← Voltar à lista

Vibe coding - o que é e quando é perigoso para o negócio

Vibe coding é uma abordagem em que o código não é escrito linha a linha, mas por diálogo com a IA: descreva o comportamento desejado, aceite a sugestão do modelo, verifique o resultado «no feeling» e refine o pedido. O termo foi popularizado por Andrej Karpathy: você deixa de guardar todo o código na cabeça e conduz a intenção. Para o negócio isso acelera protótipos e ferramentas internas - e ao mesmo tempo cria dívida oculta se o artefato for para produção sem review, testes e um dono da arquitetura.

  • Essência - programar com prompts no Cursor, Copilot, Claude Code e assistentes similares
  • Vantagem - velocidade para MVP, landings, scripts e painéis «para ontem»
  • Desvantagem - a IA escreve código que «funciona», mas pouco seguro e difícil de manter
  • Perigoso - dinheiro, dados pessoais, pagamentos, acessos a CRM e servidores
  • Seguro - rascunhos, utilitários de uso único, pilotos com code review rigoroso
  • Regra - vibe para a velocidade da ideia; engenharia para o código que sustenta o negócio

O que é vibe coding em palavras simples

Desenvolvimento clássico: a pessoa projeta, escreve, depura e testa. O vibe coding muda o foco:

  1. Você formula a tarefa em linguagem natural.
  2. O assistente de IA gera arquivos, diffs, testes, configs.
  3. Você executa, observa o comportamento e corrige com um prompt («deixe o formulário mais bonito», «adicione autenticação»).
  4. O ciclo se repete até o «vibe» coincidir com o esperado.

Não é uma linguagem nem um framework separado. É um modo de trabalho com assistentes de IA para programação: menos digitação manual, mais direção e verificação.

Modo Quem «conduz» Resultado típico
Código clássico Desenvolvedor Arquitetura previsível, mais controle
Assisted coding Pessoa + dicas da IA Rotina mais rápida sem perder ownership
Vibe coding Diálogo com o modelo Artefato rápido, ownership difuso
Modo agente Um agente de IA edita o repo Ainda mais velocidade e risco de «caixa-preta»

Na prática a fronteira entre «assisted» e «vibe» é fina: se você lê o diff e entende cada mudança - é um desenvolvedor amplificado. Se aprova lotes de código porque «na UI parece funcionar» - já é vibe coding com todas as consequências.

Por que o negócio gosta

O vibe coding acerta a dor do dono e do product manager:

  • Velocidade até a primeira demo - dias em vez de semanas.
  • Menos dependência da fila de desenvolvimento para «miudezas» internas.
  • Experimentos mais baratos: hipótese de landing, calculadora, bot, scraper.
  • Mais pessoas conseguem montar um rascunho sem background senior profundo.

Para um startup em fase de ideia ou para automação interna de um time é uma alavanca real. Para fluxo de pagamento, área pessoal com dados pessoais ou módulo que sustenta a receita 24/7 - outro nível de responsabilidade.

Quando o vibe coding é útil

Use como acelerador se várias condições forem verdadeiras:

  1. O artefato é temporário ou fácil de substituir - protótipo, landing A/B, script de exportação pontual.
  2. Há uma pessoa que sabe ler código e responde pelo merge.
  3. testes (pelo menos smoke) e um ambiente diferente da produção.
  4. Sem acesso a segredos de produção, BD viva ou chaves de pagamento.
  5. Escopo local: uma tela, um cron, um microsserviço-rascunho.

Bons casos:

  • rascunho de admin para importação manual;
  • bot Telegram para fila interna de pedidos;
  • boilerplate e migrações sob review;
  • refatoração de renomear e separar arquivos em sandbox;
  • documentação e testes de lógica já clara.

Quando é perigoso para o negócio

O perigo não é a IA ser «burra». O perigo é ela ser persuasiva: o código compila, a UI é clicável, e a vulnerabilidade, o vazamento de chave ou o bug silencioso no dinheiro aparecem depois.

1. Segurança e acessos

O modelo pode facilmente:

  • hardcodar API keys «por comodidade»;
  • desativar CSRF / abrir CORS *;
  • montar SQL concatenando strings;
  • gravar senhas ou tokens em logs;
  • deixar endpoint de debug «temporário» aberto.

Sem security review isso é risco direto de multas, vazamentos e downtime.

2. Dívida técnica oculta

Código vibe frequentemente:

  • duplica lógica em três lugares;
  • puxa dependências desnecessárias;
  • ignora os padrões do projeto;
  • «cura» sintomas com gambiarra em vez da causa.

Em 2-3 meses o produto fica mais caro de manter do que se tivesse sido escrito com intenção desde o início. A economia inicial vira pagamento de juros.

