Estudo da DryRun Security revela que 87% do código gerado por agentes de IA contém vulnerabilidades

DryRun Security

Um relatório da empresa de segurança DryRun Security revelou que 87% do código gerado por agentes de IA (inteligência artificial) contém pelo menos uma vulnerabilidade de segurança.

O estudo analisou três dos principais agentes de programação disponíveis atualmente:

A pesquisa buscou avaliar como esses agentes se comportam em ambientes reais de desenvolvimento, simulando o fluxo de trabalho típico de equipes de engenharia.

Os resultados mostram que, embora os sistemas consigam gerar software funcional rapidamente, a segurança ainda não está plenamente integrada ao processo de geração de código.

Como o estudo foi conduzido

Para avaliar os agentes de programação, os pesquisadores criaram dois projetos completos de software.

Os agentes foram responsáveis por desenvolver:

  • um aplicativo web para rastreamento de alergias familiares
  • um jogo de corrida baseado em navegador

O desenvolvimento ocorreu por meio de pull requests sequenciais, simulando o processo real usado por equipes de engenharia.

Cada alteração de código era analisada por ferramentas de segurança antes da implementação da próxima funcionalidade.

Ao todo, foram realizadas 38 varreduras de segurança, avaliando toda a base de código ao longo do ciclo de desenvolvimento.

Mais de 140 problemas de segurança encontrados

Durante o experimento, os pesquisadores identificaram 143 problemas de segurança nos projetos analisados.

Embora todos os agentes tenham introduzido falhas, o estudo encontrou diferenças no comportamento entre eles.

Os resultados mostraram que:

  • Claude terminou com o maior número de vulnerabilidades críticas não resolvidas
  • Codex apresentou o menor número de falhas finais e melhor capacidade de correção
  • Gemini ficou em posição intermediária, corrigindo algumas falhas ao longo do processo

Isso indica que os modelos possuem níveis diferentes de capacidade para lidar com problemas de segurança durante o desenvolvimento.

Falhas de autenticação foram comuns

Um dos pontos mais preocupantes identificados no relatório foi a presença recorrente de vulnerabilidades relacionadas à autenticação.

Quatro categorias de falhas apareceram em todas as aplicações analisadas:

  • gerenciamento inseguro de JSON Web Tokens (JWT)
  • ausência de proteção contra ataques de força bruta
  • vulnerabilidade a ataques de repetição de token
  • configurações inseguras de cookies de autenticação

Esses problemas podem permitir que invasores obtenham acesso não autorizado a sistemas.

Problemas de segurança inconsistentes

Outro problema observado foi a aplicação inconsistente de medidas de segurança.

Em alguns casos, os agentes implementaram mecanismos de proteção, mas não os aplicaram em todas as partes da aplicação.

Por exemplo:

  • middleware de autenticação foi usado em APIs REST
  • porém não foi aplicado a endpoints baseados em WebSocket

Esse tipo de inconsistência pode deixar partes do sistema expostas a ataques.

A velocidade da IA versus segurança do software

Segundo James Wickett, CEO da DryRun Security, os agentes de programação com IA conseguem produzir software funcional em velocidade impressionante.

No entanto, ele alerta que a segurança ainda não faz parte do raciocínio central desses sistemas.

Isso significa que os agentes podem gerar código rapidamente, mas frequentemente negligenciam aspectos críticos de segurança.

Como resultado, vulnerabilidades podem se acumular ao longo do desenvolvimento.

Um problema crescente na indústria

A preocupação com segurança em código gerado por IA vem crescendo à medida que empresas adotam ferramentas de programação automatizada.

Outro estudo recente indicou que mais de 25% do código gerado por IA contém vulnerabilidades confirmadas quando comparado às categorias do OWASP Top 10, um dos principais referenciais globais de segurança de software.

Isso mostra que a adoção de IA no desenvolvimento pode introduzir novos riscos se não houver processos adequados de revisão.

A importância da revisão contínua de segurança

Especialistas afirmam que a revisão de segurança precisa acontecer durante todo o ciclo de desenvolvimento, especialmente em ambientes onde agentes de IA geram código automaticamente.

Boas práticas incluem:

  • auditoria contínua de código
  • análise automática de vulnerabilidades
  • revisão humana antes da implementação
  • testes de segurança durante o desenvolvimento

Esse tipo de abordagem ajuda a evitar que vulnerabilidades se acumulem à medida que novas funcionalidades são adicionadas.

Segurança ainda representa um desafio

O relatório da DryRun Security mostra que os agentes de programação com inteligência artificial estão transformando o desenvolvimento de software, permitindo criar aplicações completas em tempo recorde.

No entanto, os resultados também mostram que a segurança ainda representa um desafio importante nesse novo modelo de desenvolvimento.

À medida que empresas adotam agentes de IA para acelerar a criação de software, ferramentas de auditoria, testes e revisão de segurança devem se tornar parte essencial da infraestrutura de desenvolvimento.

Leia Também

Posts Relacionados

Cadastre-se na nossa newsletter

Inscreva-se na newsletter para ver novas fotos, dicas e postagens no blog.​

Subscribe to My Newsletter

Subscribe to my weekly newsletter. I don’t send any spam email ever!