{"id":24465,"date":"2025-11-18T09:00:10","date_gmt":"2025-11-18T12:00:10","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24465"},"modified":"2025-11-17T12:10:38","modified_gmt":"2025-11-17T15:10:38","slug":"vibe-coding-2025-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/vibe-coding-2025-risks\/24465\/","title":{"rendered":"Os perigos ocultos da codifica\u00e7\u00e3o com IA"},"content":{"rendered":"<p>Embora <a href=\"https:\/\/www.kaspersky.com.br\/blog\/shadow-ai-3-policies\/24221\/\" target=\"_blank\" rel=\"noopener\">ainda se discuta<\/a> sobre os reais benef\u00edcios dos assistentes de IA no ambiente de trabalho, \u00e9 no desenvolvimento de software que sua ado\u00e7\u00e3o vem ocorrendo de forma mais confiante e acelerada. Nesse contexto, os LLMs assumem m\u00faltiplos pap\u00e9is: desde a refatora\u00e7\u00e3o de c\u00f3digo e gera\u00e7\u00e3o de documenta\u00e7\u00e3o at\u00e9 a cria\u00e7\u00e3o completa de aplicativos. No entanto, os desafios tradicionais de seguran\u00e7a da informa\u00e7\u00e3o na programa\u00e7\u00e3o agora se somam \u00e0s vulnerabilidades espec\u00edficas dos modelos de IA. Nesse ponto de converg\u00eancia, novos bugs e problemas t\u00eam surgido praticamente todas as semanas.<\/p>\n<h2>C\u00f3digo gerado por IA vulner\u00e1vel<\/h2>\n<p>Quando um LLM gera um c\u00f3digo, pode introduzir bugs ou falhas de seguran\u00e7a. Isso ocorre porque esses modelos s\u00e3o treinados com dados p\u00fablicos da Internet, que incluem milhares de exemplos de c\u00f3digos mal escritos ou inseguros. Um <a href=\"https:\/\/www.veracode.com\/blog\/genai-code-security-report\/\" target=\"_blank\" rel=\"noopener nofollow\">estudo<\/a> recente da Veracode revelou que os principais modelos de IA j\u00e1 produzem c\u00f3digo que compila com sucesso em 90% dos casos. H\u00e1 menos de dois anos, esse n\u00famero era inferior a 20%. No entanto, essa melhoria na execu\u00e7\u00e3o n\u00e3o se traduz em seguran\u00e7a: aproximadamente 45% desse c\u00f3digo ainda apresenta vulnerabilidades cl\u00e1ssicas listadas no <a href=\"https:\/\/owasp.org\/www-project-top-ten\/\" target=\"_blank\" rel=\"noopener nofollow\">OWASP Top 10<\/a>, e praticamente n\u00e3o houve avan\u00e7os nesse aspecto nos \u00faltimos dois anos. A pesquisa analisou mais de cem LLMs populares e trechos de c\u00f3digo em Java, Python, C# e JavaScript. Isso significa que, independentemente de a IA ser usada para \u201ccompletar c\u00f3digo\u201d de forma autom\u00e1tica (como no Windsurf) ou para fazer \u201c<a href=\"https:\/\/pt.wikipedia.org\/wiki\/Vibe_coding\" target=\"_blank\" rel=\"noopener nofollow\">vibe coding<\/a>\u201d (como no Lovable), o aplicativo final precisa obrigatoriamente passar por testes rigorosos de seguran\u00e7a. Por\u00e9m, na pr\u00e1tica, isso raramente acontece. Segundo um estudo da <a href=\"https:\/\/www.wiz.io\/blog\/common-security-risks-in-vibe-coded-apps\" target=\"_blank\" rel=\"noopener nofollow\">Wiz<\/a>, 20% dos aplicativos criados com vibe coding apresentam vulnerabilidades cr\u00edticas ou erros graves de configura\u00e7\u00e3o.