O perigo do vibe coding frente à engenharia com agentes

O 'vibe coding' não é só um atalho, é uma fonte documentada de vulnerabilidades reais: APIs keys expostas, lógica de autenticação no lado do cliente, dependências com CVEs conhecidos e até pacotes inventados por alucinação (como o 'npm install @fake/security-patch'). Dados de março de 2026 mostram que 68% dos repositórios gerados por IA em ambientes corporativos têm pelo menos um segredo hard-coded ou configuração insegura. Wes McKinney não está apenas criticando uma prática, ele está apontando para um colapso na cadeia de responsabilidade técnica, onde o prompt substitui a especificação, o deploy substitui o teste e o 'parece funcionar' substitui a validação de comportamento. A engenharia com agentes, ao contrário, exige que o engenheiro assuma o papel de arquiteto de feedback: definir limites operacionais (ex.: máximo de 1500 tokens por agente), forçar revisão humana em decisões de integração, e usar ferramentas como Superpowers para injetar disciplina estruturada, não só no código, mas no próprio fluxo de decisão do agente.

Isso se conecta diretamente ao débito técnico em IA já mapeado pela CEVIU em 3 de junho: os agentes não eliminam a dívida, eles a transformam. Em vez de código espaguete, temos 'orchestration spaghetti': pipelines com múltiplos agentes interdependentes, cada um com seu próprio viés de treinamento, tempo de resposta variável e superfície de falha distinta. A manutenibilidade passa a depender menos de linting tradicional e mais de sensores de contexto, como o rastreamento de tokens via Strands Agents, que permite identificar quando um agente está gastando 4x mais tokens que o esperado para uma mesma tarefa, sinalizando degradação silenciosa na qualidade da saída.

A cobertura anterior da CEVIU já havia estabelecido os pilares, orquestração, guardrails, sensores de manutenibilidade, mas a nova posição de McKinney traz dois deslocamentos concretos: primeiro, a ênfase explícita em 'Scope, Design and Taste' como critérios não negociáveis (não só testes ou revisão, mas julgamento conceitual); segundo, a operacionalização desses princípios em ferramentas prontas para produção, como o Superpowers (com suas 14 habilidades estruturadas para Claude Code) e o Roborev (daemon de revisão pós-commit). Antes, falávamos em 'precisamos de guardrails'; agora, há frameworks que os implementam com hooks Git nativos, validação de contexto e telemetria de custo embutida, e isso muda o que é tecnicamente viável em equipes reais.

Porque o risco não está no uso de IA, está na substituição invisível de etapas críticas de engenharia por rituais de velocidade. Um agente que gera um endpoint REST sem validar entrada, sem sanitizar SQL e sem registrar erros não é 'rápido', é uma bomba relógio com timestamp de commit. O que importa agora é que a qualidade não pode ser delegada a um modelo, ela precisa ser orquestrada, medida (em tokens, em tempo de revisão, em taxa de correção manual) e auditada. Isso redefine o trabalho do engenheiro: menos digitação, mais design de ciclos de feedback, mais escolha de métricas de confiança e mais intervenção em pontos de ruptura, como quando um agente começa a sugerir bibliotecas inexistentes ou a ignorar políticas de segurança já codificadas em CLAUDE.md.