila simplesmente parou de passar pela TI, e o que a torna perigosa é justamente esse desvio de rota: ninguém mais com formação técnica está olhando para o que sai do outro lado.
Quando uma área de negócio publica uma aplicação sem revisão técnica, ela não elimina os riscos que a TI existia para mitigar, ela apenas os move para fora do campo de visão de quem sabe identificá-los.
O resultado é um fenômeno que pesquisadores de segurança vêm chamando de shadow AI: aplicações corporativas funcionais, conectadas a dados reais, rodando em produção, sem que ninguém na organização saiba que elas existem.
A empresa de segurança Red Access encontrou 5.000 aplicações vibe-coded de uso corporativo expostas publicamente na internet, nenhuma delas listada em qualquer inventário de ativos. Não foi necessário explorar vulnerabilidade alguma para acessá-las: bastava saber que existiam.
Os números por trás desse fenômeno são consistentes demais para serem tratados como exceção. O relatório GenAI Code Security 2025 da Veracode, testando mais de cem modelos de linguagem, encontrou vulnerabilidades de segurança em 45% do código gerado por IA. A Cloud Security Alliance chegou a 62%.
Um estudo controlado da Tenzai, publicado em dezembro de 2025, pediu a cinco agentes de codificação diferentes, incluindo Claude Code, Cursor e Devin, que construíssem a mesma funcionalidade de pré-visualização de URL em quinze aplicações. Todos os cinco introduziram uma vulnerabilidade de SSRF que permitia acessar endpoints internos da infraestrutura. Nenhuma das quinze aplicações tinha proteção CSRF. Nenhuma configurou cabeçalhos de segurança básicos.
A consistência desses achados em ferramentas e estudos diferentes descarta a hipótese de que se trata de um modelo específico com defeito pontual: toda essa categoria de tecnologia foi otimizada para gerar código que funciona, e segurança simplesmente não entra na equação de otimização.
Há um detalhe que deveria preocupar qualquer CTO de forma particular: pedir para o modelo iterar sobre o próprio código tende a agravar as vulnerabilidades existentes em vez de eliminá-las. Um experimento controlado publicado pelo IEEE-ISTAS mediu um aumento de 37,6% em vulnerabilidades críticas depois de apenas cinco rodadas de refinamento assistido por IA sobre o mesmo código. A intuição de que pedir para o modelo "revisar e melhorar" o próprio trabalho funciona como uma camada de segurança é, na prática, o oposto do que os dados mostram.
Os casos concretos confirmam o padrão estatístico. Em fevereiro de 2026, um pesquisador encontrou dezesseis falhas em um único aplicativo educacional construído em uma plataforma popular de vibe coding, entre elas uma lógica de autenticação invertida que concedia acesso total a usuários anônimos enquanto bloqueava usuários autenticados. O app expôs 18.697 registros, incluindo 4.538 contas de estudantes de instituições como UC Berkeley e UC Davis, com a probabilidade de menores de idade entre os afetados.
O app Tea, construído majoritariamente com código gerado por IA, vazou mensagens privadas entre usuárias por uma falha de controle de acesso que nunca passou por revisão de segurança humana. O Quittr, que alcançou um milhão de dólares em receita em dez dias e ganhou menção da Oprah, tinha seu banco de dados Firebase publicamente legível, expondo os dados de mais de 39 mil usuários.
Esses incidentes não são curiosidades isoladas de startups inexperientes. Segundo o relatório de Custo de Violação de Dados 2025 da IBM, incidentes de shadow AI custam em média 4,63 milhões de dólares por violação, 670 mil dólares acima da média de violações convencionais. Trinta e dois por cento das organizações atingidas pagaram multas regulatórias, quase metade delas acima de 100 mil dólares. E 63% das empresas que sofreram esse tipo de violação não tinham nenhuma política de governança de IA em vigor no momento do incidente. A correlação entre ausência de governança e magnitude do dano não é sutil: é o eixo central do problema.
Vale separar duas categorias de risco que costumam ser tratadas como sinônimas e não são. A primeira é técnica: SQL injection por concatenação de strings em vez de queries parametrizadas, presente em 34% das aplicações vibe-coded testadas no primeiro trimestre de 2026; segredos e chaves de API expostos diretamente no código-fonte, encontrados em 58% das aplicações auditadas; políticas de CORS liberadas para qualquer origem porque isso "resolve" o erro mais rápido durante o desenvolvimento.
A segunda categoria é organizacional, e é nela que normalmente reside o dano mais difícil de reverter: a perda total de visibilidade sobre o que existe dentro da empresa. Quando a TI deixa de ser o portão de entrada, ela também deixa de ser capaz de responder perguntas básicas, como quantas aplicações conectadas a dados de clientes estão rodando agora, quem é responsável por mantê-las, o que acontece quando a pessoa que as construiu sai da empresa.
Nenhuma dessas evidências sustenta a conclusão de que vibe coding deveria ser banido. Segundo dados da Kiteworks e da UpGuard, 41% dos funcionários encontram formas de contornar ferramentas de IA bloqueadas pela empresa, e 46% afirmam que continuariam usando essas ferramentas mesmo sob proibição formal. Bloquear sem oferecer alternativa não elimina o comportamento, apenas a empurra para fora do alcance de qualquer controle, o que é, ironicamente, o mesmo problema que o vibe coding desgovernado já cria.
A resposta que está funcionando nas organizações mais maduras passa longe de proibições: ela é estrutural, construída em cima de controles técnicos que operam independentemente da disposição de cada funcionário em seguir uma política escrita.
Tratar código gerado por IA com o mesmo padrão de revisão que se aplicaria ao trabalho de um desenvolvedor júnior, sem exceção. Desacoplar os ambientes de desenvolvimento assistido por IA do sistema de arquivos principal do desenvolvedor, usando containers efêmeros que limitam o raio de dano caso um agente seja sequestrado por injeção de prompt. Eliminar por padrão qualquer privilégio administrativo desnecessário concedido a esses agentes, já que um assistente que precisa refatorar um componente de front-end não precisa de acesso root. E, sobretudo, construir mecanismos técnicos de descoberta de shadow AI, porque políticas escritas sem fiscalização têm taxa de eficácia documentada de apenas 17%, segundo a Kiteworks.
A pergunta que separa as empresas que vão lidar bem com essa transição das que vão aparecer na próxima manchete de vazamento de dados já deixou de ser se a organização vai permitir vibe coding, porque essa decisão, na prática, foi tomada pelos próprios funcionários há tempos. A pergunta é se existe alguém com autoridade técnica olhando para o que está sendo construído antes que isso se torne o próximo incidente.
A Sambatech ajuda empresas a transformar essa autonomia em vantagem real, com governança que não trava a velocidade do negócio nem abre mão da segurança que sustenta a confiança dos clientes. Converse com nossos consultores.
Rachel Paranhos CRO
Rachel é CRO da Sambatech, onde lidera a estratégia de crescimento da empresa. Soma mais de 24 anos de experiência em vendas B2B, gestão de canais, expansão comercial e customer success, 16 deles dedicados a tecnologia e SaaS, com passagens por Sólides, Conta Azul e CareerBuilder (EUA). Formada em Administração pela FUMEC, com MBA em Gestão Comercial pela FGV e pós-graduação em Gestão de Negócios pela FDC e Mestranda da mesma instituição. Foi também eleita 3 vezes uma das #50HustlersToFollow pela Gama Academy.







Comentários