<\/p>\n<p>Um dos exemplos dessas falhas \u00e9 o do aplicativo de relacionamento exclusivamente para mulheres, Tea, que ganhou notoriedade ap\u00f3s <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/tea-app-leak-worsens-with-second-database-exposing-user-chats\/\" target=\"_blank\" rel=\"noopener nofollow\">dois grandes vazamentos de dados<\/a>. No entanto, este aplicativo \u00e9 anterior ao vibe coding. <a href=\"https:\/\/news.bloomberglaw.com\/bloomberg-law-analysis\/analysis-trouble-brews-for-tea-app-amid-vibe-coding-allegations\" target=\"_blank\" rel=\"noopener nofollow\">A Justi\u00e7a determinar\u00e1<\/a> se a IA teve responsabilidade pelos vazamentos do Tea. J\u00e1 no caso da startup Enrichlead, n\u00e3o h\u00e1 d\u00favidas: a IA foi a respons\u00e1vel. O fundador <a href=\"https:\/\/twitter.com\/leojr94_\/status\/1900767509621674109\" target=\"_blank\" rel=\"noopener nofollow\">afirmou<\/a> nas redes sociais que 100% do c\u00f3digo da plataforma havia sido gerado pela Cursor AI, \u201csem uma \u00fanica linha escrita manualmente\u201d. Apenas alguns dias ap\u00f3s o lan\u00e7amento, o servi\u00e7o <a href=\"https:\/\/twitter.com\/leojr94_\/status\/1901560276488511759?ref_src=twsrc%5etfw\" target=\"_blank\" rel=\"noopener nofollow\">j\u00e1 apresentava falhas b\u00e1sicas de seguran\u00e7a<\/a>, permitindo acesso indevido a recursos pagos e modifica\u00e7\u00f5es de dados por qualquer usu\u00e1rio. O projeto foi encerrado depois que o fundador n\u00e3o conseguiu elevar o n\u00edvel de seguran\u00e7a do c\u00f3digo usando apenas o Cursor. Mesmo assim, ele continua lan\u00e7ando novos projetos baseados em vibe coding.<\/p>\n<h2>Vulnerabilidades comuns em c\u00f3digos gerados por IA<\/h2>\n<p>Embora a programa\u00e7\u00e3o assistida por IA exista h\u00e1 apenas um ano ou dois, j\u00e1 existem dados suficientes para identificar os <a href=\"https:\/\/www.wiz.io\/blog\/common-security-risks-in-vibe-coded-apps\" target=\"_blank\" rel=\"noopener nofollow\">erros mais comuns<\/a>. Normalmente, incluem:<\/p>\n<ul>\n<li>Falta de valida\u00e7\u00e3o de dados de entrada, aus\u00eancia de sanitiza\u00e7\u00e3o de dados de entrada do usu\u00e1rio para remover caracteres estranhos e outros erros b\u00e1sicos que levam a vulnerabilidades cl\u00e1ssicas, como cross-site scripting (XSS) e inje\u00e7\u00e3o de SQL.<\/li>\n<li>Chaves de API e outros segredos inseridos diretamente no c\u00f3digo da p\u00e1gina, ficando vis\u00edveis para os usu\u00e1rios.<\/li>\n<li>L\u00f3gica de autentica\u00e7\u00e3o implementada inteiramente no lado do cliente, no pr\u00f3prio c\u00f3digo do site em execu\u00e7\u00e3o no navegador. Essa l\u00f3gica pode ser facilmente modificada para burlar qualquer verifica\u00e7\u00e3o.<\/li>\n<li>Erros de registro, desde filtragem insuficiente ao registrar informa\u00e7\u00f5es nos logs at\u00e9 a completa aus\u00eancia de logs.<\/li>\n<li>Fun\u00e7\u00f5es excessivamente poderosas e perigosas: os modelos de IA s\u00e3o otimizados para gerar um c\u00f3digo de sa\u00edda que resolva uma tarefa da maneira mais curta poss\u00edvel. Por\u00e9m, o caminho mais curto muitas vezes \u00e9 inseguro. Um exemplo cl\u00e1ssico \u00e9 o <a href=\"https:\/\/cloudsecurityalliance.org\/blog\/2025\/07\/09\/understanding-security-risks-in-ai-generated-code\" target=\"_blank\" rel=\"noopener nofollow\">uso da fun\u00e7\u00e3o eval<\/a> para realizar opera\u00e7\u00f5es matem\u00e1ticas com base em dados fornecidos pelo usu\u00e1rio. Isso permite a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo no aplicativo gerado.