Quando o Dicionário Collins anunciou sua “Palavra do Ano” para 2025, muitos ficaram surpresos ao ver a codificação ambiental ocupar o primeiro lugar.
O termo descreve o uso de ferramentas de IA para construir software por convite, em vez da codificação tradicional, uma prática que cresceu à medida que grandes modelos de linguagem se tornaram mais acessíveis.
Gerente Geral do Escritório de Tecnologia de Campo da CyberArk.
A ascensão da codificação vibratória é uma promessa real. Pode abrir a programação a um público mais amplo, alfabetizar a tecnologia e eliminar o trabalho repetitivo. Mas também acarreta riscos significativos, especialmente para utilizadores que não compreendem totalmente o código que está a ser gerado em seu nome.
O tema básico é simples. A execução de código não confiável ou não verificado pode expor o sistema a sérias ameaças à segurança, seja por meio de vulnerabilidades sutis introduzidas sem o conhecimento do usuário ou pela execução acidental de código malicioso.
Os perigos do código não examinado
Os codificadores tradicionais, especialmente em um contexto de negócios, não possuem um conhecimento abrangente do desenvolvimento de software, mas sim dos sistemas específicos para os quais estão desenvolvendo código.
Eles podem realmente entender o código que estão escrevendo e o que exatamente ele faz em uma máquina. Este processo tradicional também inclui testes rigorosos, revisões de código e verificações de segurança antes da implementação prática.
Embora a economia de tempo e custos da codificação do Vibe possa ser atraente, ela geralmente ocorre às custas da experiência e da supervisão que a codificação tradicional oferece. O código gerado pela IA, por exemplo, tende a ser genérico, mesmo se construído a partir de convites amplos.
Os LLMs não têm o contexto das políticas e protocolos específicos de segurança cibernética, gerenciamento de identidade e proteção de dados de uma empresa e podem violá-los inadvertidamente.
Em alguns casos, o código não verificado pode expor credenciais confidenciais ou até mesmo abrir vulnerabilidades em um sistema sem que um desenvolvedor amador perceba.
Na verdade, de acordo com uma pesquisa recente da Universidade Cornell, 25-30% dos 733 trechos de código gerados por um LLM popular apresentavam falhas graves de segurança que poderiam ser facilmente exploradas por invasores em 43 Vulnerabilidades Comuns (CWEs) diferentes.
Ataques à cadeia de suprimentos e código “venenoso”
O código gerado pelo LLM nem sempre contém vulnerabilidades ou elementos maliciosos, mas não é automaticamente seguro. Muitos modelos de IA são treinados em repositórios de código público e podem usar recursos de fora dessas fontes sem saber.
Os invasores sabem disso muito bem. Ao visar repositórios potencialmente disponíveis publicamente, os LLMs ou outras ferramentas de IA podem comprometer simultaneamente vários pedaços de código gerado por IA. Mesmo projetos aparentemente seguros podem ser afetados se suas bibliotecas de códigos vierem de fontes adulteradas ou adulteradas.
Se um modelo de IA capturar inadvertidamente um código “envenenado”, ele poderá ser replicado em milhares de projetos em segundos.
Dependendo de quão longe o código se espalhou, os danos podem ser extensos, desde a coleta de dados confidenciais, como ferramentas de acesso remoto, até a implantação de malware, como ransomware, ou até mesmo permanecerem inativos nos sistemas até serem ativados por um invasor.
A codificação do Vibe pode ser segura?
A codificação Vibe oferece vantagens claras, como desenvolvimento e implantação mais rápidos, mas as empresas ainda devem abordá-la com o mesmo nível de cautela que aplicariam a qualquer nova tecnologia.
A supervisão humana, por exemplo, continua a ser crítica e os conselhos de administração, as equipas de conformidade e os gestores de TI devem exigir revisões completas de todos os códigos gerados pela IA, sem exceção. O código gerado pela IA deve ser examinado com o mesmo rigor que o código escrito por humanos, independentemente de quão detalhado ou específico o prompt possa ser.
A segurança dos dados é outra consideração crítica. A inclusão de informações confidenciais ou proprietárias em ferramentas de IA, especialmente nas públicas, aumenta significativamente o risco de exposição.
Para minimizar isto, as equipas devem contar com LLMs privados treinados em dados internos confiáveis sempre que possível. As bibliotecas de códigos também devem ser criadas internamente ou, quando opções externas forem necessárias, extraídas de repositórios oficiais que são monitorados ativamente em busca de alterações não autorizadas.
O controle de acesso fornece uma camada adicional de proteção. O código gerado por IA deve receber apenas as permissões necessárias para funcionar, e as empresas devem adotar práticas modernas de gerenciamento de identidade baseadas nos princípios de Zero Trust.
Isto inclui a verificação explícita de cada identidade e a remoção dos direitos de acesso quando desnecessário. Ao restringir as permissões desta forma, mesmo que seja implementado código malicioso, a sua capacidade de se mover através do sistema ou de aceder a dados sensíveis é significativamente reduzida.
A codificação Vibe veio para ficar
Ame ou odeie, a codificação ambiental veio para ficar. Ele pode acelerar o desenvolvimento, tornar a codificação mais acessível para equipes não técnicas e proporcionar economias significativas de tempo e custos. Não é de surpreender que muitas empresas queiram tirar vantagem disso.
Mas sem cuidado, codificar a vibração pode aumentar a sua exposição a riscos cibernéticos. As organizações devem equilibrar a experimentação com uma supervisão robusta, políticas e uma revisão minuciosa, compreendendo onde a codificação ambiental acrescenta valor e onde os riscos superam as recompensas.
A IA pode escrever código a uma velocidade notável, mas apenas os humanos podem verificar se a saída é segura. Em algumas situações, a codificação tradicional ou a intervenção especializada ainda serão a escolha mais inteligente. A codificação Vibe pode oferecer conveniência, mas nem sempre vale a pena o risco.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
