IA e cibersegurança – CISO alerta para a ‘praga’ de perder competências para vibe coding De onde vem o seu código? De uma IA? Então, deve ser perfeito, certo? Errado. Um novo relatório expõe os riscos, e o CISO do fornecedor alerta para problemas a longo prazo.

A cibersegurança continua a apresentar um panorama complexo, onde cada nova inovação na cloud parece abrir portas a novos bugs e vulnerabilidades. O velho ditado de que uma organização é tão segura quanto o seu elo mais fraco, muitas vezes humano, continua dolorosamente verdadeiro. A nova tecnologia desafia o nosso comportamento diário e testa em quem ou no que podemos realmente confiar. Mas agora, o risco está a infiltrar-se mais profundamente — incorporado na infraestrutura central e até nas aplicações que as empresas lançam. A parte assustadora? Por vezes, até os próprios desenvolvedores não conseguem identificar essas fraquezas, quanto mais corrigi-las.\n\nIsto afeta mais fortemente os Chief Information Security Officers (CISOs) e as suas equipas. O culpado? A Inteligência Artificial, especialmente o aumento do código gerado por IA e a ascensão do vibe coding — onde o código é produzido rapidamente com a ajuda da IA. Um relatório recente da Aikido, especialista em segurança de cloud e código, lança luz sobre esta ameaça crescente. O seu relatório "Estado da IA em Segurança e Desenvolvimento" pinta um quadro vívido da luta entre velocidade e segurança à medida que a adoção da IA explode. É claro que as equipas estão a apressar produtos para o mercado, muitas vezes com a mentalidade de “lançar agora, corrigir depois”, o que só alarga a superfície de ataque.\n\nO estudo, baseado em entrevistas com 450 profissionais na Europa e nos EUA — incluindo desenvolvedores, líderes de segurança e engenheiros de segurança de aplicações — descobriu que 69% das organizações identificaram vulnerabilidades ligadas ao código gerado por IA. Ainda mais alarmante, 20% relataram incidentes graves de segurança atribuídos a esta causa. Dado que os incidentes já são comuns — com 27% das organizações fortemente afetadas no último ano — a questão permanece: quantas violações permanecem por detetar?\n\nOs riscos não podiam ser maiores. Manchetes recentes revelam como serviços públicos e grandes marcas foram comprometidos, por vezes devido a sistemas frágeis em vez de ataques diretos — uma realidade familiar para gigantes como Amazon e Microsoft. A automação acelera as coisas, mas muitas vezes ao custo de introduzir falhas difíceis de encontrar. E isso leva-nos a águas turvas em torno da responsabilidade. Quem é o culpado quando o código escrito por IA causa danos? É o programador que usou a ferramenta, o fornecedor da IA que construiu um sistema falho, ou a equipa de segurança que não detetou a exploração?\n\nLegalmente, a responsabilidade recai sobre os líderes seniores, o que o relatório destaca ao mostrar que 75% dos CISOs tiveram de lidar com incidentes graves recentemente — muito mais do que o número de organizações que admitem grandes violações. Apesar disso, muitos inquiridos não sabem quem é realmente culpado. Mais de metade culpa a equipa de segurança por não detetar explorações; quase metade culpa os desenvolvedores por gerar código arriscado; menos apontam o dedo aos fornecedores de IA. Este jogo de culpas complicado sublinha os desafios de governação que o vibe coding introduz, criando um espelho onde a responsabilidade é difícil de definir.\n\nA confiança é uma grande parte do problema. Estamos realmente prontos para confiar em ferramentas de IA para codificação nesta escala, especialmente quando sabemos que os Grandes Modelos de Linguagem e chatbots podem alucinar, espalhar desinformação e até violar direitos de autor? O vibe coding não é diferente — herda esses riscos. Além disso, a proliferação de ferramentas de segurança destinadas a combater estes problemas ironicamente causa mais dores de cabeça. O relatório nota que equipas que usam muitas ferramentas separadas de fornecedores enfrentam mais incidentes e demoram mais a corrigir devido a problemas de integração, como alertas duplicados e dados inconsistentes. Abordagens integradas de segurança de aplicações e cloud, por outro lado, mostram taxas de incidentes mais baixas.\n\nDo ponto de vista humano, é claro que os engenheiros de segurança continuam cruciais. Um quarto dos CISOs alerta que perder mesmo um profissional de segurança de topo pode desencadear violações graves, atrasos na resposta a incidentes e desenvolvimento lento de produtos. O fator humano ainda importa profundamente, apesar do hype da IA.\n\nNuma conversa exclusiva, o CISO da Aikido, Mike Wilkes, descreveu a situação como “democratizar a capacidade de lançar código mau rapidamente.” Ele apontou que a automação e a infraestrutura como código não melhoraram a qualidade do código, apenas aceleraram o lançamento de software com falhas. Agora, com o vibe coding e ferramentas low-code/no-code, qualquer pessoa pode produzir código arriscado em grande escala, tal como a IA democratizou a criação de arte ou música medíocre. Esta "democratização da mediocridade" representa riscos reais e tangíveis para o futuro.