Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Programação por Intuição Está Morta — E Sua Startup Provavelmente Lançou um Desastre de Segurança

Karpathy cunhou o termo. Karpathy o matou. Os dados mostram que ele estava certo.

Andrej Karpathy — co-fundador da OpenAI e ex-líder de IA da Tesla — cunhou o termo "vibe coding" em fevereiro de 2025, descrevendo um estilo de desenvolvimento onde você "se entrega completamente às vibrações", aceitando código gerado por IA sem necessariamente entender cada linha. O Dicionário Collins o nomeou Palavra do Ano de 2025. As ferramentas explodiram: Cursor, Replit, Bolt, Lovable e Claude Code atraíram bilhões em financiamento de capital de risco. O GitHub relatou que 46% de todo o novo código commitado hoje é gerado por IA. No lote de Inverno de 2025 da Y Combinator, 25% das startups tinham bases de código que eram 95% ou mais geradas por IA. A vibe estava impecável.

Quatorze meses depois, a ressaca chegou. E o próprio Karpathy declarou o vibe coding obsoleto — não porque as ferramentas não funcionam, mas porque a indústria migrou para algo melhor e mais difícil: engenharia agêntica, onde desenvolvedores orquestram agentes de IA em vez de aceitar cegamente sua saída. Os dados explicam por que a mudança foi necessária.

Ponto Principal

Vibe coding — descrever o que você quer e enviar qualquer coisa que a IA gere — está produzindo problemas catastróficos de segurança e confiabilidade. Os números: 40-62% do código gerado por IA contém falhas de segurança. Proteção contra cross-site scripting falha 86% das vezes. 35 novos CVEs apenas em março de 2026 foram diretamente causados por código gerado por IA. A Amazon teve 4 interrupções críticas de serviço em uma semana por deployments de código de IA. Os ganhos de velocidade são reais. O custo é segurança, manutenibilidade e dívida técnica que se acumula invisivelmente até a produção explodir.

Os Números de Segurança Que Ninguém Quer Discutir

Os dados sobre segurança de código gerado por IA são inequívocos e alarmantes. A empresa de segurança Tenzai construiu 15 aplicações idênticas usando cinco ferramentas populares de vibe coding — Claude Code, OpenAI Codex, Cursor, Replit e Devin. O resultado: 69 vulnerabilidades entre essas aplicações. Seis eram críticas — significando que poderiam ser exploradas para obter acesso não autorizado, roubar dados ou assumir controle de sistemas. Isso não estava testando casos extremos obscuros; eram aplicações web padrão construídas com prompts padrão.

Estudos mais amplos confirmam o padrão. Entre 40% e 62% do código gerado por IA contém falhas de segurança, dependendo do estudo e da ferramenta. IA falha em proteger contra cross-site scripting (XSS) 86% das vezes — uma das vulnerabilidades web mais básicas e bem compreendidas. Pull requests criados por IA mostram taxas de vulnerabilidade de segurança 2,74 vezes maiores que código escrito por humanos. Apenas em março de 2026, 35 novos CVEs (Common Vulnerabilities and Exposures) foram diretamente atribuídos a código gerado por IA — acima dos 6 em janeiro. A linha de tendência está acelerando conforme mais código gerado por IA chega à produção.

O incidente da Amazon cristalizou o problema para audiências corporativas. Segundo o Financial Times, uma interrupção de serviço da Amazon em dezembro foi causada por um bot de codificação de IA. A empresa subsequentemente experimentou quatro incidentes críticos em uma única semana. Um memorando interno da Amazon reconheceu que salvaguardas "ainda não estão totalmente estabelecidas" — uma admissão notável para uma das organizações de engenharia mais sofisticadas do mundo. A Amazon agora requer que engenheiros sêniores aprovem qualquer mudança de código assistida por IA feita por engenheiros júniores e de nível médio. A empresa que foi pioneira em computação em nuvem em escala foi forçada a adicionar guardiões humanos especificamente porque código de IA não podia ser confiável.

