Fiquei curioso para saber se um app feito com vibe coding podia ser hackeado, então escaneei eu mesmo
(vibesafe.onrender.com)Não sou da área, mas ultimamente tenho feito várias coisas com o Cursor.
Há alguns dias, fiz algo parecido com uma loja virtual em Flask e pensei: "e se alguém hackear isso?" Então rodei um tal de scanner de segurança.
Resultado: 0/100 pontos. Nota F.
Eu nem sabia o que era SQL Injection, mas apareceu que tinha isso no meu código. Também foi a primeira vez que descobri que eval() é perigoso.
Aí pensei: "será que só eu estou assim?" Então escaneei mais 10 projetos parecidos no GitHub.
Resultado
| Projeto | Feito com | Pontuação | O que apareceu |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 pontos | Hash MD5, segredo exposto |
| vibe-kanban | React | 0 pontos | 25 problemas de acessibilidade |
| vibedev | JavaScript | 20 pontos | 4 chaves de API hardcoded |
| Product-Brainstorm | React + Express | 76 pontos | Falhas de acessibilidade |
| motif | React | 76 pontos | Falhas de acessibilidade |
| VibeSecurity | FastAPI + Go | 88 pontos | Problema na configuração de CORS |
| mcphub | Go + Next.js | 88 pontos | Configuração do Docker |
| Vibe-Coder | Next.js | 96 pontos | 1 problema de acessibilidade |
| ctx-cloud | TypeScript | 96 pontos | 1 problema de acessibilidade |
| Portfolio | Next.js | 96 pontos | 1 problema de acessibilidade |
Média de 63 pontos. Mas os projetos com backend em sua maioria ficaram com nota F.
Portfólios ou projetos só de frontend quase tiram nota máxima, mas quando começam a conectar com banco de dados ou usar chave de API, a pontuação despenca de repente para perto de zero.
O que eu aprendi
- Não dá para colocar chave de API direto no código — foi a primeira vez que descobri que isso tem que ir em um arquivo
.env - Mesmo pedindo para a IA "prestar atenção na segurança", ela não resolve muito bem — testei e ela só corrige uma parte
- Só frontend até vai, mas quando entra backend fica perigoso — o momento de criar pagamento ou login é o ponto em que o risco realmente aumenta
Ferramenta de scan
Eu mesmo fiz. Se você colocar uma URL do GitHub, ela dá uma pontuação em menos de 30 segundos.
Não precisa de cadastro e é grátis. Fiz para que iniciantes como eu consigam pelo menos saber "quão arriscado está meu código". Quando sai o resultado, é só copiar e colar na IA que ela corrige.
Código-fonte: https://github.com/vibesafeio/vibesafe-action
Agradeço qualquer feedback.
2 comentários
Usei muito bem!
Obrigado! O que vocês acharam!?