<\/li>\n<li>Depend\u00eancias desatualizadas ou inexistentes. O c\u00f3digo gerado por IA geralmente faz refer\u00eancia a vers\u00f5es antigas de bibliotecas, utiliza chamadas de API obsoletas ou inseguras ou at\u00e9 tenta <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-slopsquatting-supply-chain-risk\/53327\/\" target=\"_blank\" rel=\"noopener nofollow\">importar bibliotecas fict\u00edcias<\/a>. Esse \u00faltimo caso \u00e9 particularmente perigoso, pois invasores podem criar uma biblioteca maliciosa com um nome \u201cplaus\u00edvel\u201d, e o agente de IA acabar\u00e1 incluindo-a em um projeto real.<\/li>\n<\/ul>\n<p>Em um estudo sistem\u00e1tico, os autores <a href=\"https:\/\/arxiv.org\/pdf\/2412.15004\" target=\"_blank\" rel=\"noopener nofollow\">verificaram um c\u00f3digo gerado por IA<\/a> em busca de fragilidades inclu\u00eddas na <a href=\"https:\/\/cwe.mitre.org\/top25\/\" target=\"_blank\" rel=\"noopener nofollow\">lista MITRE CWE Top 25<\/a>. As mais comuns foram: CWE-94 (inje\u00e7\u00e3o de c\u00f3digo), CWE-78 (inje\u00e7\u00e3o de comando do sistema operacional), CWE-190 (estouro de inteiro), CWE-306 (aus\u00eancia de autentica\u00e7\u00e3o) e CWE-434 (upload irrestrito de arquivos).<\/p>\n<p>Um exemplo marcante de CWE-94 foi o comprometimento recente da plataforma Nx, <a href=\"https:\/\/www.kaspersky.com\/blog\/nx-build-s1ngularity-supply-chain-attack\/54223\/\" target=\"_blank\" rel=\"noopener nofollow\">que j\u00e1 abordamos anteriormente<\/a>. Agentes mal-intencionados conseguiram inserir um cavalo de Troia em uma ferramenta popular de desenvolvimento ao roubar um token que permitia a publica\u00e7\u00e3o de novas vers\u00f5es do produto. O roubo do token explorou uma vulnerabilidade <a href=\"https:\/\/github.com\/nrwl\/nx\/pull\/32458\" target=\"_blank\" rel=\"noopener nofollow\">introduzida por um fragmento de c\u00f3digo simples gerado por IA<\/a>.<\/p>\n<h2>Prompts perigosos<\/h2>\n<p>O conhecido ditado entre desenvolvedores, \u201cfeito exatamente conforme a especifica\u00e7\u00e3o\u201d, tamb\u00e9m se aplica ao trabalhar com um assistente de IA. Se o prompt para criar uma fun\u00e7\u00e3o ou aplicativo for vago e n\u00e3o mencionar aspectos de seguran\u00e7a, a probabilidade de gerar um c\u00f3digo vulner\u00e1vel aumenta consideravelmente. <a href=\"https:\/\/arxiv.org\/pdf\/2502.06039\" target=\"_blank\" rel=\"noopener nofollow\">Um estudo dedicado<\/a> constatou que mesmo instru\u00e7\u00f5es gen\u00e9ricas como \u201cgaranta que o c\u00f3digo siga as melhores pr\u00e1ticas de seguran\u00e7a\u201d s\u00e3o capazes de reduzir pela metade a taxa de vulnerabilidades.<\/p>\n<p>A abordagem mais eficaz, no entanto, \u00e9 usar orienta\u00e7\u00f5es detalhadas de seguran\u00e7a espec\u00edficas para cada linguagem, com refer\u00eancia \u00e0s listas de erros do MITRE ou OWASP. Uma grande cole\u00e7\u00e3o dessas instru\u00e7\u00f5es de seguran\u00e7a da Wiz Research est\u00e1 dispon\u00edvel no <a href=\"https:\/\/github.com\/wiz-sec-public\/secure-rules-files\" target=\"_blank\" rel=\"noopener nofollow\">GitHub<\/a>; recomenda-se adicion\u00e1-las aos prompts do sistema dos assistentes de IA por meio de arquivos como <em>claude.md<\/em>, <em>.windsurfrules<\/em> ou similares.