Quem ainda entende código?

Bastava mudar um parâmetro na URL.

Sem ferramenta especial. Sem exploit. Uma requisição GET com um ID diferente — e os dados de outro usuário apareciam na tela. Nome, email, telefone, dados de pagamento, API keys. Tudo servido numa bandeja de prata.

Isso aconteceu em 170 apps. Todos construídos na Lovable — plataforma sueca que permite criar apps apenas descrevendo o que você quer. Nenhuma experiência de programação necessária. Avaliada em centenas de milhões de dólares.

Em maio de 2025, um audit de segurança escaneou 1.645 apps da plataforma. Mais de 10% estavam completamente abertos. A causa? Row Level Security mal configurada — a IA gerou as tabelas mas não aplicou as políticas de acesso. Um único app expôs dados de 18.000 usuários, incluindo estudantes de UC Berkeley.

Mas o mais perturbador não era a falha em si. Era o que acontecia quando os founders tentavam investigar.

Eles abriam o código. E não entendiam o que estava escrito.

Não porque fosse complexo. Pelo contrário: nomes de funções bonitos, comentários coerentes, estrutura profissional. O problema é que ninguém ali tinha escrito aquilo (ou sabia ler o que estava escrito).

Os engenheiros criaram um termo pra isso: "plausible garbage" — código que compila, passa na inspeção visual, parece profissional. Mas esconde bugs, brechas de segurança e decisões que ninguém tomou conscientemente. 45% do código gerado por IA contém falhas de segurança. Não falhas esotéricas — falhas básicas que um dev júnior aprenderia a evitar no segundo mês de estágio.

Na edição #73, perguntamos: quem ainda escreve código? Na #74, alertamos: não confie na máquina. Hoje: quem ainda entende código?

Bem-vindos ao mundo do Código-Fantasma.

O Conceito: Code Ownership sem Code Writing

Você não precisa escrever cada linha. O Spotify não escreve código desde dezembro. O Cursor gera 35% das suas próprias PRs com agentes. O trem saiu da estação.

Mas você precisa ser dono de cada linha. Entender por que existe. Saber o que faz. Ser capaz de explicar quando algo quebra às 2 da manhã.

Ownership não é sobre quem digitou. É sobre quem responde quando dá merda.

O Cenário: Seu Novo Colega Tem 25.000 Clones

A McKinsey opera com 40.000 humanos e 25.000 agentes de IA. Há 18 meses, eram 3.000. Meta: paridade 1:1 até dezembro. Resultado: 1,5 milhão de horas economizadas por ano — o equivalente a 750 consultores full-time.

Do outro lado, a Amazon demitiu 30.000 funcionários em 3 meses citando "agentic workflows", enquanto investe $125 bilhões em IA.

Dois cenários. McKinsey: agentes complementam humanos. O humano muda de executor pra supervisor. Amazon: agentes substituem humanos. 30.000 pessoas recebem uma carta. A diferença? Ownership. Na McKinsey, o consultor direciona agentes e tem ownership do resultado. Na Amazon, o funcionário foi eliminado do loop.

O conceito que importa aqui: Agent Density — a razão agentes/humanos na sua organização. Se a McKinsey opera em 0.63 e caminha pra 1.0, qual é a sua? Uma equipe de 3 com 10 agentes bem configurados pode competir com uma de 15 sem agentes — se souber supervisionar.

A Ferramenta: O Cursor Deu um Computador pro Agente

Em 24/02/2026, o Cursor lançou Cloud Agents. O agente recebe uma task, liga uma VM própria, escreve código, testa, debuga sozinho quando falha, grava um vídeo demonstrando que funciona, e abre um PR merge-ready.

A pergunta muda: "Como eu supervisiono agentes que se supervisionam?"

Isso exige Agent Observability: entender o que o agente decidiu, detectar plausible garbage antes do merge, manter audit trail de quem fez o quê.

A Regulação: O Governo Quer Regular Seu Agente

O NIST lançou a AI Agent Standards Initiative em 17/02/2026 — primeiro esforço governamental formal pra criar regras de interoperabilidade, segurança e identidade pra agentes autônomos. Prazo pra comentários: 9 de março.

Estamos em 1996 dos agentes de IA. Quem investiu em segurança desde o começo quando o PCI DSS chegou teve vantagem massiva. O mesmo vai acontecer aqui. Padrões não são burocracia — são vantagem competitiva antecipada.

A Oportunidade: O Bisturi, Não o Canivete

Três indie hackers lançaram "o próximo app de produtividade" no último mês. Nenhum fez $1. Um cara construiu um plugin de compliance pra dentistas. Fatura $28k/mês.

A diferença: profundidade vs. amplitude. O canivete genérico compete com 500 alternativas e gigantes como Notion e Todoist. O bisturi vertical — compliance odontológica, algo chato e obrigatório — é insubstituível pra quem precisa dele.

Quanto mais profundo no workflow do cliente, mais difícil de substituir. Num mundo onde IA gera qualquer código, o diferencial volta a ser o mais humano: entendimento profundo de problemas reais de pessoas reais. A IA escreve o código. Mas não te dá a intimidade com o problema que transforma um app genérico num bisturi indispensável.

O Adulto na Sala

Seis fenômenos. Uma quinzena. Um padrão: a variável que determina sucesso ou fracasso é a presença de um humano que entende o suficiente pra ser o adulto na sala. O dev que lê o código antes de mergear. O founder que audita PRs de agentes. O indie hacker que conversa com dentistas antes de escrever uma linha.

O triângulo das últimas edições:

• Autonomia é um músculo (use ou perca)

• Confiança é um processo (verifique, sempre)

• Ownership é uma escolha (ninguém te obriga, mas o mercado seleciona)

A era do Código-Fantasma está só começando. Todo dia, mais código é escrito por máquinas que ninguém lê. O espaço entre o prompt e a produção fica maior — e mais escuro.

Output impressionante não é substituto pra entendimento real.

A questão não é técnica. É existencial:

Você vai ser quem constrói sobre os fantasmas — ou quem consegue vê-los?

Escolha bem. O mercado seleciona.

📚 Conteúdos Recomendados

• The Uncomfortable Truth About Vibe Coding — Red Hat

• Cloud Agents with Computer Use — Cursor Blog

• NIST AI Agent Standards Initiative

• McKinsey: 25,000 AI Agents — ainvest

• 2026 SaaS Market Report — Indie Hackers

Forte abraço,

Equipe Olympus