Vibe coding virou risco? Apps criados com IA estão expondo dados privados na web

O vibe coding virou uma das tendências mais fortes da tecnologia: em vez de escrever cada linha de código manualmente, o usuário descreve o que quer em linguagem natural e a inteligência artificial cria telas, banco de dados, integrações e até publica o aplicativo na web.

Essa facilidade abriu portas para criadores, pequenas empresas, times de marketing, equipes internas e pessoas sem formação em programação. Mas uma investigação recente acendeu um alerta sério: muitos apps criados com IA foram publicados sem autenticação adequada, expondo informações que deveriam estar protegidas.

Segundo reportagens da WIRED e da Axios, pesquisadores da empresa de segurança RedAccess encontraram milhares de aplicações públicas criadas com ferramentas como Lovable, Replit, Base44 e Netlify. Parte delas expunha dados sensíveis, documentos internos, registros médicos, informações financeiras, conversas de clientes e até painéis administrativos.

O que é vibe coding?

Vibe coding é o uso de IA para criar aplicativos, sites e sistemas a partir de prompts. Em vez de começar abrindo um editor de código, o usuário escreve algo como: “crie um painel para controlar pedidos”, “monte um sistema de agendamento” ou “faça um app para gerenciar clientes”.

A partir daí, a IA pode gerar código, páginas, botões, formulários, tabelas, banco de dados e integrações com serviços externos. Em algumas plataformas, o usuário também consegue publicar o app com poucos cliques.

A prática ficou popular porque permite prototipar ideias rapidamente. Uma pessoa consegue transformar uma ideia em algo visual e funcional em minutos. O ponto crítico é que criar algo funcional não significa criar algo seguro.

O que aconteceu?

A RedAccess analisou aplicações públicas feitas com plataformas de IA para desenvolvimento e encontrou um volume grande de apps acessíveis pela internet. A WIRED reportou mais de 5 mil web apps com pouca ou nenhuma segurança ou autenticação. O pesquisador Dor Zvi afirmou que perto de 2 mil pareciam revelar dados privados após análise mais cuidadosa.

A Axios, usando outro recorte da mesma investigação, informou que a RedAccess encontrou cerca de 380 mil ativos publicamente acessíveis, incluindo milhares com dados corporativos sensíveis. Entre os exemplos verificados ou descritos nas reportagens estavam informações médicas, dados financeiros, documentos internos, registros de atendimento, dados pessoais, conversas de clientes e detalhes operacionais de empresas.

Em alguns casos, o problema parecia simples: bastava encontrar o link público para acessar dados que deveriam exigir login real, autorização por perfil ou bloqueio completo. Alguns apps tinham barreiras fracas, como pedir qualquer e-mail, mas sem validar se a pessoa realmente tinha permissão para ver aquelas informações.

As empresas citadas responderam de formas diferentes. Replit, Lovable e Base44/Wix argumentaram, em linhas gerais, que usuários têm opções de configuração de privacidade e segurança; Lovable disse estar investigando relatos de dados expostos e phishing; Netlify não respondeu às reportagens citadas. Ou seja: a discussão não é apenas “a plataforma falhou” ou “o usuário errou”. O ponto central é que a combinação de publicação rápida, pouca revisão técnica e padrões mal compreendidos criou um risco real.

Por que isso é perigoso?

Um app sem proteção adequada pode transformar um teste interno em um vazamento de dados. O risco cresce quando o aplicativo usa dados reais, conecta APIs, salva informações de clientes ou fica indexado por buscadores.

• Vazamento de dados pessoais: nomes, e-mails, telefones, endereços, documentos, conversas e preferências podem ficar acessíveis.
• Exposição de informações corporativas: planilhas, estratégias, dados de vendas, relatórios e documentos internos podem aparecer fora da empresa.
• Risco jurídico: no Brasil, a LGPD impõe regras para o tratamento de dados pessoais e protege direitos de privacidade. Dados de saúde, por exemplo, exigem cuidado reforçado.
• Golpes e phishing: criminosos podem usar apps expostos, dados reais ou páginas falsas para enganar usuários.
• Uso indevido de dados médicos, financeiros ou escolares: esse tipo de informação pode causar danos concretos quando cai em mãos erradas.
• Dano à reputação: empresas e criadores podem perder confiança, clientes e contratos após um incidente público.

A culpa é da IA?

A resposta curta é: não completamente. A IA pode gerar código inseguro, incompleto ou otimista demais, especialmente quando o prompt não pede autenticação, autorização e proteção de dados. Mas o maior problema está no uso sem revisão técnica.

Muitos usuários publicam apps sem entender conceitos como autenticação real, controle de acesso, permissões de banco de dados, variáveis de ambiente, chaves de API, logs e separação entre ambiente de teste e produção. Para uma pessoa sem experiência, se o app abriu no navegador e “funcionou”, ele pode parecer pronto.

Esse é o perigo. Em segurança, “funcionou” não significa “está seguro”. Um botão de login pode ser apenas visual. Um painel pode parecer privado, mas continuar acessível por URL direta. Uma API pode retornar dados mesmo quando a tela tenta esconder o conteúdo.

As ferramentas de IA deveriam ter mais alertas, padrões seguros por padrão e verificações antes do deploy. Ao mesmo tempo, usuários precisam entender que publicar um sistema na web exige responsabilidade técnica.

Principais erros em apps criados por vibe coding

Os problemas relatados nas investigações se conectam a falhas clássicas de segurança. A OWASP, referência internacional em segurança de aplicações web, coloca controle de acesso quebrado e má configuração de segurança entre os riscos mais importantes para aplicações modernas.

