IA pode substituir SaaS, mas transição será lenta – e cheia de riscos de segurança
O avanço da Inteligência Artificial aplicada ao desenvolvimento de software está começando a mexer com um dos pilares da economia digital: o modelo de Software como Serviço (SaaS). Uma análise recente do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) discute o impacto do chamado “vibe coding” – o uso de IA para escrever código com mínima ou nenhuma revisão humana – e conclui que, apesar do potencial de disrupção, a substituição em larga escala do SaaS levará anos e exigirá uma revisão profunda das práticas de segurança.
Do “SaaSpocalypse” ao novo custo do software
David Chismon, diretor de arquitetura do NCSC, relembra um marco simbólico: em fevereiro de 2026, o mercado financeiro viu uma “oscilação de bilhões de dólares” no valor de grandes empresas de tecnologia dos Estados Unidos. Investidores temiam que a IA pudesse corroer o modelo de SaaS, gerando um clima de pânico batizado de “SaaSpocalypse”.
Para o especialista, embora o código produzido por IA ainda esteja longe de ser sempre robusto ou seguro, a curva de custo e esforço para criar soluções “personalizadas o suficiente” mudou de forma radical. Em muitos cenários, passa a ser economicamente viável substituir um produto SaaS por uma aplicação feita sob medida, construída rapidamente com apoio de modelos de IA generativa.
Um caso citado no estudo ilustra essa virada: uma startup recebeu uma proposta de renovação de um serviço SaaS com o dobro do preço anterior. Em vez de aceitar a nova assinatura, um engenheiro da empresa utilizou ferramentas de IA para desenvolver, em poucas horas, um sistema com as funcionalidades essenciais necessárias ao negócio, evitando o aumento de custo recorrente.
Adoção do vibe coding: três variáveis decisivas
Chismon prevê que o uso massivo de IA para escrever código vai se espalhar de forma desigual, seguindo três eixos principais:
1. Complexidade do serviço – quanto mais simples for o sistema, maior a probabilidade de ser substituído por algo rapidamente desenvolvido com IA.
2. Importância do serviço – aplicações críticas, ligadas ao core do negócio ou à segurança, tendem a ser adotadas com mais cautela.
3. Aversão ao risco da organização – empresas mais conservadoras demorarão mais a abandonar SaaS maduros em favor de soluções recém-geradas por IA.
Mesmo com problemas atuais – como código defeituoso, vulnerabilidades embutidas e falta de governança -, Chismon argumenta que os incentivos econômicos serão fortes demais para serem ignorados. Em ambientes pressionados por redução de custos e agilidade, a tentação de substituir licenças SaaS por software “sob medida em poucos cliques” tende a crescer.
A janela de oportunidade (e de perigo) para a segurança
Para o NCSC, o momento atual representa uma oportunidade rara para que profissionais de segurança influenciem o futuro dessa transformação. Se especialistas em cibersegurança não se envolverem desde já na definição de práticas, padrões e controles para o vibe coding, o ecossistema poderá se consolidar com falhas graves – um cenário semelhante ao que ocorreu nos primeiros anos da adoção massiva da nuvem, quando a segurança frequentemente foi tratada como preocupação secundária.
O documento destaca que a IA não é apenas uma ameaça: ela também pode se tornar uma aliada fundamental. Ferramentas de IA podem auxiliar na análise de código, na busca de vulnerabilidades, na geração de documentação e na automação de testes de segurança, desde que sejam utilizadas de forma estruturada e sob governança clara.
Salvaguardas essenciais para o código gerado por IA
Entre as medidas consideradas básicas para um uso mais seguro de IA no desenvolvimento de software, o NCSC lista:
– Modelos que priorizem segurança por padrão: a própria IA deve ser treinada e configurada para evitar padrões de código inseguros, seguindo boas práticas de desenvolvimento seguro.
– Confiança na procedência dos modelos: é crucial saber de onde vêm os modelos utilizados, como foram treinados e quais dados foram empregados, reduzindo o risco de backdoors ou comportamentos inesperados.
– Uso de IA para revisão de código: além de gerar software, modelos também podem atuar como “revisores automáticos”, apontando inconsistências, vulnerabilidades comuns e más práticas.
O estudo vai além e destaca medidas mais sofisticadas, como a adoção de arquiteturas determinísticas, capazes de limitar o que o código pode fazer mesmo que, por algum motivo, seja malicioso. Isso inclui uso rigoroso de sandboxing, controle de permissões, segmentação de ambientes e restrições de acesso a recursos sensíveis.
Outro ponto enfatizado é a necessidade de aplicar rotinas clássicas de higiene de segurança – testes sistemáticos, documentação adequada, fuzzing, revisões por pares – a todo software gerado, independentemente de ter sido escrito por humanos ou por IA. O fato de o código “parecer correto” não significa que ele seja seguro.
O futuro do SaaS: quem sobrevive?
O NCSC projeta que, em um horizonte de 5 a 10 anos, apenas determinados tipos de serviços SaaS terão “valas defensivas” suficientes para resistir à onda do vibe coding. Entre eles:
– Soluções difíceis de replicar tecnicamente, que exigem conhecimento especializado ou integração complexa com vários sistemas externos.
– Serviços com forte componente regulatório, como plataformas que atendem a normas rígidas de setores financeiro, de saúde ou governamental, onde compliance pesa tanto quanto funcionalidade.
– Plataformas com grande massa de dados e efeito de rede, em que o valor está não só no software, mas no acúmulo de informações, modelos treinados e na comunidade de uso.
