{"id":2072,"date":"2026-06-16T13:22:31","date_gmt":"2026-06-16T16:22:31","guid":{"rendered":"https:\/\/news.ivy.com.br\/?p=2072"},"modified":"2026-06-16T13:22:31","modified_gmt":"2026-06-16T16:22:31","slug":"vibe-coding-e-o-novo-perimetro-de-risco-corporativo","status":"publish","type":"post","link":"https:\/\/news.ivy.com.br\/index.php\/2026\/06\/16\/vibe-coding-e-o-novo-perimetro-de-risco-corporativo\/","title":{"rendered":"Vibe Coding e o novo per\u00edmetro de risco corporativo."},"content":{"rendered":"\n

Em fevereiro de 2025, Andrej Karpathy<\/a> nomeou um fen\u00f4meno que j\u00e1 vinha acontecendo nas organiza\u00e7\u00f5es h\u00e1 algum tempo. O Vibe Coding<\/em> descreve o desenvolvimento de software por meio de linguagem natural, no qual o profissional descreve o que deseja e a intelig\u00eancia artificial gera o c\u00f3digo. E o resultado \u00e9 velocidade. O problema \u00e9 que essa velocidade chegou antes da governan\u00e7a.<\/p>\n\n\n\n

A ado\u00e7\u00e3o dessas ferramentas j\u00e1 \u00e9 praticamente universal entre desenvolvedores, e o motivo voc\u00ea j\u00e1 sabe: elas reduzem custo e aceleram entregas. Mas existe um lado dessa equa\u00e7\u00e3o que ainda n\u00e3o chegou aos comit\u00eas de risco com a profundidade necess\u00e1ria. <\/p>\n\n\n\n

Pesquisas recentes mostram que uma parcela significativa do c\u00f3digo gerado por IA carrega vulnerabilidades conhecidas, e o volume de ocorr\u00eancias de seguran\u00e7a em grandes empresas que adotaram essas ferramentas cresceu de forma acelerada.<\/p>\n\n\n\n

O problema n\u00e3o \u00e9 a ferramenta, mas a aus\u00eancia de revis\u00e3o<\/h2>\n\n\n\n

Modelos de linguagem s\u00e3o treinados para gerar c\u00f3digo que funciona, n\u00e3o c\u00f3digo que \u00e9 seguro. Quando o modelo precisa escolher entre uma abordagem segura e uma insegura, ele frequentemente reproduz o padr\u00e3o mais comum nos dados de treinamento, que nem sempre \u00e9 o mais seguro.<\/p>\n\n\n\n

Isso cria um efeito de amplifica\u00e7\u00e3o. Um desenvolvedor humano comete erros isolados. Mas um modelo que tem o h\u00e1bito de gerar, por exemplo, consultas sem parametriza\u00e7\u00e3o, repete esse padr\u00e3o em cada m\u00f3dulo onde aquele estilo de prompt for usado, multiplicando a vulnerabilidade por toda a aplica\u00e7\u00e3o.<\/p>\n\n\n\n

Outro ponto que merece aten\u00e7\u00e3o \u00e9 o chamado slopsquatting<\/em>. Modelos de IA \u00e0s vezes recomendam pacotes que n\u00e3o existem. Quando atacantes identificam esses nomes e registram pacotes maliciosos com eles, qualquer pessoa que instalar a depend\u00eancia sugerida pela IA instala malware sem perceber.<\/p>\n\n\n\n

A democratiza\u00e7\u00e3o trouxe um novo tipo de criador de risco<\/h2>\n\n\n\n

Profissionais sem forma\u00e7\u00e3o t\u00e9cnica, como analistas e gestores de \u00e1reas de neg\u00f3cio, hoje conseguem construir aplica\u00e7\u00f5es funcionais usando apenas linguagem natural. O ganho de produtividade \u00e9 real, mas esses criadores n\u00e3o t\u00eam o referencial necess\u00e1rio para avaliar se o c\u00f3digo gerado exp\u00f5e credenciais, falha no controle de acesso ou processa dados sens\u00edveis de forma inadequada.<\/p>\n\n\n\n

O resultado \u00e9 o que chamamos de shadow development<\/em>, uma extens\u00e3o natural do shadow IT<\/em> para o ciclo de desenvolvimento de software. Aplica\u00e7\u00f5es em produ\u00e7\u00e3o sem revis\u00e3o, sem teste de seguran\u00e7a, sem invent\u00e1rio, e muitas vezes sem que a equipe de seguran\u00e7a saiba que elas existem.<\/p>\n\n\n\n

