Leandro Akio
Por Leandro Akio, especialista em engenharia de software e Head de Produtos da Vericode*
A aceleração do desenvolvimento de software impulsionada pela inteligência artificial (IA) deixou de ser tendência para se tornar realidade operacional. Assistentes capazes de gerar código, sugerir correções, estruturar testes e automatizar tarefas repetitivas vêm transformando a dinâmica das equipes de tecnologia. O ganho de produtividade é evidente: ciclos de entrega mais curtos, redução de esforço manual e ampliação da capacidade de experimentação.
Esse novo ritmo de produção, porém, também altera a escala dos riscos quando práticas maduras de segurança, governança e qualidade de engenharia não acompanham a velocidade da entrega. A produtividade isolada, desconectada de controles técnicos consistentes, tende a ampliar vulnerabilidades na mesma proporção em que aumenta o volume de código gerado. Um estudo da organização de cibersegurança Cybernews, por exemplo, identificou que aplicativos de IA para Android estavam expondo credenciais sensíveis, incluindo chaves de interface de programação de aplicações (API) e configurações associadas a serviços do Google Cloud.
Ao todo, mais de 700 TB de dados de usuários foram potencialmente expostos a partir da análise de 1,8 milhão de aplicativos, sinalizando um problema sistêmico de engenharia, e não apenas falhas pontuais. Segundo os pesquisadores, 72% dos aplicativos avaliados continham ao menos um dado confidencial embutido diretamente no código-fonte. Além disso, 81% estavam vinculados a projetos armazenados no Google Cloud, ampliando a possibilidade de acesso indevido a ambientes corporativos.
Entre as informações expostas estavam dados bancários, tokens de autenticação e chaves de API, ativos frequentemente explorados em ataques direcionados, fraudes financeiras e sequestro de infraestrutura. Um dos pontos mais críticos identificados foi o uso recorrente da técnica de hardcoding, prática que consiste em armazenar credenciais e informações sensíveis diretamente no código da aplicação. Apesar de amplamente desaconselhada por padrões modernos de segurança, essa abordagem ainda persiste, seja por conveniência, desconhecimento ou pressão por prazos.
O problema é que, em um contexto de desenvolvimento acelerado por IA, a repetição automatizada de más práticas tende a ocorrer em escala. Se o modelo sugere código inseguro e não há revisão adequada, o erro deixa de ser isolado e passa a ser estrutural. É importante destacar que a IA não é a origem do problema. Ela atua como catalisadora. Ferramentas de geração de código aprendem com bases públicas que nem sempre refletem as melhores práticas de segurança.
Quando critérios técnicos não estão claramente definidos e quando não há validação contínua, como revisão de código, testes automatizados de segurança e políticas claras de gestão de credenciais, a velocidade proporcionada pelos assistentes de desenvolvimento amplia a superfície de ataque. Produtividade sem revisão técnica não representa ganho real, mas vulnerabilidade em escala.
Essa discussão também se conecta ao fenômeno conhecido como “vibe coding”, no qual a priorização da agilidade supera a preocupação com arquitetura, documentação e boas práticas. Ferramentas como o GitHub Copilot demonstram o potencial de aumento de eficiência, mas seu uso exige supervisão técnica consistente e responsabilidade sobre o que é incorporado ao produto final. A IA potencializa a engenharia, mas não substitui disciplina, pensamento crítico e governança.
Diante desse cenário, a adoção de inteligência artificial no desenvolvimento precisa estar integrada a um ciclo robusto de qualidade. Isso inclui testes automatizados contínuos, análise estática e dinâmica de código, gestão segura de segredos (secrets management), monitoramento em produção, controle de versões e práticas estruturadas de DevSecOps. Em ambientes críticos, especialmente aqueles que lidam com dados sensíveis, serviços financeiros, saúde ou infraestrutura, a integração entre inteligência artificial, segurança digital e engenharia disciplinada não é opcional.
Portanto, o caso analisado pela Cybernews evidencia uma lição clara, em que inovação sem validação estruturada transforma velocidade em risco. O desafio das organizações não é desacelerar a adoção de IA, mas garantir que governança, qualidade e segurança evoluam no mesmo ritmo. Caso contrário, o que deveria ser diferencial competitivo pode rapidamente se converter em exposição operacional e reputacional de larga escala.
*Leandro Akio é profissional de engenharia com sólida experiência na área de tecnologia da informação e serviços. Possui MBA em Arquitetura de Soluções pela FIAP e é especialista em engenharia de software, qualidade e automação de testes, além da aplicação de inteligência artificial em ambientes críticos. Atualmente é Head de Produtos da Vericode.