O Estado da Segurança Vibe-Coded

Foram escaneados 4.783 aplicativos assistidos por IA, revelando 727 vulnerabilidades críticas e mais de 5.000 de alta gravidade. Desses, 7% dos aplicativos Lovable e Bolt expunham publicamente bancos de dados Supabase, enquanto um grupo de controle YC não apresentou nenhuma exposição. Diversos sistemas em produção vazaram dados reais, incluindo faturamento e agendamentos de terapia, históricos completos de reservas com logs de chat, prontuários de pacientes acessíveis por simples mudanças de ID, tabelas de CRM via chaves anônimas públicas e dados de matrículas universitárias. A maioria das vulnerabilidades críticas decorreu do Supabase RLS desativado, seguido por chaves de API expostas no cliente, IDOR, endpoints OpenAPI não autenticados e código escrito por IA que fazia referência a verificações de segurança inexistentes.