Assim como você provavelmente não cultiva e mói trigo para fazer farinha para o seu pão, a maioria dos desenvolvedores de software não escreve cada linha de código em um novo projeto do zero. Fazer isso seria extremamente lento e poderia criar mais problemas de segurança do que resolver. Portanto, os desenvolvedores se baseiam em bibliotecas existentes—frequentemente projetos de código aberto—para colocar vários componentes básicos de software em funcionamento.
Embora essa abordagem seja eficiente, pode criar exposição e falta de visibilidade no software. No entanto, o aumento da vibe coding está sendo utilizado de maneira semelhante, permitindo que os desenvolvedores rapidamente criem código que podem simplesmente adaptar em vez de escrever do zero. Pesquisadores de segurança alertam, no entanto, que esse novo gênero de código plug-and-play está tornando a segurança da cadeia de suprimentos de software ainda mais complicada—e perigosa.
“Estamos atingindo um ponto em que a IA está prestes a perder seu período de graça em termos de segurança”, diz Alex Zenla, diretor de tecnologia da empresa de segurança em nuvem Edera. “E a IA é seu pior inimigo em termos de gerar código que é inseguro. Se a IA está sendo treinada em parte com software antigo, vulnerável ou de baixa qualidade que está disponível por aí, então todas as vulnerabilidades que existiram podem reaparecer e ser introduzidas novamente, sem mencionar novos problemas.”
Além de absorver dados de treinamento potencialmente inseguros, a realidade da vibe coding é que ela produz um rascunho de código que pode não levar em conta todas as considerações e contextos específicos em torno de um determinado produto ou serviço. Em outras palavras, mesmo que uma empresa treine um modelo local no código-fonte de um projeto e em uma descrição em linguagem natural dos objetivos, o processo de produção ainda depende da capacidade dos revisores humanos de identificar qualquer possível falha ou incongruência no código gerado originalmente pela IA.
“Os grupos de engenharia precisam pensar sobre o ciclo de vida do desenvolvimento na era da vibe coding”, diz Eran Kinsbruner, pesquisador da empresa de segurança de aplicativos Checkmarx. “Se você pedir ao mesmo modelo LLM para escrever para seu código-fonte específico, toda vez ele terá uma saída ligeiramente diferente. Um desenvolvedor dentro da equipe gerará uma saída e o outro desenvolvedor obterá uma saída diferente. Portanto, isso introduz uma complicação adicional além do código aberto.”
Em uma pesquisa da Checkmarx com diretores de segurança da informação, gerentes de segurança de aplicativos e chefes de desenvolvimento, um terço dos entrevistados disse que mais de 60% do código de sua organização foi gerado por IA em 2024. Mas apenas 18% dos entrevistados disseram que sua organização tem uma lista de ferramentas aprovadas para vibe coding. A Checkmarx entrevistou milhares de profissionais e publicou os resultados em agosto—enfatizando, também, que o desenvolvimento de IA está tornando mais difícil rastrear a “propriedade” do código.
Projetos de código aberto podem ser inerentemente inseguros, desatualizados ou em risco de tomada maliciosa. E podem ser incorporados em bases de código sem a transparência ou documentação adequadas. Mas os pesquisadores apontam que alguns dos mecanismos de respaldo e responsabilidade fundamentais que sempre existiram no código aberto estão faltando ou severamente fragmentados pelo desenvolvimento impulsionado pela IA.
“O código gerado por IA não é muito transparente”, diz Dan Fernandez, chefe de produtos de IA da Edera. “Em repositórios como o Github, você pode pelo menos ver coisas como pull requests e mensagens de commit para entender quem fez o quê no código, e há uma maneira de rastrear quem contribuiu. Mas com o código de IA, não há a mesma responsabilidade sobre o que entrou nele e se foi auditado por um humano. E linhas de código provenientes de um humano também podem ser parte do problema.”
Zenla, da Edera, também aponta que, embora a vibe coding possa parecer uma maneira de baixo custo para criar aplicativos e ferramentas básicas que poderiam não existir de outra forma para grupos de baixo recurso, como pequenas empresas ou populações vulneráveis, a facilidade de uso vem com o perigo de criar exposição à segurança nessas situações mais em risco e sensíveis.
“Há muita conversa sobre usar IA para ajudar populações vulneráveis, porque usa menos esforço para chegar a algo utilizável”, diz Zenla. “E eu acho que essas ferramentas podem ajudar pessoas necessitadas, mas também acho que as implicações de segurança da vibe coding impactarão desproporcionalmente as pessoas que menos podem arcar com isso.”
Mesmo nas empresas, onde o risco financeiro recai principalmente sobre a empresa, as consequências pessoais de uma vulnerabilidade generalizada introduzida como resultado da vibe coding devem pesar muito.
“O fato é que o material gerado por IA já está começando a existir em bases de código”, diz Jake Williams, ex-hacker da NSA e atual vice-presidente de pesquisa e desenvolvimento da Hunter Strategy. “Podemos aprender com os avanços na segurança da cadeia de suprimentos de software de código aberto—ou simplesmente não aprenderemos, e será péssimo.