Métricas de qualidade de código contam a mesma história de um ângulo diferente. Rotatividade de código — a taxa na qual código é escrito, commitado e então reescrito — está 41% maior. Duplicação de código aumentou quatro vezes. A refatoração cuidadosa que mantém bases de código saudáveis ao longo do tempo desabou de 25% das linhas alteradas em 2021 para menos de 10% em 2024. Um paper acadêmico de janeiro de 2026 argumentou que vibe coding está "silenciosamente matando o open source" ao reduzir o engajamento de desenvolvedores com os mantenedores que mantêm a infraestrutura crítica funcionando. Quando desenvolvedores param de ler código porque a IA o gera, eles também param de contribuir para os projetos comunitários dos quais seu código depende.

Por Que Velocidade Sem Compreensão Cria Bombas-Relógio

O problema fundamental com vibe coding não é que a IA gera código ruim — é que desenvolvedores enviam código que não entendem. Quando um humano escreve uma vulnerabilidade, o humano entende o código ao redor bem o suficiente para encontrar e corrigir o problema durante debugging. Quando IA gera uma vulnerabilidade, o desenvolvedor que a solicitou frequentemente não consegue identificar o problema porque nunca entendeu a lógica do código em primeiro lugar. O bug se torna uma caixa preta dentro de uma caixa preta.

Isso cria dívida técnica composta. Cada peça de código gerado por IA que o desenvolvedor não entende completamente adiciona outra camada opaca ao sistema. Quando essas camadas interagem — e elas sempre interagem, eventualmente — os bugs resultantes são extraordinariamente difíceis de diagnosticar porque ninguém na equipe tem um modelo mental de como o sistema realmente funciona. Eles só sabem o que disseram à IA que queriam. A lacuna entre intenção e implementação cresce silenciosamente até a produção falhar de maneiras que ninguém consegue explicar.

O problema de queima de créditos piora isso. Uma análise de comunidades de criadores de apps descobriu que usuários do Lovable queimaram 400 créditos apenas em correção de bugs — significando que gastaram recursos significativos corrigindo código que a IA gerou incorretamente, usando a mesma IA para tentar correções, gerando novos problemas no processo. Este ciclo — gerar, descobrir bug, solicitar à IA para corrigir, introduzir novo bug, repetir — é o lado sombrio do desenvolvimento assistido por IA. Cada rodada queima créditos ou tempo de computação, e a base de código acumula camadas de patches em cima de patches que nenhum humano revisou holisticamente.

📬 Obtendo valor disso?

Um insight acionável de IA por semana. Mais um pacote gratuito de prompts quando você se inscrever.

Inscreva-se grátis →

O Que Substituiu o Vibe Coding (E O Que Realmente Funciona)

A indústria se bifurcou no início de 2026 ao longo de uma linha previsível: desenvolvedores experientes usando ferramentas de IA viram ganhos genuínos de produtividade de 10-30%, enquanto desenvolvedores inexperientes usando as mesmas ferramentas produziram mais saída com pior qualidade. A diferença não é a ferramenta — é se o humano entende o que a IA gera.

Engenheiros experientes usam ferramentas de codificação de IA como aceleradores para padrões bem compreendidos: operações CRUD, integrações de API, formatação de dados, funções utilitárias, boilerplate. Eles revisam a saída, entendem suas implicações e capturam problemas de segurança antes de commitar. A IA economiza tempo na implementação; o humano fornece julgamento, arquitetura e garantia de qualidade. Isso é o que Karpathy agora chama de "engenharia agêntica" — orquestrando agentes de IA em vez de aceitar sua saída acriticamente. A melhoria de produtividade de 10-30% para codificação de IA adequadamente governada é real e sustentável.

