Vibe coding - o que é e quando é perigoso para o negócio
Vibe coding é uma abordagem em que o código não é escrito linha a linha, mas por diálogo com a IA: descreva o comportamento desejado, aceite a sugestão do modelo, verifique o resultado «no feeling» e refine o pedido. O termo foi popularizado por Andrej Karpathy: você deixa de guardar todo o código na cabeça e conduz a intenção. Para o negócio isso acelera protótipos e ferramentas internas - e ao mesmo tempo cria dívida oculta se o artefato for para produção sem review, testes e um dono da arquitetura.
- Essência - programar com prompts no Cursor, Copilot, Claude Code e assistentes similares
- Vantagem - velocidade para MVP, landings, scripts e painéis «para ontem»
- Desvantagem - a IA escreve código que «funciona», mas pouco seguro e difícil de manter
- Perigoso - dinheiro, dados pessoais, pagamentos, acessos a CRM e servidores
- Seguro - rascunhos, utilitários de uso único, pilotos com code review rigoroso
- Regra - vibe para a velocidade da ideia; engenharia para o código que sustenta o negócio
O que é vibe coding em palavras simples
Desenvolvimento clássico: a pessoa projeta, escreve, depura e testa. O vibe coding muda o foco:
- Você formula a tarefa em linguagem natural.
- O assistente de IA gera arquivos, diffs, testes, configs.
- Você executa, observa o comportamento e corrige com um prompt («deixe o formulário mais bonito», «adicione autenticação»).
- O ciclo se repete até o «vibe» coincidir com o esperado.
Não é uma linguagem nem um framework separado. É um modo de trabalho com assistentes de IA para programação: menos digitação manual, mais direção e verificação.
| Modo | Quem «conduz» | Resultado típico |
|---|---|---|
| Código clássico | Desenvolvedor | Arquitetura previsível, mais controle |
| Assisted coding | Pessoa + dicas da IA | Rotina mais rápida sem perder ownership |
| Vibe coding | Diálogo com o modelo | Artefato rápido, ownership difuso |
| Modo agente | Um agente de IA edita o repo | Ainda mais velocidade e risco de «caixa-preta» |
Na prática a fronteira entre «assisted» e «vibe» é fina: se você lê o diff e entende cada mudança - é um desenvolvedor amplificado. Se aprova lotes de código porque «na UI parece funcionar» - já é vibe coding com todas as consequências.
Por que o negócio gosta
O vibe coding acerta a dor do dono e do product manager:
- Velocidade até a primeira demo - dias em vez de semanas.
- Menos dependência da fila de desenvolvimento para «miudezas» internas.
- Experimentos mais baratos: hipótese de landing, calculadora, bot, scraper.
- Mais pessoas conseguem montar um rascunho sem background senior profundo.
Para um startup em fase de ideia ou para automação interna de um time é uma alavanca real. Para fluxo de pagamento, área pessoal com dados pessoais ou módulo que sustenta a receita 24/7 - outro nível de responsabilidade.
Quando o vibe coding é útil
Use como acelerador se várias condições forem verdadeiras:
- O artefato é temporário ou fácil de substituir - protótipo, landing A/B, script de exportação pontual.
- Há uma pessoa que sabe ler código e responde pelo merge.
- Há testes (pelo menos smoke) e um ambiente diferente da produção.
- Sem acesso a segredos de produção, BD viva ou chaves de pagamento.
- Escopo local: uma tela, um cron, um microsserviço-rascunho.
Bons casos:
- rascunho de admin para importação manual;
- bot Telegram para fila interna de pedidos;
- boilerplate e migrações sob review;
- refatoração de renomear e separar arquivos em sandbox;
- documentação e testes de lógica já clara.
Quando é perigoso para o negócio
O perigo não é a IA ser «burra». O perigo é ela ser persuasiva: o código compila, a UI é clicável, e a vulnerabilidade, o vazamento de chave ou o bug silencioso no dinheiro aparecem depois.
1. Segurança e acessos
O modelo pode facilmente:
- hardcodar API keys «por comodidade»;
- desativar CSRF / abrir CORS
*; - montar SQL concatenando strings;
- gravar senhas ou tokens em logs;
- deixar endpoint de debug «temporário» aberto.
Sem security review isso é risco direto de multas, vazamentos e downtime.
2. Dívida técnica oculta
Código vibe frequentemente:
- duplica lógica em três lugares;
- puxa dependências desnecessárias;
- ignora os padrões do projeto;
- «cura» sintomas com gambiarra em vez da causa.
Em 2-3 meses o produto fica mais caro de manter do que se tivesse sido escrito com intenção desde o início. A economia inicial vira pagamento de juros.
