Confiança frágil
A promessa do "vibe-coding" — a capacidade de criar software complexo a partir de pouco mais que comandos em linguagem natural — se sustenta sobre uma camada delicada de confiança. Essa camada parece ter se rompido na Lovable, plataforma projetada para transformar conversas com IA em aplicações funcionais. Um pesquisador de segurança, operando sob o pseudônimo @weezerOSINT, revelou recentemente que o serviço expôs um volume expressivo de dados sensíveis — incluindo código-fonte, credenciais de banco de dados e históricos internos de chat com IA — a qualquer pessoa com uma conta gratuita.
Dados abertos pela API
A exposição, identificada por meio da interface de programação de aplicações (API) da plataforma, afeta projetos criados antes de novembro de 2025. Ao acessar a API, o pesquisador conseguiu visualizar a lógica interna e os dados privados de projetos de outros usuários, revelando o que há por trás do processo de "vibe-coding". O vazamento evidencia uma tensão recorrente no atual boom de IA: a velocidade com que essas plataformas são lançadas frequentemente supera a implementação de práticas básicas de segurança.
30 minutos para encontrar a falha
Talvez o aspecto mais revelador seja o modo como a vulnerabilidade foi descoberta. O pesquisador relatou ter utilizado o modelo Grok 4.2, da xAI, para conduzir a auditoria, identificando a exposição em apenas 30 minutos. Antes do surgimento de LLMs tão avançados, encontrar uma falha dessa escala exigiria horas ou dias de reconhecimento manual. É um lembrete contundente de uma nova simetria no cenário de software: à medida que a IA reduz a barreira para construir aplicações, ela também equipa pesquisadores — e potencialmente agentes mal-intencionados — com ferramentas para desmontá-las com a mesma eficiência.
Projetos antigos seguem vulneráveis
Apesar de o problema ter sido reportado por meio da plataforma de divulgação de vulnerabilidades HackerOne no início de março, o pesquisador demonstrou nesta semana que projetos anteriores à correção continuam vulneráveis. Enquanto a indústria se volta para agentes autônomos e desenvolvimento automatizado, o caso da Lovable funciona como um alerta silencioso: as "vibes" de uma plataforma são tão seguras quanto o código que as sustenta.
Com reportagem de Fast Company.
Source · Fast Company
