Vibe Coding: o que é e os riscos de segurança que ninguém conta

A prática de pedir à IA que escreva código está a democratizar o desenvolvimento de software — mas também a expor dados sensíveis de milhares de utilizadores.

O vibe coding chegou para ficar, e está a mudar radicalmente quem pode criar software. Com esta prática, qualquer pessoa — desde um técnico de marketing a um estudante sem formação em programação — consegue descrever uma aplicação em linguagem natural e ter uma versão funcional em minutos. Mas um relatório recente da empresa de cibersegurança RedAccess revelou que cerca de cinco mil aplicações criadas com ferramentas de IA populares tinham falhas graves de protecção de dados, expondo registos hospitalares, estratégias comerciais e até conversas privadas de pacientes. O entusiasmo é real. Os riscos, também.

O que é o vibe coding e por que cresce tão depressa

O vibe coding é a prática de criar software através de descrições em linguagem natural, sem escrever uma única linha de código manualmente. O utilizador descreve o que quer — “uma app para gerir turnos da equipa” ou “um painel de controlo para as minhas vendas” — e ferramentas como o Lovable, o Replit ou o Netlify, alimentadas por modelos de inteligência artificial, geram o código em segundos.

A democratização é real e impressionante. O que antes exigia semanas de trabalho de um programador experiente pode hoje ser prototipado numa tarde por alguém sem qualquer formação técnica. As ferramentas tornaram-se mais capazes, mais rápidas e mais acessíveis ao longo de 2025 e início de 2026, o que explica a explosão de popularidade da tendência.

Em Portugal, o tema chegou à imprensa tecnológica especializada este mês, com publicações como a PCGuia e a Pplware a alertar para os dois lados da moeda: a agilidade que o vibe coding oferece, e as armadilhas que pode esconder para quem não sabe o que está a fazer.

Quando a IA escreve código, quem verifica a segurança?

O problema central do vibe coding é estrutural. As ferramentas de IA foram desenhadas para gerar código funcional — código que executa o que foi pedido. Não foram desenhadas, pelo menos por defeito, para garantir que esse código é seguro.

Quando um programador profissional desenvolve uma aplicação, aplica práticas estabelecidas de segurança: autenticação robusta, controlo de acesso, encriptação de dados sensíveis, validação de entradas. Alguém que use vibe coding sem formação técnica não sabe que estas práticas existem, muito menos como as implementar. E a IA, cumprindo o pedido à letra, entrega uma aplicação que funciona — mas que pode estar completamente aberta.

Segundo dados partilhados por especialistas em cibersegurança, cerca de 45% do código produzido via vibe coding apresenta vulnerabilidades, muitas invisíveis para as equipas de desenvolvimento, mas facilmente exploráveis por alguém com intenções maliciosas.

Os dados expostos: hospitais, empresas e conversas privadas

As consequências já são concretas. A equipa de investigação da RedAccess identificou cerca de cinco mil aplicações web criadas com ferramentas de IA que tinham falhas graves de protecção de dados. Não se tratava de aplicações obscuras: entre os dados expostos encontraram-se escalas de trabalho de hospitais, estratégias de mercado de empresas, registos de vendas e conversas privadas entre pacientes e profissionais de saúde.

A situação é particularmente preocupante porque as aplicações foram criadas por pessoas com boas intenções — gestores, assistentes, técnicos — que simplesmente não tinham os conhecimentos necessários para perceber que estavam a expor informação sensível. A ferramenta funcionou. A segurança ficou para trás.

Este padrão é consistente com o que os investigadores de segurança têm observado mais amplamente: à medida que a criação de software se democratiza, o perímetro de risco alarga-se. Há mais aplicações, criadas por mais pessoas, com menos conhecimento de cibersegurança.

O vibe coding é uma ilusão que pode sair caro?

Alguns especialistas são diretos na avaliação. A Pplware descreveu a tendência como algo que “parece magia, mas é uma ilusão que pode sair caro” — particularmente quando envolve dados de terceiros ou operações críticas de negócio.

Isso não significa que o vibe coding não tenha valor. Para protótipos rápidos, para testar ideias, ou para aplicações internas de baixo risco, pode ser uma ferramenta extraordinariamente produtiva. O problema surge quando se salta do protótipo para a produção sem uma revisão adequada do código gerado — e sem garantias de que os dados dos utilizadores estão protegidos.

O enquadramento regulatório europeu torna esta questão ainda mais sensível. O Regulamento Geral sobre a Proteção de Dados (RGPD) continua plenamente em vigor, e uma aplicação que exponha dados pessoais de utilizadores — mesmo que criada involuntariamente por alguém sem formação técnica — pode gerar sanções significativas para as organizações responsáveis.

Como usar IA para criar apps de forma responsável

A resposta não é abandonar o vibe coding. É usá-lo com consciência das suas limitações. Os especialistas recomendam algumas boas práticas para minimizar os riscos.

Em primeiro lugar, as plataformas devem ser configuradas para serem privadas por defeito. A maioria das ferramentas de vibe coding partilha as aplicações publicamente após a criação — um comportamento que deve ser alterado de imediato. Em segundo lugar, qualquer aplicação que lide com dados sensíveis — de clientes, de colaboradores, de pacientes — deve ser revista por alguém com conhecimentos de segurança informática antes de entrar em produção.

Por fim, vale a pena distinguir o que a IA pode fazer bem do que ainda não consegue substituir. Gerar código funcional rapidamente: sim. Garantir que esse código é seguro, auditado e cumpre as obrigações legais: ainda não. O vibe coding é uma ferramenta poderosa — e como qualquer ferramenta poderosa, pede responsabilidade a quem a usa.

Conclusão

O vibe coding representa uma das transformações mais significativas no desenvolvimento de software dos últimos anos. Em Portugal, a tendência chegou com força, e é natural que empresas e utilizadores individuais queiram aproveitar o que estas ferramentas têm para oferecer. Mas a velocidade com que o software pode agora ser criado não elimina as responsabilidades que vêm com ele — legais, éticas e técnicas. À medida que a IA se torna mais capaz de construir por nós, o nosso papel torna-se menos o de programadores e mais o de supervisores críticos. E isso exige, talvez mais do que nunca, que saibamos o que estamos a pedir.