<\/p>\n<h2>Degrada\u00e7\u00e3o da seguran\u00e7a durante revis\u00f5es<\/h2>\n<p>Quando um c\u00f3digo gerado por IA \u00e9 revisado repetidamente por meio de prompts de acompanhamento, a seguran\u00e7a dele tende a se deteriorar. Em um <a href=\"https:\/\/arxiv.org\/abs\/2506.11022\" target=\"_blank\" rel=\"noopener nofollow\">estudo<\/a> recente, pesquisadores fizeram com que o GPT-4o modificasse um c\u00f3digo escrito anteriormente at\u00e9 40 vezes, enquanto verificavam cada vers\u00e3o em busca de vulnerabilidades ap\u00f3s cada rodada de modifica\u00e7\u00f5es. Ap\u00f3s apenas 5 itera\u00e7\u00f5es, o c\u00f3digo apresentou 37% mais vulnerabilidades cr\u00edticas do que a vers\u00e3o inicial. O estudo testou quatro estrat\u00e9gias de prompting, tr\u00eas delas com \u00eanfases diferentes: (i) desempenho, (ii) seguran\u00e7a e (iii) novas funcionalidades; a quarta utilizava prompts vagos e pouco claros.<\/p>\n<p>Quando os prompts focaram na adi\u00e7\u00e3o de novas funcionalidades, surgiram 158 vulnerabilidades, incluindo 29 cr\u00edticas. Quando o prompt enfatizou a codifica\u00e7\u00e3o segura, o n\u00famero caiu significativamente, mas ainda assim incluiu 38 novas vulnerabilidades, sendo sete delas cr\u00edticas.<\/p>\n<p>Curiosamente, os prompts \u201ccom foco em seguran\u00e7a\u201d resultaram no maior percentual de erros em fun\u00e7\u00f5es relacionadas \u00e0 criptografia.<\/p>\n<h2>Sem considerar o contexto do setor<\/h2>\n<p>Em setores como finan\u00e7as, sa\u00fade e log\u00edstica, h\u00e1 requisitos t\u00e9cnicos, organizacionais e legais que devem ser considerados durante o desenvolvimento de aplicativos. Os assistentes de IA n\u00e3o est\u00e3o cientes dessas restri\u00e7\u00f5es. Esse problema \u00e9 frequentemente chamado de \u201cfalta de profundidade\u201d. Como consequ\u00eancia, m\u00e9todos de armazenamento e processamento de dados pessoais, m\u00e9dicos ou financeiros exigidos por regulamentos locais ou setoriais n\u00e3o s\u00e3o refletidos no c\u00f3digo gerado por IA. Por exemplo, um assistente pode escrever uma fun\u00e7\u00e3o matematicamente correta para calcular juros de dep\u00f3sitos, mas ignorar regras de arredondamento impostas por \u00f3rg\u00e3os reguladores. No setor de sa\u00fade, as regulamenta\u00e7\u00f5es costumam exigir registro detalhado de cada tentativa de acesso a dados, algo que a IA n\u00e3o implementar\u00e1 de forma autom\u00e1tica no n\u00edvel de detalhamento necess\u00e1rio.<\/p>\n<h2>Configura\u00e7\u00e3o incorreta de aplicativos<\/h2>\n<p>As vulnerabilidades n\u00e3o se limitam ao c\u00f3digo criado por vibe coding. Muitas vezes, os aplicativos gerados por esse m\u00e9todo s\u00e3o desenvolvidos por usu\u00e1rios inexperientes, que ou n\u00e3o configuram o ambiente de execu\u00e7\u00e3o, ou fazem isso seguindo recomenda\u00e7\u00f5es fornecidas pela pr\u00f3pria IA. Isso resulta em configura\u00e7\u00f5es perigosas, como:<\/p>\n<ul>\n<li>Bancos de dados necess\u00e1rios para o aplicativo s\u00e3o criados com permiss\u00f5es de acesso externo excessivamente amplas. Esse tipo de erro leva a vazamentos como os dos casos do Tea\/<a href=\"https:\/\/therecord.media\/brazil-lesbian-dating-app-shuts-down-vulnerability\" target=\"_blank\" rel=\"noopener nofollow\">Sapphos<\/a>, nos quais o invasor nem sequer precisa usar os aplicativos para baixar ou excluir todo o banco de dados.