Um grupo do Systems Software & Security Lab (SSLab) da Georgia Tech criou o Vibe Security Radar para identificar casos em que ferramentas gerativas de IA contribuem para código vulnerável, prática conhecida como "vibe coding". A equipe analisou mais de 43.000 avisos públicos de segurança, cruzou os erros com o histórico de commits e sinalizou casos quando encontrou assinaturas de ferramentas como Claude, Gemini e GitHub Copilot.
Até o momento o radar confirmou 74 casos — 14 críticos e 25 altos — envolvendo falhas como command injection, authentication bypass e server-side request forgery. A detecção atual usa metadados (tags de coautor, e-mails de bots e outras assinaturas), mas não funciona quando esses marcadores são removidos. Por isso os pesquisadores estão avançando para um método comportamental que detecta padrões no próprio código: nomes de variáveis, estrutura de funções e tratamento de erros.
O relatório também mostra um aumento recente: cerca de 18 casos na segunda metade de 2025 e 56 casos nos primeiros três meses de 2026, incluindo 35 casos só em março de 2026. Muitos detectados vêm de ferramentas como Claude Code e Copilot, em parte porque deixam assinaturas mais claras. A equipe está aprimorando o pipeline e ampliando as fontes escaneadas. Zhao adverte que código produzido por IA deve ser revisado com o mesmo cuidado dado a um pull request de um desenvolvedor júnior, especialmente em entradas e autenticação.
- Recomendações: revisar a saída da IA e usar ferramentas de checagem.
- Aprimorar prompts e a verificação automatizada.
- Expandir fontes e métodos de detecção.
Palavras difíceis
- metadado — informação sobre dados usada para identificaçãometadados
- assinatura — marca ou sinal que identifica origem de algoassinaturas
- detecção — ato de encontrar ou identificar um problema
- comportamental — relacionado a padrões de comportamento observado
- aprimorar — tornar algo melhor por meio de ajustesaprimorando
- checagem — verificação para encontrar erros ou problemas
- revisar — examinar cuidadosamente antes de aceitar mudanças
- pipeline — sequência de etapas num processo de análise
Dica: passe o mouse, foque ou toque nas palavras destacadas no artigo para ver definições rápidas enquanto lê ou ouve.
Perguntas para discussão
- Que vantagens e limites você vê na detecção baseada em metadados versus a abordagem comportamental?
- Como as equipas de desenvolvimento devem adaptar processos de revisão para código gerado por IA?
- Que outras fontes ou sinais poderiam ser úteis para identificar casos de "vibe coding"?
Artigos relacionados
Equador usa tecnologia contra a desinformação eleitoral
Grupos no Equador reativaram Hacks Hackers e organizaram conferência e hackathon no início de 2024 para enfrentar a desinformação eleitoral com ferramentas tecnológicas, premiando três equipes que seguem desenvolvendo protótipos.
Novas ferramentas de IA para detetar e monitorizar tuberculose
Pesquisadores mostraram várias ferramentas de inteligência artificial na Union World Conference on Lung Health, em Copenhaga, entre 18-21 de novembro. As inovações prometem deteção mais rápida de TB, mas precisam de validação e implementação mais larga.
