Tecnologia

Uma varredura de 380 mil apps feitas com IA encontrou milhares sem nenhum tipo de autenticação

Uma varredura de 380 mil apps feitas com IA encontrou milhares sem nenhum tipo de autenticação
Susan Hill
8 de maio de 2026 às 18h46

O discurso do vibe-coding desde 2023 sempre foi o mesmo — qualquer um pode construir um app. Uma nova varredura da RedAccess entrega o primeiro recibo concreto. De cerca de 380 mil aplicações web construídas com ferramentas de codificação baseadas em IA e implantadas em serviços como Netlify, aproximadamente 5 mil não tinham autenticação de nenhum tipo. Cerca de 40 por cento desses apps desprotegidos guardavam dados sensíveis — informações de usuários, logs de conversa, dados de pagamento, credenciais internas. Os números pousaram esta semana na WIRED, Axios e Security Boulevard, e descrevem uma categoria de falha que a indústria vem empilhando em silêncio há dois anos.

Os geradores apontados são as plataformas que qualquer não-desenvolvedor já conhece. Lovable, Replit, Base44 e o ecossistema mais amplo de ferramentas “construa a partir de um prompt” vendem desde sempre a mesma promessa implícita — a IA não substitui só a digitação do código, ela substitui também o engenheiro que deveria estar olhando. Você escolhe um prompt, vê o app aparecer, sobe em produção pelo Netlify ou Vercel, compartilha o link. O que a varredura da RedAccess documenta é o que entrou em produção sem que ninguém nesse fluxo perguntasse se o app precisa de uma fechadura.

As vulnerabilidades não são sutis. Os apps desprotegidos não exigiam atacante esperto — bastava um navegador. Muitos subiam com chaves de Supabase ou Firebase embutidas direto no bundle do cliente, o que significa que qualquer interessado consegue ler o banco de dados. Alguns davam acesso de escrita ao mesmo banco, então um estranho consegue editar os registros dos seus usuários. Alguns expunham endpoints de administração. A categoria da falha não é zero-day nem caso de borda mal configurado. É a ausência completa da camada de segurança.

Trailer de “The Precinct” Revela Imersiva Experiência de Jogo

Vale guardar ceticismo, porque a tentação de culpar as ferramentas é grande e só parcialmente correta. Um dev júnior construindo o mesmo app do zero sem supervisão entregaria algo parecido. A diferença é o volume. As ferramentas de vibe-coding rebaixam o piso o suficiente para que o número total de apps colocados no ar por gente que não consegue raciocinar sozinha sobre autenticação tenha explodido. As ferramentas tecnicamente conseguem oferecer scaffolding de auth, mas o fluxo padrão não obriga, e os usuários que mais se beneficiam dessas ferramentas são justamente os que estão pior equipados para perceber quando falta. A Lovable disse estar trabalhando para ativar o scaffolding de auth por padrão. A Replit apontou para suas configurações de segurança já existentes, reconhecendo que os usuários podem desativá-las. A Base44 não comentou publicamente. As plataformas reagem — a pergunta é se a reação anda mais rápido que a curva de implantação.

A leitura estrutural é mais difícil de engolir. Há dois anos a indústria vende a retirada da revisão profissional do pipeline de deploy como benefício, não como custo. Os dados da RedAccess são como essa retirada se parece em escala. Os apps funcionam para o usuário que os construiu e funcionam também para qualquer um que encontre a URL. Os próximos dois anos provavelmente serão um acúmulo lento de incidentes desse tipo, até que as plataformas exijam autenticação no nível do framework por padrão, ou até que os reguladores as obriguem. As duas coisas podem acontecer. O regime de responsabilidade por produto da União Europeia já está sendo relido para cobrir software gerado por IA, e os procuradores-gerais estaduais nos EUA começaram a circular.

O que os usuários dessas plataformas podem fazer hoje é apertado. A RedAccess publicou guias para as quatro ferramentas citadas — verificar se o app exige login antes de qualquer acesso a dados, auditar as chaves enviadas no bundle do cliente e assumir que qualquer URL compartilhada já está sendo varrida por alguém. As plataformas prometeram melhorias. A varredura que produziu essa história levou poucos dias. A próxima já está sendo preparada.

Mais como este

Agente da Perplexity para Mac custa 200 dólares por mês e lê seu e-mail

Agente da Perplexity para Mac custa 200 dólares por mês e lê seu e-mail

Quando o algoritmo audita a física: o colapso silencioso da autoridade da revisão por pares

Quando o algoritmo audita a física: o colapso silencioso da autoridade da revisão por pares

Roland-Garros eSeries e a ascensão dos esports mobile na cultura esportiva digital

Roland-Garros eSeries e a ascensão dos esports mobile na cultura esportiva digital

SpaceX protocola o maior IPO da história: 75 bilhões a 1,75 trilhão de dólares

SpaceX protocola o maior IPO da história: 75 bilhões a 1,75 trilhão de dólares

PieX Revela Pingente Revolucionário de Rastreamento Emocional com IA na CES 2025

PieX Revela Pingente Revolucionário de Rastreamento Emocional com IA na CES 2025

Big Moxi Games anuncia novo demo do Wardens Rising

Big Moxi Games anuncia novo demo do Wardens Rising

Discussão

Há 0 comentários.