Nos últimos meses, uma sequência de casos chamou atenção de quem acompanha tecnologia: plataformas inteiras, criadas com auxílio de inteligência artificial, sendo expostas publicamente por falhas básicas de segurança.
O termo para essa forma de criar software é vibe coding, que significa programar descrevendo o que se quer em linguagem natural e deixando a inteligência artificial gerar o código. É rápido, é acessível, e está permitindo que pessoas sem nenhuma formação técnica criem sites, aplicativos e sistemas completos em poucos minutos.
O problema é que essa facilidade trouxe um efeito colateral perigoso, que qualquer lojista, profissional liberal ou infoprodutor que pensa em “criar o próprio site com IA” precisa entender antes de colocar dados de clientes em risco.
O que é vibe coding, em termos simples
Vibe coding é uma forma de desenvolvimento de software em que qualquer pessoa pode criar aplicativos usando apenas comandos em linguagem natural, sem precisar saber programar.
Você digita algo como “crie um site com formulário de cadastro de clientes” e ferramentas como Lovable, Replit, Base44 ou Bolt.new geram o código completo, publicam e deixam o sistema funcionando, tudo em minutos.
A democratização é real. Pessoas que nunca tocaram em uma linha de código agora conseguem colocar um site no ar sozinhas. O problema é que essa democratização chegou desacompanhada de qualquer cultura de segurança.
O tamanho real do problema, com números
Esse não é um caso isolado nem um exagero. Os dados são de uma investigação recente e mostram a escala do problema.
Uma empresa israelense de cibersegurança chamada RedAccess analisou 380 mil aplicativos web criados com ferramentas populares de inteligência artificial, como Lovable, Replit, Base44 e Netlify. Do total analisado, cerca de 5 mil aplicativos praticamente não tinham nenhuma barreira de autenticação ou segurança. Em muitos casos, bastava ter o link para acessar todo o conteúdo, sem senha, sem login, sem nenhuma proteção.
O dado mais alarmante: 40% desses aplicativos expõem informações sensíveis, incluindo dados médicos, financeiros, corporativos e estratégicos.
E não eram dados genéricos ou de teste. Entre os sistemas encontrados publicamente acessíveis estavam informações financeiras internas de um banco brasileiro, registros de ensaios clínicos de uma empresa de saúde no Reino Unido, conversas completas de pacientes com uma instituição de saúde infantil, e escalas de funcionários de hospitais.
Qualquer pessoa com acesso a um navegador comum, sem nenhum conhecimento técnico avançado, conseguia ver esses dados.
O caso que expôs o problema em larga escala: a falha na Lovable
O exemplo mais emblemático recente envolveu a Lovable, uma das plataformas mais populares de vibe coding, avaliada em mais de 6 bilhões de dólares.
Em abril de 2026, um pesquisador independente publicou uma denúncia detalhada sobre uma vulnerabilidade crítica do tipo BOLA, sigla para Broken Object Level Authorization. Em termos simples, essa falha ocorre quando o sistema não verifica corretamente se o usuário tem permissão para acessar determinada informação. Na prática, bastava trocar um número de identificação dentro do endereço da página para acessar dados de outras pessoas.
A exploração dessa falha não exigia ferramentas sofisticadas nem conhecimento técnico profundo. O impacto, porém, foi gigantesco: a vulnerabilidade expôs código-fonte, credenciais de banco de dados e históricos de conversas de milhares de projetos, incluindo de funcionários de empresas como Nvidia, Microsoft, Uber e Spotify.
O mais grave nesse caso não foi só a falha técnica. A Lovable inicialmente negou que houvesse vazamento, chegando a classificar o relatório do pesquisador como duplicado dentro do próprio sistema de denúncias. Depois de 48 dias sem correção completa, o pesquisador decidiu tornar o caso público. Só então a empresa reconheceu o problema.
Não é um caso isolado: o padrão se repete
Esse tipo de falha não aconteceu só uma vez. Casos parecidos se repetiram em diferentes plataformas de vibe coding nos últimos meses, mostrando que o problema é estrutural, não pontual.
Uma plataforma que se promovia como tendo backend superior a concorrentes estabelecidos foi exposta por falhas básicas de segurança poucos dias após o lançamento. Outra plataforma, voltada para mídia social, sofreu uma violação que expôs 1,5 milhão de tokens de API por causa de um único banco de dados mal configurado. Em outro caso, uma vulnerabilidade permitia que qualquer usuário, mesmo com conta gratuita, acessasse dados privados de outros usuários com poucas requisições simples.
Quando questionadas sobre os casos, as empresas responsáveis pelas plataformas costumam dar a mesma resposta: a decisão de tornar um aplicativo público é de responsabilidade exclusiva de quem o cria. As ferramentas oferecem opções de privacidade e configuração de segurança, mas cabe ao usuário configurar corretamente.
Ou seja, a responsabilidade final recai sobre quem está criando o site ou sistema, mesmo sem ter o conhecimento técnico para saber se configurou tudo da forma correta.
Por que isso importa para lojistas, profissionais liberais e infoprodutores
Se você nunca programou e está pensando em usar ferramentas de IA para criar sozinho seu site, sua loja virtual ou um sistema de cadastro de clientes, esse cenário deveria te preocupar.
