O Que Você Vai Encontrar Neste Artigo:

🤖 A IA está escrevendo seu código — mas quem está auditando?
Ferramentas como GitHub Copilot e ChatGPT aceleraram o desenvolvimento, mas também aumentaram o volume de código não revisado que entra em produção todos os dias.

🦠 O VS Code virou alvo: extensões maliciosas roubando credenciais em 2026
Em janeiro de 2026, 19 extensões maliciosas foram descobertas no marketplace oficial do VS Code — incluindo uma que instalava um trojan capaz de exfiltrar senhas, tokens e chaves de API diretamente da máquina do desenvolvedor.

🔓 Seu código gerado com IA pode estar criando brechas que você não consegue ver
SQL injection, autenticação incorreta e dados sensíveis expostos em logs são vulnerabilidades que LLMs podem introduzir em códigos — e que ferramentas de segurança tradicionais não foram desenhadas para capturar.

🇧🇷 Para líderes brasileiros de AppSec a maturidade não acompanha os riscos
Uma reportagem do TI Inside de dezembro de 2025 revelou que a maioria das organizações no Brasil adota IA para produtividade sem implementar os controles de segurança correspondentes.

✅ O que organizações maduras estão fazendo diferente — e como você pode replicar
Análise automática de todo código independente da origem, security gates específicos para padrões de IA, e rastreabilidade para auditoria são as práticas que separam quem previne de quem responde a incidentes.

O copiloto que ninguém auditou

Existe uma transformação silenciosa acontecendo em todo time de desenvolvimento do Brasil agora mesmo. Desenvolvedores que antes escreviam cada linha de código estão cada vez mais aceitando sugestões, completando prompts, e gerando funções inteiras com ferramentas como GitHub Copilot, ChatGPT, Gemini, Amazon CodeWhisperer, e dezenas de outras.

A produtividade aumentou. Os prazos ficaram mais fáceis de cumprir. O onboarding de novos desenvolvedores foi acelerado.

Nesse cenário, o volume de código não auditado que entra em produção todos os dias também aumentou — exponencialmente.

O blog oficial da Snyk publicou em 2025 uma análise abrangente sobre ferramentas, bem como os benefícios e riscos na geração de código por IA, que é leitura obrigatória para qualquer gestor de desenvolvimento ou segurança. O diagnóstico central é preciso: as ferramentas de IA de geração de código introduzem uma categoria nova de risco de segurança que as abordagens tradicionais de AppSec não foram desenhadas para capturar. (Fonte: Snyk Blog, “AI Code Generation: Code Security, Quality, Benefits, Risks, and Top Tools”, 2025)

O que a pesquisa mais recente revela sobre código gerado por IA

O Snyk AI Code Security Report — atualizado com dados de 2025 — analisou centenas de milhares de projetos que utilizam assistência de IA no desenvolvimento e chegou a conclusões que devem figurar em toda apresentação de riscos para o board:

Os três riscos principais do código gerado por IA, segundo a Snyk:

1. Alucinações de segurança Modelos de linguagem grandes (LLMs) são treinados para gerar código que parece correto e seguro. Mas “parecer” não é necessariamente “ser”. LLMs com frequência podem gerar código que usa funções depreciadas, implementar criptografia de forma incorreta, ou criar padrões de tratamento de erros que expõem informações sensíveis.

2. Confiança excessiva dos desenvolvedores Pesquisas consistentes mostram que desenvolvedores que usam ferramentas de IA tendem a revisar menos criticamente o código sugerido do que o código que escrevem eles mesmos. A IA cria uma heurística de “já foi validado” que não existe de fato.

3. Velocidade que supera a revisão A aceleração de produtividade proporcionada por IA significa que mais código entra no pipeline mais rápido. Se os processos de revisão de segurança não acompanham essa velocidade, a lacuna entre “código escrito” e “código auditado” cresce continuamente.

(Fonte: Snyk, “Secure AI-Generated Code”, 2025; Snyk Blog sobre geração de código por IA, 2025)

Os vetores de ataque que ninguém estava esperando: extensões do IDE

Em janeiro de 2026, a comunidade de segurança foi sacudida por uma descoberta que combina de forma perturbadora com o tema de código gerado por IA: extensões maliciosas do editor de código baseado em IA, VS Code, distribuindo malware.