3. Não há dono do comportamento
Quando um diff de 800 linhas é aceito «no vibe», ninguém responde com segurança:
- o que acontece com pedidos concorrentes;
- como reverter um pagamento parcialmente aplicado;
- por que o relatório contábil não fecha com o CRM.
Para o negócio isso é risco reputacional e financeiro, não «código feio».
4. Conformidade e dados
Se o perímetro inclui dados pessoais, informações médicas/financeiras ou requisitos regulatórios - «gerar e publicar» é inaceitável. São necessárias políticas de acesso, auditoria de mudanças e cadeia clara de responsabilidade.
5. Escala e integrações
A IA escreve bem widgets isolados. Piora ao juntar com cuidado billing, estoque, CRM, webhooks, idempotência e filas. O negócio perde dinheiro exatamente nessas junções.
| Sinal de «já é perigoso» | Por quê |
|---|---|
| Código direto pra prod sem review | Sem filtro de erros e vulnerabilidades |
| Sem testes de dinheiro/estoque/papéis | Bugs batem na receita e nos clientes |
| Segredos no repo ou no chat com IA | Vazamento e comprometimento da infraestrutura |
| Ninguém entende o módulo gerado | Bus factor = 0; qualquer falha é queda |
| «Na minha máquina funciona» = pronto | Sem critérios de aceite do negócio |
Regras práticas para o dono e o CTO
- Separe zonas: sandbox para vibe, perímetro protegido para receita e dados.
- Human review obrigatório em tudo de auth, pagamentos, dados pessoais, migrações de BD.
- Definition of Done não é «UI ok», e sim testes + logs + rollback + monitoramento.
- Não alimente modelos públicos com segredos nem dumps de clientes.
- Fixe ownership: cada merge tem um desenvolvedor responsável, não «um chat com IA».
- Orce a reescrita do piloto desde o início: protótipo ≠ production.
- Escolha a ferramenta com consciência - Cursor, Claude Code ou Copilot para o time, não «o que está no TikTok».
Fórmula de bom senso:
Vibe coding = acelerar uma hipótese. Engenharia = proteger o negócio.
Confundir esses papéis sai caro.
Quanto «custa» na prática
O preço direto da assinatura de uma IDE com IA é pequeno frente ao salário de um desenvolvedor. O preço oculto é outro:
| Item | O que acontece com vibe sem controle |
|---|---|
| Incidente de segurança | Investigação, downtime, avisos a clientes |
| Reescrita do módulo | 2-5× o custo do «piloto rápido» |
| Perda de conhecimento no time | Onboarding se alonga várias vezes |
| Erros em cálculos/pedidos | Perdas financeiras e de reputação diretas |
Protótipo barato é investimento normal. Produção barata sem controles é loteria.
Conclusão
Vibe coding é um modo poderoso de trabalhar com IA: você descreve a intenção, o modelo entrega código, você itera rápido. Para o negócio serve a rascunhos, utilitários internos e teste de hipótese. Fica perigoso quando o critério de pronto continua sendo «parece funcionar», e em jogo estão dinheiro, dados e continuidade do serviço. Mantenha o vibe na sandbox - e a produção sob review, testes e um dono claro do código.
Perguntas frequentes
Vibe coding é a mesma coisa que low-code / no-code?
Não. Low-code oferece blocos visuais e limites de plataforma. Vibe coding gera código comum (Python, JS, SQL etc.) via diálogo com a IA. Há mais flexibilidade - mas qualidade, segurança e suporte são inteiramente seus; a plataforma não «segura» a arquitetura.
Dá para construir o produto inteiro com vibe coding?
Protótipo e até um MVP precoce - sim, se houver um tech lead forte por perto. Produto escalável sem engenharia - em geral não: crescem integrações, carga, auditoria e previsibilidade. O vibe acelera o início; a maturidade exige disciplina de código.
É legal usar código de IA em projeto comercial?
Depende da licença da ferramenta, da política da empresa e dos contratos com clientes. Verifique à parte: para onde vão prompts e código, se o modelo pode ser treinado com seus dados, quem possui o resultado. Checagem jurídica e de segurança vai antes do perímetro de produção - não depois da reclamação do cliente.
Como saber que o fornecedor está «vibando» de forma perigosa?
Sinais vermelhos: PRs enormes sem explicação, sem testes, segredos no repo, «não mexam nesse arquivo - a IA escreveu», recusa de walkthrough da arquitetura, ausência de staging. Um bom fornecedor usa a IA como acelerador e defende com tranquilidade cada decisão.
Por onde começar com segurança no time?
Com tarefas internas não críticas e um piloto de 2-4 semanas: assistente de IDE escolhido, review obrigatório, proibição de segredos no chat, métricas (tempo da tarefa, incidentes, proporção de código reescrito). Amplie o perímetro só quando o processo de controle estiver estável.