• Banco de dados público: tabelas ou coleções acessíveis sem regras adequadas de leitura e escrita.
• Falta de autenticação: páginas internas abertas para qualquer pessoa com o link.
• Login falso ou apenas visual: a interface pede e-mail ou senha, mas o servidor não valida permissões de verdade.
• API keys expostas no código: chaves de serviços externos colocadas no frontend ou em repositórios públicos.
• Arquivos .env enviados para repositórios: senhas, tokens e credenciais acabam versionados junto com o projeto.
• Permissões abertas demais: qualquer usuário consegue ler, editar ou apagar dados que não deveria acessar.
• Painéis administrativos sem proteção: rotas como /admin ficam abertas ou protegidas apenas por aparência.
• Uso de dados reais em ambiente de teste: protótipos feitos para demonstração acabam usando informações de clientes, pacientes ou alunos.
• Logs com informações sensíveis: mensagens de erro e registros internos mostram nomes, documentos, tokens ou conversas.
• Deploy automático sem revisão: o app vai para produção sem teste de segurança, sem revisão humana e sem política de acesso.

Vibe coding é ruim?

Não. Vibe coding pode ser excelente para protótipos, MVPs, aprendizado e validação rápida de ideias. Ele reduz barreiras de entrada, acelera experimentos e ajuda pequenas empresas ou criadores a transformar ideias em interfaces funcionais.

O problema começa quando um protótipo vira sistema real sem passar por engenharia de software. Aplicativos com inteligência artificial podem acelerar muito a construção, mas não substituem arquitetura, segurança, revisão de código, controle de permissões e monitoramento.

A melhor forma de enxergar o vibe coding é como uma ferramenta poderosa de aceleração, não como licença para ignorar boas práticas. IA ajuda a construir, mas segurança ainda precisa ser desenhada, testada e verificada.

Como criar apps com IA de forma mais segura

Quem usa IA programação para criar apps precisa adotar uma regra simples: antes de publicar, trate o projeto como se qualquer pessoa pudesse tentar acessá-lo. Porque, na web aberta, isso é exatamente o que pode acontecer.

• Nunca use dados reais em testes públicos: use dados fictícios até o app estar validado.
• Crie autenticação real antes de publicar: não confie em telas de login sem validação no servidor.
• Verifique permissões do banco de dados: leitura e escrita devem ser restritas ao usuário correto.
• Não deixe API keys no código: chaves devem ficar em variáveis de ambiente ou cofres de segredo.
• Use variáveis de ambiente corretamente: arquivos .env não devem ir para repositórios públicos.
• Revise regras de acesso: garanta que usuários comuns não acessem dados de administradores.
• Teste páginas privadas sem login: abra rotas diretamente em uma aba anônima.
• Rode ferramentas de análise de segurança: scanners ajudam a encontrar segredos, dependências vulneráveis e configurações fracas.
• Peça para a IA revisar vulnerabilidades: isso ajuda, mas não substitui revisão humana.
• Tenha revisão técnica antes de colocar no ar: especialmente se houver clientes, pacientes, alunos, pagamentos ou dados corporativos.

Checklist rápido antes de publicar um app criado com IA

Antes de clicar em “deploy”, responda honestamente:

• O app exige login real?
• O banco de dados está protegido?
• Existe alguma API key no código?
• Os dados de teste são fictícios?
• O painel administrativo está bloqueado?
• As páginas privadas não aparecem no Google?
• Os arquivos .env estão fora do repositório?
• As permissões foram revisadas?
• Os logs não mostram dados pessoais?
• Alguém com conhecimento técnico revisou o projeto?

Se a resposta for “não sei” para qualquer item, o app ainda não deveria estar público com dados reais.

O impacto para empresas

O caso também mostra um problema maior: funcionários podem criar apps internos sem autorização formal, fora do ciclo tradicional de TI. Isso é conhecido como shadow IT. Quando envolve ferramentas de IA, também entra no campo do shadow AI.

O risco é que dados corporativos sejam copiados para ferramentas externas, protótipos sejam publicados em domínios públicos e sistemas improvisados passem a operar como se fossem aplicações oficiais. A empresa pode nem saber que aquele app existe até que ele apareça em um buscador ou em uma investigação de segurança.

Bloquear tudo raramente resolve. O caminho mais realista é criar políticas claras, ambientes seguros para experimentação, treinamento básico de segurança e revisão rápida para projetos que saem do protótipo. Empresas precisam reconhecer que seus funcionários vão usar IA para construir ferramentas; a questão é se isso vai acontecer com governança ou no improviso.

Conclusão

O vibe coding não deve desaparecer. Pelo contrário: a tendência é crescer. Criar aplicativos com inteligência artificial é rápido, acessível e útil para muita gente. O problema é que a mesma velocidade que democratiza o desenvolvimento também democratiza o risco de publicar sistemas inseguros.

A próxima fase precisa ser menos sobre “criar rápido” e mais sobre “criar com segurança”. Apps criados com IA podem ser úteis, mas qualquer projeto com dados reais precisa de autenticação, controle de acesso, revisão técnica e monitoramento.

Você já testou vibe coding? Teria coragem de publicar um app criado por IA sem uma revisão técnica antes? Compartilhe esta análise com quem está criando projetos com IA e ainda trata deploy como se fosse apenas um botão.

Fontes

• WIRED — Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web
• Axios — AI vibe-coding apps leak sensitive data
• OWASP Top 10:2025 — Broken Access Control
• ANPD — Do que trata a LGPD