Por outro lado, ferramentas mais simples, focadas em fluxos relativamente padronizados – automações internas, dashboards básicos, sistemas de apoio operacional – tornam-se candidatas naturais à substituição por soluções geradas sob demanda por IA.
Curiosamente, o impacto projetado é menor sobre serviços de infraestrutura e plataforma (IaaS/PaaS). Organizações continuarão precisando de ambientes para executar e escalar as aplicações que criarem com suporte de IA. Em outras palavras: mesmo se parte do SaaS for substituída, alguém ainda precisará fornecer a base de computação, rede, armazenamento e orquestração.
O que isso significa para empresas hoje
Para as organizações, o recado prático é duplo. De um lado, é preciso começar a explorar estrategicamente o vibe coding: mapear quais sistemas poderiam ser parcialmente substituídos por soluções internas, criadas com auxílio de IA, e quais dependem de requisitos regulatórios, SLAs rígidos ou integrações críticas que recomendam manter o modelo SaaS tradicional.
De outro, é urgente incorporar a segurança desde o início dessas iniciativas. Isso inclui definir políticas claras de uso de IA na engenharia de software, estabelecer padrões mínimos de testes, criar pipelines de desenvolvimento que incluam validação automatizada de segurança e manter supervisão humana qualificada sobre o código mais sensível.
O papel do CISO e das equipes de segurança
Para CISOs e líderes de segurança, a transição rumo ao desenvolvimento intensivo com IA não pode ser tratada apenas como um tema tecnológico; é um assunto de estratégia de risco corporativo. Caberá a essas lideranças:
– Participar da seleção de ferramentas e modelos de IA utilizados no desenvolvimento.
– Definir controles de acesso a repositórios de código e dados usados para treinar ou refinar modelos.
– Estabelecer critérios para quando uma solução gerada por IA pode substituir um SaaS crítico.
– Criar processos de auditoria e rastreabilidade que permitam entender o histórico de cada componente de software implantado.
Ignorar o movimento e tentar simplesmente proibi-lo tende a ser ineficaz: equipes de desenvolvimento provavelmente adotarão ferramentas de IA por conta própria, buscando produtividade. A alternativa mais realista é acompanhar, orientar, criar limites e transformar a IA em aliada da segurança, e não em inimiga invisível.
O risco de dependência e o novo tipo de lock-in
Um aspecto muitas vezes negligenciado é que a substituição de SaaS por software gerado via IA não elimina a dependência de terceiros: apenas a desloca. Em vez de ficar preso a um fornecedor SaaS, a empresa pode acabar fortemente dependente de um ecossistema específico de modelos de IA, plataformas de desenvolvimento assistido ou serviços de nuvem que otimizam essas ferramentas.
Esse novo tipo de lock-in traz desafios próprios: custos de migração entre modelos, riscos de mudanças abruptas em políticas de uso, variação da qualidade dos resultados a cada atualização e a necessidade de garantir que o conhecimento gerado (incluindo código e documentação) permaneça sob controle da organização.
Governança, dados e compliance em um mundo “vibe coded”
Outro ponto central é a governança de dados. Para que a IA produza código útil, muitas vezes ela precisa de contexto: esquemas de banco de dados, amostras de dados, regras de negócio e, em alguns casos, informações sensíveis. Sem políticas rígidas de proteção de dados e segmentação de ambientes, a própria etapa de desenvolvimento pode se tornar um vetor de exposição de informações confidenciais.
Além disso, órgãos reguladores começam a observar com atenção o uso de IA em processos críticos, especialmente em setores que lidam com dados pessoais, saúde, finanças e infraestrutura essencial. A construção de software por IA poderá passar a exigir evidências de conformidade específicas, como logs de geração, trilhas de auditoria, documentação das decisões automatizadas e comprovação de que o código foi devidamente testado e revisto.
IA como camada de proteção para o mundo físico
A mesma lógica que aponta riscos também abre caminho para usos positivos. À medida que sistemas de controle industrial, dispositivos IoT e infraestruturas críticas se conectam cada vez mais a softwares assistidos por IA, surgem oportunidades de usar a própria IA como camada de proteção do mundo físico: monitorando anomalias, detectando padrões de ataque mais sutis e auxiliando na resposta a incidentes em tempo quase real.
Nesse cenário, a discussão deixa de ser apenas “a IA vai matar o SaaS?” e passa a ser “como usamos a IA para construir um ecossistema digital mais resiliente, mesmo mudando o papel do SaaS?”.
Perspectiva de longo prazo: menos hype, mais estratégia
O NCSC reforça que a transição não acontecerá da noite para o dia. A substituição de grandes plataformas SaaS, enraizadas em processos de negócio complexos, levará tempo e dependerá de confiança, maturidade tecnológica e regulação. Nos próximos anos, o mais provável é um cenário híbrido: parte das soluções continuará sendo consumida como serviço, enquanto outra parte será construída e ajustada continuamente com o apoio de IA.
Para empresas, provedores de tecnologia e profissionais de segurança, a tarefa agora é se preparar estrategicamente para esse futuro: experimentar, aprender, estabelecer controles e, sobretudo, evitar decisões impulsivas baseadas apenas em hype ou em medo. A IA pode, sim, remodelar o mercado de SaaS – mas quem começar a tratar o tema com seriedade desde já terá vantagem quando a verdadeira revolução deixar de ser promessa e se tornar realidade operacional.