- O uso de código gerado por inteligência artificial (IA) entre desenvolvedores tem aumentado, semelhante ao código aberto, com a prática chamada “vibe coding”.
- Uma pesquisa da Checkmarx indica que um terço dos profissionais de tecnologia afirma que mais de 60% do código em suas organizações foi gerado por IA em 2024, mas apenas 18% possuem ferramentas aprovadas para essa prática.
- Especialistas alertam que a “vibe coding” pode comprometer a segurança da cadeia de suprimentos de software, gerando código inseguro e sem considerar o contexto específico de cada projeto.
- A falta de transparência na origem do código gerado por IA dificulta a auditoria e a identificação de falhas, ao contrário do que ocorre com o código aberto.
- Os riscos de segurança não afetam apenas grandes empresas; grupos vulneráveis podem ser mais impactados, exigindo que as organizações reavaliem suas práticas de segurança.
O uso de código gerado por inteligência artificial (IA) entre desenvolvedores tem crescido significativamente, semelhante ao que ocorreu com o código aberto. Essa prática, conhecida como “vibe coding”, visa aumentar a eficiência no desenvolvimento de software. Contudo, especialistas alertam que essa abordagem pode comprometer a segurança da cadeia de suprimentos de software.
Recentemente, uma pesquisa da Checkmarx revelou que um terço dos profissionais de tecnologia afirma que mais de 60% do código em suas organizações foi gerado por IA em 2024. No entanto, apenas 18% dessas empresas possuem ferramentas aprovadas para essa prática. A falta de ferramentas adequadas levanta preocupações sobre a segurança do software, especialmente com o aumento da complexidade na gestão do código.
Riscos da Vibe Coding
A “vibe coding” permite que os desenvolvedores criem rapidamente código adaptável, mas isso pode resultar em falhas de segurança. Alex Zenla, CTO da Edera, destaca que a IA pode gerar código inseguro, especialmente se treinada com dados vulneráveis. Além disso, o código gerado pode não considerar o contexto específico de cada projeto, aumentando o risco de falhas.
A pesquisa da Checkmarx também aponta que a falta de transparência na origem do código gerado por IA é um problema significativo. Dan Fernandez, da Edera, ressalta que, ao contrário do código aberto, onde é possível rastrear contribuições e alterações, o código gerado por IA carece dessa responsabilidade. Isso dificulta a auditoria e a identificação de potenciais falhas.
Impacto nas Organizações
Os riscos não se restringem a empresas de grande porte. Zenla alerta que a facilidade de uso da “vibe coding” pode expor grupos vulneráveis a riscos de segurança. Embora a abordagem possa beneficiar pequenas empresas e populações em situação de vulnerabilidade, as implicações de segurança podem ser desproporcionais para aqueles que menos podem arcar com os custos de uma violação.
Jake Williams, ex-hacker da NSA, enfatiza que o material gerado por IA já está presente em muitos códigos. Ele sugere que as lições aprendidas com a segurança do código aberto devem ser aplicadas para evitar problemas futuros. A crescente dependência do código gerado por IA exige que as organizações reavaliem suas práticas de segurança e adotem medidas rigorosas para mitigar riscos.
Entre na conversa da comunidade