O risco tamb\u00e9m \u00e9 corporativo<\/h2>\n\n\n\n

Os efeitos desse cen\u00e1rio n\u00e3o ficam restritos ao time de tecnologia. O mercado de seguros j\u00e1 est\u00e1 reagindo, com seguradoras incluindo exclus\u00f5es espec\u00edficas para exposi\u00e7\u00f5es relacionadas a IA generativa em ap\u00f3lices de cyber e D&O. Organiza\u00e7\u00f5es sem governan\u00e7a documentada sobre o uso dessas ferramentas podem enfrentar tanto pr\u00eamios mais altos quanto recusas de cobertura em caso de incidente.<\/p>\n\n\n\n

Reguladores tamb\u00e9m est\u00e3o se movendo, e frameworks de seguran\u00e7a e privacidade j\u00e1 est\u00e3o sendo adaptados para considerar especificamente c\u00f3digo gerado por IA. O risco deixou de ser apenas t\u00e9cnico e passou a ser tamb\u00e9m financeiro<\/strong>, contratual<\/strong> e regulat\u00f3rio<\/strong>.<\/p>\n\n\n\n

Como avan\u00e7ar com seguran\u00e7a<\/h2>\n\n\n\n
    \n
  • Proibir o uso de IA no desenvolvimento n\u00e3o \u00e9 vi\u00e1vel e tende a ser contraproducente. A resposta est\u00e1 em construir capacidade institucional<\/strong> para lidar com essa nova realidade. Isso passa por alguns pontos centrais, por exemplo:<\/li>\n\n\n\n
  • Revis\u00e3o humana obrigat\u00f3ria para qualquer c\u00f3digo gerado por IA antes de ir para produ\u00e7\u00e3o, com regra de dupla revis\u00e3o em ambientes cr\u00edticos.\u00a0<\/li>\n\n\n\n
  • Ferramentas de an\u00e1lise est\u00e1tica, din\u00e2mica e de composi\u00e7\u00e3o de software integradas ao pipeline, com regras espec\u00edficas para os padr\u00f5es inseguros mais comuns em c\u00f3digo de IA.\u00a0<\/li>\n\n\n\n
  • Varredura autom\u00e1tica de segredos em todos os reposit\u00f3rios, com bloqueio de push que contenha credenciais.\u00a0<\/li>\n\n\n\n
  • E uma pol\u00edtica corporativa clara definindo quais ferramentas s\u00e3o permitidas, quais dados podem ser enviados a modelos externos e qual o processo de exce\u00e7\u00e3o.<\/li>\n<\/ul>\n\n\n\n

    A pergunta que toda lideran\u00e7a deveria estar fazendo \u00e9: sua organiza\u00e7\u00e3o sabe quais sistemas em produ\u00e7\u00e3o foram constru\u00eddos com apoio de IA? Existe invent\u00e1rio, existe revis\u00e3o, existe pol\u00edtica formal sobre o tema?<\/p>\n\n\n\n

    Se a resposta for n\u00e3o, vale conversar com quem j\u00e1 estruturou esse tipo de governan\u00e7a em diferentes contextos. <\/p>\n\n\n\n

    Fale com os especialistas da Ivy Group S\/A e entenda como aplicar esses controles na sua opera\u00e7\u00e3o.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Em fevereiro de 2025, Andrej Karpathy nomeou um fen\u00f4meno que j\u00e1 vinha acontecendo nas organiza\u00e7\u00f5es h\u00e1 algum tempo. O Vibe Coding descreve o desenvolvimento de software por meio de linguagem natural, no qual o profissional descreve o que deseja e a intelig\u00eancia artificial gera o c\u00f3digo. E o resultado \u00e9 velocidade. O problema \u00e9 que essa velocidade chegou antes da governan\u00e7a. A ado\u00e7\u00e3o dessas ferramentas j\u00e1 \u00e9 praticamente universal entre desenvolvedores, e o motivo voc\u00ea j\u00e1 sabe: elas reduzem custo e aceleram entregas. Mas existe um lado dessa equa\u00e7\u00e3o que ainda n\u00e3o chegou aos comit\u00eas de risco com a profundidade<\/p>\n","protected":false},"author":8,"featured_media":2073,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,51,144,53],"tags":[90,119,82],"class_list":["post-2072","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-ciber","category-ia","category-tecnologia","tag-ciberseguranca","tag-ia","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=2072"}],"version-history":[{"count":1,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2072\/revisions"}],"predecessor-version":[{"id":2074,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2072\/revisions\/2074"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media\/2073"}],"wp:attachment":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=2072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=2072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=2072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}