<\/li>\n<li>Aplicativos corporativos internos ficam acess\u00edveis ao p\u00fablico sem qualquer necessidade de autentica\u00e7\u00e3o.<\/li>\n<li>Os aplicativos recebem permiss\u00f5es elevadas para acessar bancos de dados cr\u00edticos. Combinadas com vulnerabilidades inerentes ao c\u00f3digo gerado por IA, essas permiss\u00f5es facilitam ataques de inje\u00e7\u00e3o de SQL e similares.<\/li>\n<\/ul>\n<h2>Vulnerabilidades das plataformas<\/h2>\n<p>A maioria das plataformas de vibe coding executa aplicativos gerados com prompts diretamente nos seus pr\u00f3prios servidores. Isso cria uma depend\u00eancia do desenvolvedor em rela\u00e7\u00e3o \u00e0 plataforma, incluindo a exposi\u00e7\u00e3o a suas vulnerabilidades e depend\u00eancia de suas pr\u00e1ticas de seguran\u00e7a. Por exemplo, em julho foi <a href=\"https:\/\/www.wiz.io\/blog\/critical-vulnerability-base44\" target=\"_blank\" rel=\"noopener nofollow\">descoberta uma vulnerabilidade na plataforma Base44<\/a> que permitia que invasores n\u00e3o autenticados acessassem qualquer aplicativo privado.<\/p>\n<h2>Amea\u00e7as na fase de desenvolvimento<\/h2>\n<p>A simples presen\u00e7a de um assistente com amplos direitos de acesso no computador do desenvolvedor j\u00e1 cria riscos. Veja alguns exemplos:<\/p>\n<p>A vulnerabilidade CurXecute (<a href=\"https:\/\/github.com\/cursor\/cursor\/security\/advisories\/GHSA-4cxx-hrm3-49rm\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-54135<\/a>) permitia que invasores instru\u00edssem a popular ferramenta de desenvolvimento com IA, Cursor, a executar comandos arbitr\u00e1rios no computador do desenvolvedor. Para isso, bastava que houvesse um servidor Model Context Protocol (MCP) ativo conectado ao Cursor, o que poderia ser usado por terceiros para obter acesso. Essa \u00e9 uma situa\u00e7\u00e3o comum: servidores MCP concedem aos agentes de IA acesso a mensagens do Slack, tarefas no Jira e assim por diante. A inje\u00e7\u00e3o de prompts pode ser realizada por qualquer um desses canais.<\/p>\n<p>A vulnerabilidade EscapeRoute (<a href=\"https:\/\/github.com\/modelcontextprotocol\/servers\/security\/advisories\/GHSA-q66q-fx2p-7w4m\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-53109<\/a>) permitia a leitura e grava\u00e7\u00e3o de arquivos arbitr\u00e1rios no disco do desenvolvedor. A falha existia no popular servidor MCP da Anthropic, que permite que agentes de IA escrevam e leiam arquivos no sistema. As restri\u00e7\u00f5es de acesso do servidor simplesmente n\u00e3o funcionavam.<\/p>\n<p>Um <a href=\"https:\/\/thehackernews.com\/2025\/09\/first-malicious-mcp-server-found.html\" target=\"_blank\" rel=\"noopener nofollow\">servidor MCP malicioso<\/a>, que permitia a agentes de IA enviar e receber e-mails via Postmark, encaminhava simultaneamente toda a correspond\u00eancia para um endere\u00e7o oculto. Previmos o surgimento desses <a href=\"https:\/\/securelist.com\/model-context-protocol-for-ai-integration-abused-in-supply-chain-attacks\/117473\/\" target=\"_blank\" rel=\"noopener\">servidores MCP maliciosos<\/a> como este ainda em setembro.