Não-desenvolvedores que tentaram construir software de produção através de prompting puro — a promessa original do vibe coding — atingiram paredes de manutenção em semanas. Dados do Reddit de comunidades de criadores mostram um padrão de "migração reversa": usuários que deixaram plataformas no-code por ferramentas de codificação de IA retornaram a construtores visuais após experimentar o fardo de manutenção do código gerado por IA. As plataformas que combinam assistência de IA com construção visual estruturada estão emergindo como o meio-termo pragmático para não-desenvolvedores.

Para desenvolvedores, a conclusão prática é clara: ferramentas de codificação de IA são transformadoras quando pareadas com julgamento de engenharia. Elas são desastrosas quando usadas como substituto para julgamento de engenharia. A única habilidade de IA que importa se aplica aqui tanto quanto em qualquer lugar: a habilidade de avaliar saída de IA e exercer julgamento sobre se está correta, segura e apropriada para produção. O Otimizador de Prompt gratuito ajuda a escrever prompts de codificação mais específicos que produzem melhor saída na primeira tentativa, reduzindo os ciclos de iteração que agravam problemas de qualidade. Para otimização de um clique dentro do ChatGPT, Claude e Gemini, TresPrompt traz isso diretamente para seu fluxo de trabalho.

📬 Quer mais assim?

Um insight acionável de IA por semana. Mais um pacote gratuito de prompts quando você se inscrever.

Inscreva-se grátis →

Perguntas Frequentes

Vibe coding é sempre ruim?

Não — é ruim para sistemas de produção. Para prototipagem, exploração de ideias e aprendizado, descrever o que você quer e ver a IA gerar é genuinamente útil. O problema é quando código de prototipagem vai para produção sem revisão, teste de segurança ou compreensão humana de sua lógica. Vibe coding como exploração é bom. Vibe coding como engenharia é perigoso.

Claude Code faz parte do problema do vibe coding?

Claude Code, como qualquer ferramenta de codificação de IA, pode ser usado responsável ou irresponsavelmente. O que distingue Claude Code de ferramentas puras de vibe coding é seu fluxo de trabalho agêntico — ele executa testes, analisa erros e itera em soluções em vez de apenas gerar código uma vez. Mas mesmo a saída do Claude Code deve ser revisada por um desenvolvedor que entende a base de código. A ferramenta assiste engenharia; não a substitui.

Devo parar de usar ferramentas de codificação de IA?

Absolutamente não — os ganhos de produtividade são reais para desenvolvedores experientes. A resposta correta é governança, não abstinência. Revise código gerado por IA antes de commitar. Execute escaneamentos de segurança na saída da IA. Entenda a lógica do que a IA gera, especialmente para autenticação, autorização e manipulação de dados. Use IA para os 80% do código que segue padrões standard, e escreva os 20% críticos você mesmo.

Como tornar código gerado por IA mais seguro?

Três práticas: (1) Inclua requisitos de segurança em seus prompts — "garanta validação de entrada em todos os campos voltados ao usuário, use consultas parametrizadas para acesso ao banco de dados, implemente proteção CSRF." Instruções de segurança específicas produzem código mais seguro. (2) Execute scanners de segurança automatizados (Snyk, SonarQube, Semgrep) em todo código gerado por IA antes de commitar. (3) Exija revisão humana de código para qualquer código gerado por IA que toque autenticação, autorização, processamento de pagamento ou manipulação de dados pessoais.

Qual é a diferença entre vibe coding e engenharia agêntica?

Vibe coding: descreva o que você quer → aceite qualquer coisa que a IA gere → envie. Engenharia agêntica: defina a tarefa → IA gera uma solução → IA executa testes → IA identifica falhas → IA itera → humano revisa o resultado → humano aprova ou redireciona. A diferença é o loop de feedback e supervisão humana. Engenharia agêntica usa IA como colaborador; vibe coding usa IA como substituto.

Divulgação: Alguns links neste artigo são links de afiliado. Recomendamos apenas ferramentas que testamos pessoalmente e usamos regularmente. Veja nossa política completa de divulgação.