A Hunt.io documentou em detalhes a cadeia de ataque de uma extensão chamada Anivia, que carregava o OctoRAT — um trojan de acesso remoto sofisticado. A extensão estava disponível no marketplace oficial do VS Code e tinha aparência completamente legítima. Uma vez instalada, ela:

• Exfiltrava variáveis de ambiente (onde ficam tokens de API, chaves AWS, strings de conexão com banco de dados)

• Capturava credenciais de repositórios git

• Executava comandos remotos no sistema do desenvolvedor

• Se movia lateralmente na rede corporativa

(Fonte: Hunt.io, “Malicious VSCode Extension Anivia OctoRAT Attack Chain”, janeiro de 2026)

Simultaneamente, a Infosecurity Magazine reportou que 19 extensões maliciosas do VS Code foram identificadas em uma única investigação em janeiro de 2026, representando um padrão coordenado de ataques ao ecossistema de desenvolvimento. (Fonte: Infosecurity Magazine, janeiro de 2026)

A conexão com IA é direta: à medida que desenvolvedores dependem mais de ferramentas de IA integradas ao ambiente de desenvolvimento, o VS Code se torna ainda mais central no fluxo de trabalho — e portanto ainda mais valioso como alvo. Extensões que prometem integrar LLMs locais, otimizar prompts para Copilot, ou melhorar a geração de código são exatamente o tipo de isca que um atacante usaria para distribuir malware nesse contexto.

A superfície de ataque que o código de IA cria nos seus pipelines

Vamos ser específicos sobre onde o código gerado por IA cria vulnerabilidades que chegam à produção sem detecção:

Injeção de SQL gerada por IA LLMs frequentemente geram código de acesso a banco de dados que concatena strings diretamente em queries, especialmente quando o contexto do prompt não especifica claramente o uso de queries parametrizadas. O resultado é: código que funciona perfeitamente — e que está vulnerável a SQL injection.

Tratamento incorreto de autenticação e autorização: Código de autenticação gerado por IA frequentemente apresenta falhas sutis: verificações de permissão implementadas no lugar errado no fluxo de execução, tokens validados de forma incompleta, entre outras.

Exposição de dados sensíveis em logs: LLMs tendem a gerar código de logging abrangente para facilitar o debugging — o que frequentemente resulta em dados pessoais, tokens de autenticação, ou informações de pagamento sendo escritos em logs. Para uma empresa sujeita à LGPD e às resoluções do BACEN, isso é uma violação em potencial com cada linha de log.

Dependências inseguras sugeridas por IA: Quando você pede a uma LLM que gere código para uma função específica, ela frequentemente sugere importar bibliotecas. Essas bibliotecas podem ter versões mais recentes com correções de segurança — mas a IA não tem como saber qual versão está atualizada no momento em que você está codificando.

O que os líderes de AppSec brasileiros dizem sobre isso

Em dezembro de 2025, o TI Inside publicou um levantamento com líderes de AppSec de empresas brasileiras que revelou um quadro preocupante: a maturidade de segurança de aplicações no Brasil não está acompanhando a velocidade com que as ameaças evoluem.

Os entrevistados apontaram especificamente a adoção acelerada de ferramentas de IA no desenvolvimento como um dos principais fatores que ampliaram a superfície de risco sem a correspondente evolução dos controles de segurança. A maioria das organizações avança na adoção de IA para produtividade — mas pouquíssimas têm políticas formais de governança de segurança para o código que essas ferramentas produzem. (Fonte: TI Inside, dezembro de 2025)

Isso cria um gap que é, ao mesmo tempo, técnico e regulatório. A Resolução BCB nº 538/2025,publicada em dezembro de 2025, é o normativo de cibersegurança mais prescritivo já emitido pelo Banco Central. Em seu Art. 3º, §3º, ela estende explicitamente os controles de segurança ao desenvolvimento de sistemas e à adoção de novas tecnologias, inclusive IA — o que significa que usar Copilot ou ChatGPT para gerar código sem governança de segurança correspondente não é apenas um risco técnico: é não conformidade regulatória documentada. A CMN nº 5.274 complementa esse cenário reforçando os requisitos de gestão de vulnerabilidades e rastreabilidade em toda a cadeia de fornecimento de software.

[A Duranium desenvolveu uma calculadora de assessment gratuita que aponta em minutos os principais gaps da sua organização em relação às novas exigências — antes que o regulador os encontre por você.