<\/p>\n<p>Uma vulnerabilidade na interface da linha de comando Gemini permitia <a href=\"https:\/\/github.com\/google-gemini\/gemini-cli\/pull\/4795\" target=\"_blank\" rel=\"noopener nofollow\">a execu\u00e7\u00e3o de comandos arbitr\u00e1rios<\/a> quando o desenvolvedor simplesmente pedia ao assistente de IA para analisar o c\u00f3digo de um novo projeto. A inje\u00e7\u00e3o maliciosa era acionada de um arquivo <em>readme.md<\/em>.<\/p>\n<p>A extens\u00e3o Q Developer da Amazon para o Visual Studio Code temporariamente incluiu <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/amazon-ai-coding-agent-hacked-to-inject-data-wiping-commands\/\" target=\"_blank\" rel=\"noopener nofollow\">instru\u00e7\u00f5es que apagavam todos os dados<\/a> do computador do desenvolvedor. Um invasor explorou um erro dos pr\u00f3prios desenvolvedores da Amazon e conseguiu inserir esse prompt malicioso no c\u00f3digo p\u00fablico do assistente sem precisar de privil\u00e9gios especiais. Felizmente, um pequeno erro de codifica\u00e7\u00e3o impediu sua execu\u00e7\u00e3o.<\/p>\n<p>Uma vulnerabilidade no agente Claude Code (<a href=\"https:\/\/embracethered.com\/blog\/posts\/2025\/claude-code-exfiltration-via-dns-requests\/\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-55284<\/a>) permitia a exfiltra\u00e7\u00e3o de dados do computador do desenvolvedor por meio de solicita\u00e7\u00f5es DNS. A inje\u00e7\u00e3o de prompt, que se baseava em utilit\u00e1rios comuns executados automaticamente sem confirma\u00e7\u00e3o, podia ser incorporada em qualquer c\u00f3digo analisado pelo agente.<\/p>\n<p>O agente aut\u00f4nomo de IA Replit <a href=\"https:\/\/twitter.com\/jasonlk\/status\/1946069562723897802\" target=\"_blank\" rel=\"noopener nofollow\">excluiu os bancos de dados principais de um projeto<\/a> em desenvolvimento porque decidiu que o banco precisava de uma limpeza. Isso violou uma instru\u00e7\u00e3o direta que proibia modifica\u00e7\u00f5es (code freeze). Por tr\u00e1s desse comportamento inesperado da IA havia uma falha arquitetural fundamental. Na \u00e9poca, o Replit <a href=\"https:\/\/x.com\/jasonlk\/status\/1947765754050580959\" target=\"_blank\" rel=\"noopener nofollow\">n\u00e3o tinha separa\u00e7\u00e3o<\/a> entre os bancos de dados de teste e produ\u00e7\u00e3o.<\/p>\n<p>Uma inje\u00e7\u00e3o de prompt inserida em um coment\u00e1rio de c\u00f3digo-fonte levou o ambiente de desenvolvimento Windsurf a <a href=\"https:\/\/embracethered.com\/blog\/posts\/2025\/windsurf-spaiware-exploit-persistent-prompt-injection\/\" target=\"_blank\" rel=\"noopener nofollow\">armazenar automaticamente instru\u00e7\u00f5es maliciosas na sua mem\u00f3ria de longo prazo<\/a>, o que permitiu roubar dados do sistema ao longo de meses.<\/p>\n<p>No<a href=\"https:\/\/www.kaspersky.com\/blog\/nx-build-s1ngularity-supply-chain-attack\/54223\/\" target=\"_blank\" rel=\"noopener nofollow\"> incidente de comprometimento do Nx<\/a>, ferramentas de linha de comando para Claude, Gemini e Q foram usadas para procurar senhas e chaves que pudessem ser roubadas de um sistema infectado.