2.000 apps criados com IA expõem dados sensíveis por falhas de segurança

Introdução

Mais de 2.000 aplicações criadas com assistência de inteligência artificial estão vazando dados sensíveis devido a falhas básicas de segurança. A descoberta foi feita por pesquisadores de segurança que analisaram apps desenvolvidos com ferramentas de vibe coding — método que permite criar software através de prompts em linguagem natural. Entre as informações expostas estão chaves de API, credenciais de banco de dados, tokens de autenticação e até dados pessoais de usuários. O problema não está nas ferramentas de IA em si, mas na forma como desenvolvedores — especialmente iniciantes — estão publicando código sem revisar aspectos críticos de segurança. A situação acende um alerta importante: a democratização do desenvolvimento de software traz benefícios, mas também exige educação sobre práticas seguras desde o início.

Desenvolvedores iniciantes cometem erros críticos ao publicar apps com IA

A pesquisa identificou um padrão preocupante: muitos criadores de aplicações estão seguindo literalmente as sugestões de código gerado por IA sem entender as implicações de segurança. Isso resulta em apps que funcionam perfeitamente do ponto de vista técnico, mas deixam portas abertas para invasores.

Entre os erros mais comuns estão chaves de API hardcoded diretamente no código-fonte, configurações de banco de dados expostas em repositórios públicos e tokens de autenticação armazenados sem criptografia. Esses problemas são considerados básicos por desenvolvedores experientes, mas representam armadilhas reais para quem está começando.

O que torna a situação mais grave é a velocidade com que esses apps são criados e publicados. Ferramentas como Cursor e outras plataformas de vibe coding permitem que alguém sem experiência prévia coloque uma aplicação no ar em questão de horas — antes mesmo de aprender sobre variáveis de ambiente ou gestão de segredos.

Chaves de API e credenciais vazam em repositórios públicos

Os pesquisadores encontraram credenciais expostas principalmente em três locais: repositórios GitHub públicos, código-fonte de frontend acessível via browser e arquivos de configuração não protegidos. Em muitos casos, as chaves estavam visíveis para qualquer pessoa que inspecionasse o código da página.

Um dos casos mais alarmantes envolve aplicações conectadas a serviços como Supabase e Firebase, onde as chaves de acesso ao banco de dados estavam literalmente escritas no JavaScript do frontend. Isso significa que qualquer visitante do site poderia copiar essas credenciais e acessar os dados armazenados.

Outro problema recorrente é o compartilhamento acidental de tokens de serviços de IA. Desenvolvedores que testam integrações com Claude ou ElevenLabs frequentemente deixam suas chaves de API no código, resultando em uso não autorizado e cobranças inesperadas.

A situação se agrava porque muitos desses desenvolvedores não monitoram o uso de suas APIs. Só descobrem o problema quando recebem faturas elevadas ou quando seus serviços são suspensos por atividade suspeita.

Ferramentas de IA não alertam sobre riscos de segurança durante o desenvolvimento

Um ponto crítico levantado pela pesquisa é que as próprias ferramentas de vibe coding raramente alertam sobre práticas inseguras. Quando você pede para uma IA criar um app conectado a um banco de dados, ela geralmente fornece código funcional — mas não necessariamente seguro.

As IAs de código tendem a priorizar fazer o app funcionar rapidamente, o que é exatamente o que usuários iniciantes pedem. Elas não costumam adicionar camadas de segurança não solicitadas, nem explicar por que você deveria usar variáveis de ambiente em vez de hardcoding.

Algumas plataformas como Lovable e Vercel começaram a implementar avisos e melhores práticas de segurança em seus fluxos de deploy, mas isso ainda não é padrão na indústria. A responsabilidade continua recaindo sobre o desenvolvedor — que muitas vezes não tem o conhecimento necessário.

Essa lacuna cria um paradoxo: as ferramentas democratizam o desenvolvimento, mas não democratizam o conhecimento de segurança que deveria acompanhá-lo.

Como proteger seus projetos de vibe coding contra vazamentos

A boa notícia é que prevenir esses problemas não exige conhecimento avançado. Você precisa adotar algumas práticas básicas antes de publicar qualquer aplicação.

Primeiro, nunca coloque chaves de API, senhas ou tokens diretamente no código. Use variáveis de ambiente — todos os serviços de hospedagem modernos, incluindo Hostinger e Vercel, oferecem essa funcionalidade de forma simples.

Segundo, revise o código gerado pela IA antes de fazer deploy. Procure especificamente por strings que pareçam chaves (geralmente começam com prefixos como "sk-", "api_", ou são sequências longas de caracteres aleatórios). Se encontrar algo assim no código-fonte, mova para variáveis de ambiente.

Terceiro, configure seu arquivo .gitignore corretamente para não enviar arquivos de configuração local para repositórios públicos. A maioria das ferramentas de IA pode gerar esse arquivo para você — basta pedir.

Quarto, use ferramentas de automação como Make para gerenciar integrações sensíveis no backend, em vez de expor credenciais no frontend. Isso adiciona uma camada de proteção importante.

O futuro do vibe coding precisa incluir segurança por padrão

A descoberta desses 2.000 apps vulneráveis não significa que vibe coding seja inerentemente inseguro. O problema está na educação e nas práticas de desenvolvimento, não na tecnologia em si.

A indústria precisa evoluir para incluir segurança como parte natural do processo de criação assistida por IA. Isso significa que as ferramentas deveriam alertar proativamente sobre práticas arriscadas, oferecer templates seguros por padrão e educar usuários durante o desenvolvimento — não apenas depois que algo dá errado.

Para você que está começando a criar apps com IA, o recado é claro: aprenda o básico de segurança junto com o desenvolvimento. Não é necessário se tornar um especialista, mas entender conceitos como variáveis de ambiente, autenticação e proteção de dados fará toda diferença entre um projeto funcional e um projeto seguro. Segundo reportagem publicada por thehackernews.com.