Radar encontra código inseguro gerado por IA ^{CEFR B2}

Um grupo do Systems Software & Security Lab (SSLab) da Georgia Tech criou o Vibe Security Radar para identificar casos em que ferramentas gerativas de IA contribuem para código vulnerável, prática conhecida como "vibe coding". A equipe analisou mais de 43.000 avisos públicos de segurança, cruzou os erros com o histórico de commits e sinalizou casos quando encontrou assinaturas de ferramentas como Claude, Gemini e GitHub Copilot.

Até o momento o radar confirmou 74 casos — 14 críticos e 25 altos — envolvendo falhas como command injection, authentication bypass e server-side request forgery. A detecção atual usa metadados (tags de coautor, e-mails de bots e outras assinaturas), mas não funciona quando esses marcadores são removidos. Por isso os pesquisadores estão avançando para um método comportamental que detecta padrões no próprio código: nomes de variáveis, estrutura de funções e tratamento de erros.

O relatório também mostra um aumento recente: cerca de 18 casos na segunda metade de 2025 e 56 casos nos primeiros três meses de 2026, incluindo 35 casos só em março de 2026. Muitos detectados vêm de ferramentas como Claude Code e Copilot, em parte porque deixam assinaturas mais claras. A equipe está aprimorando o pipeline e ampliando as fontes escaneadas. Zhao adverte que código produzido por IA deve ser revisado com o mesmo cuidado dado a um pull request de um desenvolvedor júnior, especialmente em entradas e autenticação.

• Recomendações: revisar a saída da IA e usar ferramentas de checagem.
• Aprimorar prompts e a verificação automatizada.
• Expandir fontes e métodos de detecção.