Eu acompanho de perto o que acontece com as software houses que mentoro. E uma coisa que tenho visto me preocupa: muita gente adotou IA para escrever código sem se perguntar o que vem junto com essa velocidade toda. O resultado? Código que compila, passa nos testes básicos, mas esconde bugs que só aparecem em produção, quando o cliente já está reclamando.
A pergunta que todo CEO de software house deveria fazer é simples: se a IA escreve mais rápido, ela também erra mais rápido? A resposta, segundo os dados mais recentes, é sim. E os números são mais preocupantes do que a maioria imagina.
O Estudo Que Mudou a Conversa
A CodeRabbit publicou o relatório “State of AI vs Human Code Generation” analisando 470 pull requests reais em projetos open source. Não foi teste de laboratório, não foi benchmark artificial. Foi código de verdade, em repositórios de verdade, com impacto de verdade.
O resultado: código gerado por IA produz em média 10,83 issues por pull request, enquanto código humano produz 6,45. Isso é 1.7x mais problemas. E não estamos falando de errinhos de formatação. O estudo detalhou que IA gera 1.75x mais erros de lógica e correção, 1.64x mais problemas de manutenibilidade, 1.57x mais falhas de segurança e 1.42x mais problemas de performance.
Em segurança, a situação piora ainda mais. Código gerado por IA apresentou 2.74x mais vulnerabilidades de XSS (Cross-Site Scripting), 1.91x mais referências inseguras a objetos e 1.88x mais tratamento inadequado de senhas. São falhas que podem expor dados dos seus clientes.
53% do Código IA Vai Para Produção Com Vulnerabilidades
Segundo levantamento da AI Vyuh em 2026, mais da metade do código gerado por inteligência artificial vai para produção carregando vulnerabilidades. Pense nisso: a cada duas features escritas com IA, pelo menos uma tem alguma brecha de segurança que chegou ao ambiente do cliente.
A Veracode reforça esse cenário no seu GenAI Code Security Report. Em testes com 80 tarefas de codificação em quatro linguagens diferentes, 45% das amostras de código IA falharam nos testes de segurança baseados no OWASP Top 10. Java foi a linguagem mais arriscada, com 72% de taxa de falha em segurança. Para XSS especificamente, a IA falhou em se proteger em 86% dos casos.
O mais preocupante é que o número de CVEs (vulnerabilidades catalogadas) atribuídos a código gerado por IA saltou de 6 em janeiro de 2026 para 35 em março. Pesquisadores da Georgia Tech estimam que o número real seja entre 400 e 700 casos no ecossistema open source, porque a maioria das ferramentas de IA não deixa metadados identificáveis nos commits.
A Produtividade Não Compensa Se o Bug Vai Para o Cliente
Uma pesquisa da McKinsey com mais de 4.500 desenvolvedores em 150 empresas mostrou que ferramentas de IA reduzem o tempo em tarefas rotineiras em 46%. Ciclos de code review ficaram 35% mais curtos. O tempo entre feature request e código pronto caiu 28%. Números impressionantes.
Mas o mesmo estudo revelou que a densidade de bugs em projetos com código IA sem revisão humana é 23% maior. Ou seja, você ganha velocidade e perde qualidade. E qualidade, na minha experiência com 300+ software houses, é o que separa quem cresce de quem fica apagando incêndio.
Quando um bug vai para produção, o custo não é só técnico. É reputacional. É o cliente que liga irritado, é a renovação que não acontece, é a indicação que nunca vem. O Stack Overflow Blog publicou uma discussão sobre se bugs e incidentes são inevitáveis com agentes de IA codificando, e a conclusão é que sem supervisão estruturada, sim, são inevitáveis.
O Problema do “Vibe Coding” Sem Governança
A Cloud Security Alliance publicou uma nota de pesquisa sobre o que chamam de “Vibe Coding Security Crisis”. O fenômeno do vibe coding, onde descreve-se o que se quer em linguagem natural e a IA gera a aplicação, tem um lado perigoso: commits assistidos por IA expõem secrets (credenciais, chaves de API) a uma taxa de 3.2%, mais que o dobro dos 1.5% em commits puramente humanos.
No Brasil, o Portal Information Management alertou que “a pressa para programar com IA pode comprometer a segurança do software”. Testes com o GPT-4o mostraram que apenas 20% dos códigos gerados com alertas genéricos de segurança estavam seguros. Mesmo com prompts específicos mencionando OWASP, 35% do código ainda apresentava falhas.
A ISP.Tools documentou os riscos do vibe coding sem governança em 2026, destacando que controle de acesso, rastreabilidade e planos de contingência nem sempre existem quando a IA é o motor principal do desenvolvimento.
O Que Fazer: IA Como Ferramenta, Não Como Substituto
Os dados não mentem: IA é uma ferramenta poderosa que, sem supervisão, se torna uma máquina de débito técnico. A Veracode observou que a taxa de segurança do código IA permanece estagnada entre 45% e 55%, independentemente da geração do modelo. Ou seja, modelos mais novos escrevem código mais elegante, mas não necessariamente mais seguro.
Na prática, o que funciona é tratar código gerado por IA como código de um desenvolvedor júnior talentoso: rápido, produtivo, mas que precisa de revisão. Algumas práticas que recomendo:
- Code review obrigatório para todo código gerado por IA, sem exceção
- Testes automatizados de segurança integrados no pipeline CI/CD
- Análise estática e dinâmica antes de qualquer merge
- Gestão de secrets com ferramentas dedicadas (nunca no código)
- Treinamento do time para identificar padrões de vulnerabilidade típicos de código IA
A Anthropic lançou uma ferramenta de revisão de código com IA que ajuda justamente nesse processo, como documentado pelo RDD10+. A ideia não é abandonar a IA, mas complementar velocidade com segurança.
Conclusão: Velocidade Sem Qualidade É Só Pressa
Se você é CEO de uma software house e seu time está usando IA para codificar, a pergunta não é “estamos sendo produtivos?”. A pergunta certa é: “estamos revisando o que a IA produz com o mesmo rigor que revisamos código humano?”.
Os dados mostram que código IA precisa de mais atenção, não menos. O relatório da CodeRabbit com 470 PRs reais é claro: 1.7x mais issues, 2.74x mais vulnerabilidades XSS, 1.57x mais falhas de segurança. Ignorar isso é assumir um risco que vai custar caro.
Na minha experiência mentorando mais de 300 software houses desde 2016, as empresas que crescem são as que entendem que velocidade sem controle é só pressa disfarçada de produtividade. Use IA, sim. Mas revise tudo. Teste tudo. E nunca confie cegamente no que uma máquina escreve.
Sou Thulio, mentoro 300+ SHs desde 2016.
Este artigo foi baseado no vídeo “IA vs Programadores: Quem Cria Mais Bugs? #shorts” do nosso canal no YouTube.
Assista ao vídeo completo: https://www.youtube.com/watch?v=FNidWhpQ5Oo