3. Não há dono do comportamento

Quando um diff de 800 linhas é aceito «no vibe», ninguém responde com segurança:

  • o que acontece com pedidos concorrentes;
  • como reverter um pagamento parcialmente aplicado;
  • por que o relatório contábil não fecha com o CRM.

Para o negócio isso é risco reputacional e financeiro, não «código feio».

4. Conformidade e dados

Se o perímetro inclui dados pessoais, informações médicas/financeiras ou requisitos regulatórios - «gerar e publicar» é inaceitável. São necessárias políticas de acesso, auditoria de mudanças e cadeia clara de responsabilidade.

5. Escala e integrações

A IA escreve bem widgets isolados. Piora ao juntar com cuidado billing, estoque, CRM, webhooks, idempotência e filas. O negócio perde dinheiro exatamente nessas junções.

Sinal de «já é perigoso» Por quê
Código direto pra prod sem review Sem filtro de erros e vulnerabilidades
Sem testes de dinheiro/estoque/papéis Bugs batem na receita e nos clientes
Segredos no repo ou no chat com IA Vazamento e comprometimento da infraestrutura
Ninguém entende o módulo gerado Bus factor = 0; qualquer falha é queda
«Na minha máquina funciona» = pronto Sem critérios de aceite do negócio

Regras práticas para o dono e o CTO

  1. Separe zonas: sandbox para vibe, perímetro protegido para receita e dados.
  2. Human review obrigatório em tudo de auth, pagamentos, dados pessoais, migrações de BD.
  3. Definition of Done não é «UI ok», e sim testes + logs + rollback + monitoramento.
  4. Não alimente modelos públicos com segredos nem dumps de clientes.
  5. Fixe ownership: cada merge tem um desenvolvedor responsável, não «um chat com IA».
  6. Orce a reescrita do piloto desde o início: protótipo ≠ production.
  7. Escolha a ferramenta com consciência - Cursor, Claude Code ou Copilot para o time, não «o que está no TikTok».

Fórmula de bom senso:

Vibe coding = acelerar uma hipótese. Engenharia = proteger o negócio.

Confundir esses papéis sai caro.

Quanto «custa» na prática

O preço direto da assinatura de uma IDE com IA é pequeno frente ao salário de um desenvolvedor. O preço oculto é outro:

Item O que acontece com vibe sem controle
Incidente de segurança Investigação, downtime, avisos a clientes
Reescrita do módulo 2-5× o custo do «piloto rápido»
Perda de conhecimento no time Onboarding se alonga várias vezes
Erros em cálculos/pedidos Perdas financeiras e de reputação diretas

Protótipo barato é investimento normal. Produção barata sem controles é loteria.

Conclusão

Vibe coding é um modo poderoso de trabalhar com IA: você descreve a intenção, o modelo entrega código, você itera rápido. Para o negócio serve a rascunhos, utilitários internos e teste de hipótese. Fica perigoso quando o critério de pronto continua sendo «parece funcionar», e em jogo estão dinheiro, dados e continuidade do serviço. Mantenha o vibe na sandbox - e a produção sob review, testes e um dono claro do código.

Perguntas frequentes

Vibe coding é a mesma coisa que low-code / no-code?

Não. Low-code oferece blocos visuais e limites de plataforma. Vibe coding gera código comum (Python, JS, SQL etc.) via diálogo com a IA. Há mais flexibilidade - mas qualidade, segurança e suporte são inteiramente seus; a plataforma não «segura» a arquitetura.

Dá para construir o produto inteiro com vibe coding?

Protótipo e até um MVP precoce - sim, se houver um tech lead forte por perto. Produto escalável sem engenharia - em geral não: crescem integrações, carga, auditoria e previsibilidade. O vibe acelera o início; a maturidade exige disciplina de código.

É legal usar código de IA em projeto comercial?

Depende da licença da ferramenta, da política da empresa e dos contratos com clientes. Verifique à parte: para onde vão prompts e código, se o modelo pode ser treinado com seus dados, quem possui o resultado. Checagem jurídica e de segurança vai antes do perímetro de produção - não depois da reclamação do cliente.

Como saber que o fornecedor está «vibando» de forma perigosa?

Sinais vermelhos: PRs enormes sem explicação, sem testes, segredos no repo, «não mexam nesse arquivo - a IA escreveu», recusa de walkthrough da arquitetura, ausência de staging. Um bom fornecedor usa a IA como acelerador e defende com tranquilidade cada decisão.

Por onde começar com segurança no time?

Com tarefas internas não críticas e um piloto de 2-4 semanas: assistente de IDE escolhido, review obrigatório, proibição de segredos no chat, métricas (tempo da tarefa, incidentes, proporção de código reescrito). Amplie o perímetro só quando o processo de controle estiver estável.

Contato