Em fevereiro de 2025, Andrej Karpathy nomeou um fenômeno que já vinha acontecendo nas organizações há algum tempo. O Vibe Coding descreve o desenvolvimento de software por meio de linguagem natural, no qual o profissional descreve o que deseja e a inteligência artificial gera o código. E o resultado é velocidade. O problema é que essa velocidade chegou antes da governança.
A adoção dessas ferramentas já é praticamente universal entre desenvolvedores, e o motivo você já sabe: elas reduzem custo e aceleram entregas. Mas existe um lado dessa equação que ainda não chegou aos comitês de risco com a profundidade necessária.
Pesquisas recentes mostram que uma parcela significativa do código gerado por IA carrega vulnerabilidades conhecidas, e o volume de ocorrências de segurança em grandes empresas que adotaram essas ferramentas cresceu de forma acelerada.
O problema não é a ferramenta, mas a ausência de revisão
Modelos de linguagem são treinados para gerar código que funciona, não código que é seguro. Quando o modelo precisa escolher entre uma abordagem segura e uma insegura, ele frequentemente reproduz o padrão mais comum nos dados de treinamento, que nem sempre é o mais seguro.
Isso cria um efeito de amplificação. Um desenvolvedor humano comete erros isolados. Mas um modelo que tem o hábito de gerar, por exemplo, consultas sem parametrização, repete esse padrão em cada módulo onde aquele estilo de prompt for usado, multiplicando a vulnerabilidade por toda a aplicação.
Outro ponto que merece atenção é o chamado slopsquatting. Modelos de IA às vezes recomendam pacotes que não existem. Quando atacantes identificam esses nomes e registram pacotes maliciosos com eles, qualquer pessoa que instalar a dependência sugerida pela IA instala malware sem perceber.
A democratização trouxe um novo tipo de criador de risco
Profissionais sem formação técnica, como analistas e gestores de áreas de negócio, hoje conseguem construir aplicações funcionais usando apenas linguagem natural. O ganho de produtividade é real, mas esses criadores não têm o referencial necessário para avaliar se o código gerado expõe credenciais, falha no controle de acesso ou processa dados sensíveis de forma inadequada.
O resultado é o que chamamos de shadow development, uma extensão natural do shadow IT para o ciclo de desenvolvimento de software. Aplicações em produção sem revisão, sem teste de segurança, sem inventário, e muitas vezes sem que a equipe de segurança saiba que elas existem.
O risco também é corporativo
Os efeitos desse cenário não ficam restritos ao time de tecnologia. O mercado de seguros já está reagindo, com seguradoras incluindo exclusões específicas para exposições relacionadas a IA generativa em apólices de cyber e D&O. Organizações sem governança documentada sobre o uso dessas ferramentas podem enfrentar tanto prêmios mais altos quanto recusas de cobertura em caso de incidente.
Reguladores também estão se movendo, e frameworks de segurança e privacidade já estão sendo adaptados para considerar especificamente código gerado por IA. O risco deixou de ser apenas técnico e passou a ser também financeiro, contratual e regulatório.
Como avançar com segurança
- Proibir o uso de IA no desenvolvimento não é viável e tende a ser contraproducente. A resposta está em construir capacidade institucional para lidar com essa nova realidade. Isso passa por alguns pontos centrais, por exemplo:
- Revisão humana obrigatória para qualquer código gerado por IA antes de ir para produção, com regra de dupla revisão em ambientes críticos.
- Ferramentas de análise estática, dinâmica e de composição de software integradas ao pipeline, com regras específicas para os padrões inseguros mais comuns em código de IA.
- Varredura automática de segredos em todos os repositórios, com bloqueio de push que contenha credenciais.
- E uma política corporativa clara definindo quais ferramentas são permitidas, quais dados podem ser enviados a modelos externos e qual o processo de exceção.
A pergunta que toda liderança deveria estar fazendo é: sua organização sabe quais sistemas em produção foram construídos com apoio de IA? Existe inventário, existe revisão, existe política formal sobre o tema?
Se a resposta for não, vale conversar com quem já estruturou esse tipo de governança em diferentes contextos.
Fale com os especialistas da Ivy Group S/A e entenda como aplicar esses controles na sua operação.