👉 assessment.duranium.io ]

O que organizações maduras estão fazendo diferente

A Snyk, em sua documentação de boas práticas para segurança de código gerado por IA publicada em 2025, descreve o modelo que organizações de segurança madura adotam:

Análise automática de todo código — independente da origem A regra é simples: se o código vai para o repositório, ele passa pela análise de segurança. Não importa se foi escrito por um desenvolvedor sênior, um estagiário, ou o GitHub Copilot. A política é uniforme.

Contexto de segurança em prompts de IA Times maduros desenvolvem bibliotecas de prompts padronizados que incluem contexto de segurança — especificando explicitamente o uso de queries parametrizadas, autenticação adequada, e tratamento seguro de dados. Isso não elimina o risco, mas reduz significativamente a taxa de código inseguro gerado.

Security gates específicos para padrões de IA O Snyk DeepCode AI foi treinado especificamente para identificar padrões de vulnerabilidade que emergem com frequência em código gerado por LLMs — padrões que ferramentas de SAST tradicionais, treinadas em código humano, frequentemente deixam passar.

Rastreabilidade de código gerado por IA Para fins de auditoria e conformidade, organizações maduras mantêm metadados sobre qual código foi gerado por IA versus escrito por humanos — permitindo revisões direcionadas e demonstração de controles para reguladores.

(Fonte: Snyk, “Secure AI-Generated Code”, 2025)

Como a Snyk endereça especificamente os riscos de 2026

A Snyk não é uma ferramenta de segurança que existia antes da IA e simplesmente “adicionou suporte” para código de IA como feature de roadmap. Ele foi ativamente desenvolvido para o mundo onde IA e desenvolvimento de software são inseparáveis:

Snyk Code (SAST) Análise estática que usa IA para identificar vulnerabilidades semânticas — não apenas padrões sintáticos. Integrado ao VS Code, JetBrains, e outros IDEs, funciona como um revisor de segurança em tempo real enquanto o desenvolvedor (ou a IA) escreve.

Snyk Open Source (SCA) Análise de composição de software que mapeia todo o grafo de dependências, incluindo transitivas, com atualização contínua do banco de dados de CVEs. Quando o CVE-2026-21858 é publicado, a detecção é automática e imediata.

Snyk DeepCode AI Motor de análise específico para padrões de código gerado por IA, treinado em centenas de milhões de exemplos para identificar as categorias de vulnerabilidade mais comuns introduzidas por LLMs.

Snyk Container Análise de imagens de contêiner para garantir que vulnerabilidades não se propagam para os artefatos de deploy.

Integração com GitHub Copilot e outros assistentes A Snyk se integra diretamente com ferramentas de IA no IDE para fornecer feedback de segurança antes que o código gerado seja aceito — não depois que já foi commitado.

A implementação Duranium: feita para o contexto brasileiro

A Duranium não é apenas um revendedor da Snyk. Somos especialistas em fazer com que a segurança de código funcione no contexto específico das organizações brasileiras — com suas particularidades regulatórias, suas stacks tecnológicas, e suas equipes de desenvolvimento que têm muito trabalho e pouco tempo para lidar com falsos positivos e ferramentas que atrapalham mais do que ajudam.

Nossa metodologia em quatro fases foi desenhada para entregar valor rápido e conformidade sustentável:

Fase 1 — Assessment (1 semana): Análise do estado atual do código e pipeline, com identificação das 10 vulnerabilidades mais críticas presentes hoje.

Fase 2 — Quick Win (2 semanas): Correção das vulnerabilidades mais críticas com suporte hands-on. Resultado mensurável e apresentável para a diretoria em menos de 30 dias.

Fase 3 — Implementação (4–6 semanas): Integração completa com CI/CD, configuração de security gates, políticas de governança para código de IA.

Fase 4 — Governança contínua: Relatórios de conformidade BACEN, treinamento do time em DevSecOps, expansão das políticas conforme a organização evolui.

A pergunta que não pode ficar sem resposta

Com extensões maliciosas no VS Code exfiltrando credenciais, CVEs críticos surgindo toda semana em janeiro de 2026, e o código gerado por IA entrando nos seus repositórios em escala crescente — você sabe o que está vulnerável no seu ambiente agora mesmo?

Se a resposta não for um “sim” fundamentado em dados e ferramentas, é hora de mudar isso.

Agende um Assessment com a Duranium e você terá a resposta.

FALE COM A DURANIUM