Não porque a tecnologia seja ruim. O vibe coding é, de fato, uma ferramenta poderosa e revolucionária. O problema é a falsa sensação de que, por ser fácil de usar, também é seguro por padrão.
Um estudo apontou que aproximadamente 45% do código gerado por inteligência artificial ainda apresenta vulnerabilidades clássicas de segurança, listadas entre as principais categorias de risco reconhecidas internacionalmente. Esse número praticamente não melhorou nos últimos dois anos, mesmo com a evolução das ferramentas de IA.
Para o seu negócio, isso pode significar:
- Dados de clientes (nome, telefone, e-mail, endereço) ficando acessíveis publicamente sem você saber
- Formulários de cadastro sem nenhuma proteção contra acesso indevido
- Sistemas internos, como controle de pedidos ou agendamentos, visíveis para qualquer pessoa com o link
- Risco direto de enquadramento na LGPD, caso dados pessoais de clientes sejam expostos por falha de configuração
A LGPD não faz distinção entre vazamento causado por um hacker sofisticado ou por uma configuração mal feita em uma ferramenta de IA. Se dados pessoais foram expostos, a responsabilidade é de quem coletou e armazenou essas informações, ou seja, do seu negócio.
O vibe coding não é o vilão, a ausência de revisão é
É importante deixar claro: essa não é uma crítica contra usar inteligência artificial no desenvolvimento de software. A questão central, segundo especialistas, não é tratar a IA como mágica, mas sim como tecnologia que precisa de governança.
Profissionais de desenvolvimento já usam IA no dia a dia, inclusive para acelerar entregas. A diferença está em como isso é usado. Quando um desenvolvedor experiente utiliza ferramentas de IA, ele revisa o código gerado, testa as configurações de segurança, verifica permissões de acesso e garante que dados sensíveis estão protegidos antes de qualquer publicação.
Quando uma pessoa sem formação técnica usa a mesma ferramenta, geralmente falta justamente essa camada de revisão. O resultado funciona visualmente, parece pronto, mas pode estar com portas abertas que ninguém percebeu.
O que fazer se você já criou ou está pensando em criar algo com IA
Se você já tem um site, loja virtual ou sistema criado dessa forma, ou está pensando em criar, alguns pontos merecem atenção imediata:
Verifique se dados de clientes exigem login para serem acessados. Se você consegue acessar informações de cadastro só digitando o endereço da página, sem precisar de senha, isso é um sinal de alerta grave.
Confirme se o sistema está indexado pelo Google. Pesquise o nome do seu site ou sistema seguido de termos como “lista de clientes” ou “cadastro”. Se informações privadas aparecerem nos resultados de busca, há uma falha de configuração séria.
Não use senhas ou chaves de API diretamente no código visível. Esse é um dos erros mais comuns em sistemas criados rapidamente com IA, e um dos mais fáceis de explorar por quem tem más intenções.
Tenha um profissional revisando a configuração final. Mesmo que a criação inicial seja feita com IA, ter alguém com conhecimento técnico revisando permissões, autenticação e estrutura de dados antes de publicar reduz drasticamente o risco.
A conclusão prática para quem não é da área de tecnologia
A inteligência artificial democratizou a criação de sites e sistemas, e isso é positivo. Você não precisa mais depender exclusivamente de um desenvolvedor para colocar uma ideia no ar rapidamente.
Mas existe uma diferença grande entre criar algo que funciona visualmente e criar algo que protege de fato os dados das pessoas que confiam o próprio nome, telefone, e-mail ou informações de pagamento ao seu negócio.
Velocidade sem revisão técnica é uma aposta arriscada, principalmente quando o que está em jogo é a confiança do cliente e a conformidade com a LGPD. A tecnologia mudou a forma de criar software. A necessidade de revisão profissional antes de publicar continua exatamente a mesma.
Próximo passo:
Se você criou ou está pensando em criar seu site, loja virtual ou sistema usando ferramentas de IA e quer ter certeza de que os dados dos seus clientes estão protegidos, me chama. Faço uma revisão completa de segurança e configuração antes de você publicar qualquer coisa.
👉 Falar com Wesley no WhatsApp
O que é vibe coding? É uma forma de criar software descrevendo o que se quer em linguagem natural, deixando a inteligência artificial gerar o código completo, sem necessidade de conhecimento técnico em programação.
Vibe coding é seguro para criar um site de negócio? Pode ser, desde que o código gerado passe por revisão técnica antes da publicação. Estudos mostram que uma parcela significativa do código gerado por IA contém falhas de segurança que não são visíveis para quem não tem formação técnica.
Quais dados já foram expostos por falhas em plataformas de vibe coding? Casos documentados incluem informações financeiras de empresas, dados médicos de pacientes, credenciais de acesso e conversas privadas de clientes, expostos por configurações de segurança incorretas em aplicativos criados com inteligência artificial.
Como saber se meu site criado com IA está seguro? Verifique se dados de clientes exigem login para acesso, confirme se informações privadas aparecem em buscas do Google, e idealmente tenha um profissional revisando a configuração de segurança antes de publicar.
Este conteúdo segue nossa Política de Privacidade e Termos de Uso.