<\/p>\n<h2>Como usar um c\u00f3digo gerado por IA com seguran\u00e7a<\/h2>\n<p>O n\u00edvel de risco associado a um c\u00f3digo gerado por IA pode ser bastante reduzido, embora n\u00e3o completamente eliminado, por meio de uma combina\u00e7\u00e3o de medidas organizacionais e t\u00e9cnicas:<\/p>\n<ul>\n<li>Implementar a revis\u00e3o autom\u00e1tica do c\u00f3digo gerado por IA conforme ele \u00e9 escrito, utilizando ferramentas <a href=\"https:\/\/en.wikipedia.org\/wiki\/Static_application_security_testing\" target=\"_blank\" rel=\"noopener nofollow\">SAST<\/a> otimizadas.<\/li>\n<li>Incorporar requisitos de seguran\u00e7a nos prompts do sistema em todos os ambientes de IA.<\/li>\n<li>Realizar revis\u00f5es detalhadas de c\u00f3digo com especialistas humanos experientes, apoiados por ferramentas de an\u00e1lise de seguran\u00e7a baseadas em IA para aumentar a efic\u00e1cia.<\/li>\n<li>Treinar os desenvolvedores para escrever prompts de forma segura e, de maneira mais ampla, oferecer <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">forma\u00e7\u00e3o aprofundada sobre o uso seguro de IA<\/a>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"kasap\" value=\"14517\">\n","protected":false},"excerpt":{"rendered":"<p>Como c\u00f3digos gerados por IA est\u00e3o transformando a seguran\u00e7a cibern\u00e9tica, e o que os desenvolvedores e &#8220;vibe coders&#8221; devem esperar.<\/p>\n","protected":false},"author":2722,"featured_media":24467,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1382,1342,3376,40],"class_list":{"0":"post-24465","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-aprendizado-de-maquina","11":"tag-ia","12":"tag-llm","13":"tag-seguranca"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vibe-coding-2025-risks\/24465\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vibe-coding-2025-risks\/29724\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vibe-coding-2025-risks\/24794\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/vibe-coding-2025-risks\/12914\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vibe-coding-2025-risks\/29613\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vibe-coding-2025-risks\/28663\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vibe-coding-2025-risks\/31557\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vibe-coding-2025-risks\/30214\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vibe-coding-2025-risks\/40659\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vibe-coding-2025-risks\/13915\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vibe-coding-2025-risks\/54584\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vibe-coding-2025-risks\/23307\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vibe-coding-2025-risks\/32829\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vibe-coding-2025-risks\/29817\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vibe-coding-2025-risks\/35557\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vibe-coding-2025-risks\/35179\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ia\/","name":"IA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24465"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24465\/revisions"}],"predecessor-version":[{"id":24468,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24465\/revisions\/24468"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24467"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24465"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24465"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}