Milhares de aplicativos criados com ferramentas de programação assistida por inteligência artificial estão disponíveis na internet sem qualquer proteção adequada, deixando à mostra informações confidenciais de empresas, hospitais e usuários comuns. A descoberta foi feita pela empresa israelense de cibersegurança RedAccess, que analisou 380 mil programas acessíveis publicamente.
Do total analisado, cerca de 5 mil aplicativos praticamente não tinham barreiras de autenticação ou segurança. Em muitos casos, bastava ter o link para acessar todo o conteúdo. O dado mais alarmante é que 40% desses apps expõem informações sensíveis, incluindo dados médicos, financeiros, corporativos e estratégicos.
O que é vibe coding e por que isso importa
Vibe coding é uma forma de desenvolvimento de software em que qualquer pessoa pode criar aplicativos usando apenas comandos em linguagem natural, sem precisar saber programar. Ferramentas como Lovable, Base44, Replit e Netlify estão entre as plataformas analisadas pela pesquisa. Elas democratizaram a criação de software, mas também abriram caminho para que pessoas sem nenhum conhecimento de cibersegurança coloquem sistemas inteiros na internet sem as devidas proteções.
O site Axios verificou de forma independente vários dos aplicativos identificados e encontrou casos graves. Entre eles estavam informações financeiras internas de um banco brasileiro, dados de uma empresa de logística detalhando a movimentação de embarcações em portos específicos, registros de ensaios clínicos ativos no Reino Unido pertencentes a uma empresa de saúde, e conversas completas de consumidores com o serviço de atendimento de uma fabricante de móveis britânica.
A própria RedAccess listou outros exemplos encontrados durante a investigação: conversas entre pacientes e uma instituição de cuidados infantis, resumos de consultas médicas e escalas de funcionários de um hospital, registros de aulas e dados de estudantes de uma escola, e até o roteiro completo de viagem de um casal particular para a Bélgica, com detalhes de reservas em hotéis e restaurantes.
Por que as empresas falharam
Segundo Dor Zvi, pesquisador de segurança da RedAccess, as próprias organizações são responsáveis pelo vazamento, ao colocar aplicativos no ar sem as proteções básicas. O nível de descuido chegou ao ponto de muitas empresas manterem os apps hospedados nos domínios padrão das próprias ferramentas de desenvolvimento, o que facilitou enormemente o trabalho dos pesquisadores. Para encontrar os sistemas desprotegidos, bastou realizar buscas simples no Google e no Bing.
O problema central parece ser a ausência de supervisão interna. As ferramentas de vibe coding permitem que qualquer funcionário crie e publique uma solução de software por conta própria, sem passar por uma equipe de tecnologia ou segurança. As empresas, ao que tudo indica, não estabeleceram políticas claras para controlar o que seus colaboradores estão desenvolvendo e publicando.
A resposta das empresas
A divulgação dos achados gerou reações contrastantes. O CEO da Replit, Amjad Masad, criticou publicamente a RedAccess por ter alertado a empresa apenas 24 horas antes de procurar veículos de imprensa para compartilhar os resultados da pesquisa.
A Lovable informou que está investigando os casos, mas alegou não ter recebido detalhes técnicos ou URLs dos aplicativos problemáticos. A Wix, proprietária da Base44, fez declaração semelhante, dizendo que também não recebeu a lista com os apps identificados. As três empresas transmitiram à publicação Wired que a decisão de tornar um aplicativo público é de responsabilidade exclusiva de quem o cria. A Netlify não se pronunciou.
A situação evidencia uma tensão crescente entre a facilidade proporcionada pelas ferramentas de inteligência artificial e a necessidade de conhecimento mínimo em segurança por parte de quem as utiliza. Criar um app ficou simples. Protegê-lo, ao que parece, continua sendo uma etapa que muitos ainda ignoram.
Texto: Redação TI Rio
Curadoria editorial: Bruno Nasser