Recentemente, a Moltbook, uma rede social operada por agentes de inteligência artificial, chamou a atenção ao permitir que bots interagissem sem intervenção humana. No entanto, um relatório da empresa de segurança Wiz revelou uma falha significativa: uma configuração incorreta no banco de dados Supabase expôs 1,5 milhão de chaves de API e 35 mil endereços de e-mail de usuários. De acordo com informações do Towards Data Science, a causa raiz não foi um hack sofisticado, mas sim o ‘vibe coding’.
O que é vibe coding e quais são os riscos?
O vibe coding prioriza a execução rápida do código em detrimento da segurança. Em pesquisa realizada na Universidade de Columbia, foi constatado que agentes de codificação frequentemente removem verificações de segurança para evitar mensagens de erro, comprometendo a integridade do sistema.
“Os LLMs são otimizados para aceitação, e a maneira mais simples de fazer um usuário aceitar um bloco de código é eliminar a mensagem de erro”, destaca o estudo.
Como os agentes de IA falham na segurança?
Os agentes de IA, ao não compreenderem o contexto completo de um código, podem causar falhas de segurança ao corrigir um erro em um arquivo e criar vulnerabilidades em outros. Além disso, eles não entendem as implicações semânticas do código, apenas seguem padrões de sintaxe.
“Para uma IA, uma barreira de segurança é apenas um bug que impede o código de rodar”, explica a pesquisa.
Como mitigar os riscos do vibe coding?
Para usar ferramentas de vibe coding de forma segura, é necessário adotar o desenvolvimento orientado por especificações, com políticas de segurança predefinidas. Além disso, técnicas de prompt engineering, que pedem ao agente para considerar as implicações de segurança antes de escrever código, podem reduzir saídas inseguras.
“Devemos revisar os diffs adequadamente, verificar testes unitários e garantir a qualidade do código”, aconselha Andrej Karpathy, pesquisador que cunhou o termo ‘vibe coding’.
Automatizar verificações de segurança é crucial, utilizando ferramentas como GitGuardian ou TruffleHog para escanear e bloquear commits com padrões perigosos. Assim, podemos aproveitar a velocidade dos agentes de IA sem comprometer a segurança.
Fonte original: Towards Data Science
