DEV Community

Dev Doido
Dev Doido

Posted on

A CULPA NÃO É DA IA: Segurança em Aplicações

#braziliandevs #javascript #programming #beginners

"Ah, esses apps com IA são todos vulneráveis..."

"Quero ver quando der problema, aí vão ter que chamar a gente..."

"Invadi o banco de dados do fulano com um inspect element..."

Se você já ouviu (ou falou) alguma dessas frases, parabéns. Você faz parte do Clube dos Engenheiros do Apocalipse. Mas neste artigo, vamos trazer um pouco de realidade (e ironia) para essa conversa.

Quem escreve código ruim: a IA ou você?

Vamos alinhar as expectativas. A IA não desenvolve aplicativo nenhum. Ela te ajuda, te sugere, escreve uns pedaços de código... Mas quem decide colocar a API key no front-end foi você. Quem esqueceu de validar no servidor, foi você. Quem colou o código do Stack Overflow sem entender, adivinha? Isso mesmo.

Ferramenta nenhuma cria app vulnerável. Quem cria é gente sem noção.

O erro clássico: API key no front

Vamos para um exemplo prático:

Caso A – O Desenvolvedor "Empolgado"

Você clica no botão “Pagar” e o app chama o Stripe. Mas o que aparece quando você inspeciona a chamada de rede?

{
  "api_key": "sk_live_essa-chave-vai-arruinar-sua-conta",
  "price_id": "prod_12345"
}
Enter fullscreen mode Exit fullscreen mode

Sim, a API key está no front-end. Aquele mesmo lugar que qualquer pessoa pode inspecionar com dois cliques. Resultado: alguém pode usar sua chave, fazer cobranças falsas, transferir dinheiro e — com sorte — você só perde reputação, não clientes.

Caso B – O Desenvolvedor que Pensa

No fluxo seguro, o front só envia uma identificação mínima. O servidor valida, monta a requisição, envia para o Stripe, recebe a URL do checkout e retorna pro front. Nenhuma chave exposta. Nenhuma dor de cabeça.

O front não é lugar de lógica crítica

Se você coloca validação de plano no front-end, você está basicamente dizendo:

“Ei, usuário malicioso, aqui está o script completo que impede você de criar mais instâncias. Basta apagar essa linha e pronto.”

A validação acontece no servidor, sempre. O front pede permissão, o back diz sim ou não. É simples assim.

A grande verdade (que dói)

Se seu app tem brechas, não culpe a IA, nem o no-code, nem o vibe-code, nem o botão que piscou. Culpe quem escreveu o código sem entender o que estava fazendo.

  • Front-end com lógica de negócios sensível? Culpa sua.
  • API key no navegador? Culpa sua.
  • Falta de autenticação? Falha sua.
  • Aplicativo vulnerável? Adivinha...

Checklist da vergonha (ou da salvação)

✅ API key no servidor, nunca no navegador

✅ Lógica crítica? Back-end

✅ Validações? No back-end também

✅ IA? Use, mas entenda o que ela fez

✅ Usuário esperto? Sempre haverá. Você precisa estar à frente

Conclusão

Ferramenta é ferramenta. IA é IA. Quem programa é você.

Se você acha que ferramentas criam vulnerabilidades, você precisa aprender segurança — não cancelar a IA. Na dúvida, culpe menos a tecnologia e estude mais os fundamentos.

Se esse artigo te ajudou a enxergar seus erros (ou os do coleguinha), compartilha, comenta, ou cola na parede do seu time dev.

E nunca mais coloque uma API key no front-end. Beleza?

💬 Gostou? Discorda? Comenta aí. Mas lembra: se expor dados no client, nem o comentário vai te salvar.

Top comments (0)