Cerca de 5 mil aplicativos web desenvolvidos com ferramentas de “vibe coding” estão acessíveis publicamente na internet — e aproximadamente 40% deles expõem informações sensíveis. O levantamento foi realizado pela empresa israelense de cibersegurança RedAccess, que analisou cerca de 380 mil aplicações criadas em plataformas como Lovable, Base44, Replit e Netlify.
Essas plataformas fazem parte do fenômeno conhecido como “vibe coding”, modelo de desenvolvimento em que aplicações são criadas com auxílio de inteligência artificial generativa por meio de prompts em linguagem natural, permitindo até que pessoas sem conhecimento técnico em programação consigam construir softwares.
Segundo a pesquisa, os cerca de 5 mil aplicativos encontrados apresentavam pouca ou nenhuma camada de proteção. Em muitos casos, bastava possuir o link da aplicação para acessar seu conteúdo, já que as barreiras de autenticação eram inexistentes ou extremamente simples, como apenas solicitar um endereço de e-mail. A RedAccess afirma que cerca de 40% dessas aplicações deixavam dados críticos expostos, incluindo informações financeiras, médicas, corporativas e estratégicas.
O que foi encontrado nesses aplicativos?
O portal Axios analisou parte das aplicações vulneráveis e identificou casos preocupantes, como:
- Dados financeiros internos pertencentes a um banco brasileiro;
- Um sistema de uma empresa de logística mostrando previsões de embarcações em determinados portos;
- Uma aplicação interna do setor de saúde contendo detalhes de estudos clínicos em andamento no Reino Unido;
- Conversas completas entre clientes e o suporte de uma empresa britânica de móveis.
A própria RedAccess também relatou outros exemplos de exposição:
- Conversas envolvendo pacientes de uma instituição de cuidados infantis;
- Registros de análise de incidentes relacionados a consumidores de uma empresa de segurança;
- Um aplicativo pessoal contendo planejamento de férias de um casal na Bélgica, incluindo reservas de hotéis e restaurantes;
- Um sistema hospitalar com resumos de atendimentos médicos, escalas de funcionários e reclamações de pacientes;
- Uma plataforma escolar com dados de estudantes, horários de professores e registros de aulas.
Por que a situação preocupa?
De acordo com Dor Zvi, pesquisador da RedAccess, muitas empresas estão expondo seus próprios dados sem perceber ao criarem aplicações com ferramentas de vibe coding.
O cenário chamou atenção também pelo nível de descuido na publicação dessas aplicações. Diversos sistemas continuavam hospedados diretamente nos domínios das plataformas de desenvolvimento, o que permitiu que os pesquisadores encontrassem os apps vulneráveis apenas utilizando buscas comuns no Google e no Bing.
Como destacou o Axios, essas ferramentas democratizam o desenvolvimento de software ao permitir que praticamente qualquer pessoa crie aplicações, mesmo sem experiência em engenharia de software ou segurança digital. O problema é que muitas empresas aparentemente não possuem processos adequados para supervisionar o uso dessas plataformas por funcionários, aumentando o risco de vazamentos.
O posicionamento das empresas
Na rede social X, Amjad Masad, CEO da Replit, criticou a postura da RedAccess, afirmando que a empresa recebeu o alerta apenas 24 horas antes de os pesquisadores procurarem a imprensa para divulgar o caso.
A Lovable informou que iniciou investigações sobre os incidentes, mas alegou que não recebeu detalhes técnicos nem URLs específicos das aplicações vulneráveis. A Wix, responsável pela Base44, declarou situação semelhante e afirmou não ter tido acesso à lista de aplicativos afetados.
As três companhias disseram ainda à revista Wired que a decisão de tornar um aplicativo público depende exclusivamente de quem o desenvolve. Já a Netlify não comentou o assunto até o momento.