Complacência da automação, edição segurança
O momento mais perigoso não é o primeiro dia — é o dia noventa. No primeiro dia você é cauteloso; lê cada diff, roda o de atacante, verifica o manipulador de upload. Aí cem mudanças são lançadas e nada de ruim acontece, e a verificação começa a parecer cerimônia. Você pula o portão de revisão "só dessa vez" numa mudança pequena. A mudança pequena adiciona um sem verificação de autorização. Nada acontece por um tempo, porque nada acontecer é exatamente a cara de um buraco de segurança visto de dentro.
Isso é complacência da automação apontada para a segurança, e é pior aqui do que em qualquer outro lugar, porque falhas de segurança são silenciosas e atrasadas. Uma funcionalidade quebrada te pune em minutos. Uma verificação de permissão quebrada te recompensa com sucesso aparente até o exato momento da violação. A ausência de desastre não é evidência de segurança — é a condição normal de um app vulnerável que simplesmente ainda não foi encontrado.
A defesa é tornar o portão barato o suficiente para você não pular e automático o suficiente para você não conseguir pular. Coloque a varredura de segredos e o audit no para que rodem sem depender da sua memória, e mantenha o prompt de atacante à mão para qualquer coisa que toque em autenticação, dados ou uploads. Segure uma linha: uma mudança que lida com dados de usuário ou permissões não é lançada até que alguém — você, com a ajuda honesta da IA — tenha tentado ativamente quebrá-la. Velocidade em vibe coding vem de bons portões, não de confiar que o silêncio significa que está tudo bem.