Vibe Coding: A Facilidade Que Abre Portas Para Vazamento de Dados na Web
Um estudo recente aponta para um risco crescente na internet: cerca de 5 mil aplicativos web, desenvolvidos com o auxílio de ferramentas de vibe coding, estão acessíveis publicamente sem as devidas proteções de segurança. Esses aplicativos, criados com inteligência artificial generativa a partir de simples comandos de voz, podem expor informações altamente sensíveis.
A descoberta, realizada pela empresa israelense de cibersegurança RedAccess, analisou mais de 380 mil programas públicos. A análise revelou que uma parcela significativa desses apps, aproximadamente 40%, contém dados que vão desde informações médicas e financeiras até detalhes corporativos e estratégicos, devido à falta de barreiras de segurança robustas ou autenticação adequada.
O fenômeno do vibe coding, que permite a criação de softwares sem a necessidade de conhecimento aprofundado em codificação, tem democratizado o desenvolvimento. No entanto, essa facilidade parece vir acompanhada de um descuido alarmante, conforme divulgado pelo site Axios e reportado pela Wired. A responsabilidade pela exposição desses dados tem sido atribuída aos criadores dos aplicativos pelas próprias plataformas de vibe coding.
O Que Está em Risco com a Falta de Segurança em Vibe Coding
A vulnerabilidade desses aplicativos se manifesta de diversas formas preocupantes. A RedAccess identificou a exposição de conversas entre pacientes e instituições de saúde infantil, além de dados de triagem de consumidores de empresas de segurança. Em casos mais pessoais, planos de férias de casais, com detalhes de reservas, também foram encontrados desprotegidos.
No âmbito corporativo, a situação é igualmente alarmante. Informações financeiras internas de um banco brasileiro, detalhes de embarcações esperadas em portos por uma empresa de logística e dados de ensaios clínicos ativos de uma empresa de saúde no Reino Unido foram alguns dos exemplos verificados. Conversas completas de atendimento ao cliente de uma empresa de móveis também foram expostas.
Um hospital teve resumos de conversas entre médicos e pacientes, escalas de funcionários e reclamações de clientes acessíveis, enquanto um aplicativo escolar continha registros de aulas, dados de estudantes e horários de professores. Essa ampla gama de informações sensíveis expostas demonstra a urgência em abordar as falhas de segurança inerentes a essas novas ferramentas de desenvolvimento.
A Responsabilidade das Plataformas e dos Criadores de Vibe Coding
Diante da descoberta, as plataformas de vibe coding, como Replit, Lovable e Base44 (pertencente à Wix), afirmam que a decisão de tornar um aplicativo público é de inteira responsabilidade de quem o desenvolveu. Amjad Masad, CEO da Replit, expressou preocupação com o curto prazo de aviso recebido da RedAccess antes da divulgação pública dos achados.
A Lovable declarou estar investigando os incidentes, mas ressaltou a falta de detalhes técnicos e URLs fornecidos pela RedAccess. A Wix e a Base44 também mencionaram não ter recebido uma lista específica de aplicativos problemáticos. A Netlify, outra plataforma citada, não respondeu aos questionamentos da publicação.
A análise da RedAccess sugere que muitas empresas estão mantendo seus aplicativos hospedados nos próprios domínios dos serviços de desenvolvimento, facilitando a descoberta por meio de buscas convencionais. Isso indica uma falta de supervisão e controle adequados sobre as ferramentas criadas por seus funcionários, um ponto crucial para a segurança de dados na era do vibe coding.
O Impacto e as Consequências do Vibe Coding Desprotegido
O pesquisador de segurança da RedAccess, Dor Zvi, enfatiza que o descuido das organizações ao desenvolver e publicar aplicativos com vibe coding está diretamente contribuindo para o vazamento de seus próprios dados. A facilidade de criação, aliada à ausência de protocolos de segurança rigorosos, cria um ambiente propício para ataques e exposição indevida de informações.
A falta de autenticação, ou a presença de proteções mínimas como a solicitação de um endereço de e-mail, não são suficientes para barrar o acesso a dados críticos. A capacidade de qualquer pessoa, mesmo sem conhecimento técnico avançado, de criar e potencialmente expor aplicações, exige uma reavaliação urgente das práticas de segurança no desenvolvimento de software com auxílio de IA.
A situação ressalta a importância de as empresas implementarem políticas claras de governança e segurança para o uso de ferramentas de vibe coding, garantindo que o desenvolvimento rápido de aplicações não comprometa a privacidade e a confidencialidade dos dados.