O Tailwind tem 75 milhões de downloads por mês e quase fechou. O cURL cancelou seu programa de bug bounty. A Apple está bloqueando apps feitos com IA. O que está acontecendo com software em 2026?

Leonardo Santos

Leonardo Santos

7 min read
O Tailwind tem 75 milhões de downloads por mês e quase fechou. O cURL cancelou seu programa de bug bounty. A Apple está bloqueando apps feitos com IA. O que está acontecendo com software em 2026?

Três histórias reais que mostram o que ninguém está te contando sobre o lado B da revolução de IA no desenvolvimento de software.

No dia 6 de janeiro de 2026, Adam Wathan, fundador do Tailwind CSS, demitiu três dos quatro engenheiros da empresa. No dia seguinte, explicou o porquê num comentário no GitHub que viralizou em horas: o framework que ele criou é mais popular do que nunca — 75 milhões de downloads por mês, usado em 617 mil sites, adotado pelo Shopify, GitHub, NASA, Claude, Cursor — e ao mesmo tempo a receita caiu 80%.

Três semanas depois, Daniel Stenberg, criador do cURL — ferramenta usada por bilhões de dispositivos no mundo — anunciou o fim do programa de bug bounty que mantinha desde 2019. O motivo: relatórios de vulnerabilidade gerados por IA estavam inundando o time de segurança com lixo tão convincente que distinguir bug real de alucinação se tornou insustentável.

Em março de 2026, a Apple começou a bloquear atualizações de apps criados com plataformas de vibe coding — Replit e Vibecode — na App Store, citando regras existentes sobre execução de código dinâmico.

São três histórias que parecem desconexas. Mas juntas contam algo que vale a pena entender: a IA não está só acelerando o desenvolvimento de software. Está reconfigurando as regras de quem sobrevive, quem lucra e quem paga o preço.

1. O paradoxo do Tailwind: quanto mais gente usa, menos dinheiro entra

A história do Tailwind é, talvez, o caso mais emblemático de 2026 sobre como a IA reorganiza a economia do software. O Tailwind CSS é open-source e gratuito. A receita vinha de produtos pagos — o Tailwind Plus, um pacote com mais de 500 componentes por US$ 299 — e de patrocinadores. O funil funcionava assim: desenvolvedor tem um problema de CSS → vai até a documentação → descobre os produtos pagos → alguns compram. Simples. Funcionou por anos.

Aí a IA entrou no circuito.

Em 2026, quando um dev precisa de código Tailwind, ele pergunta ao Claude, ao Cursor, ao ChatGPT. A resposta vem instantânea, correta, formatada. O dev resolve o problema. Nunca abre o site do Tailwind. Nunca descobre que os produtos pagos existem. O tráfego da documentação caiu 40% desde 2023, enquanto o uso do framework cresceu. É provavelmente a primeira vez na história do software que popularidade e receita se movem em direções opostas.

Wathan descreveu a situação numa frase que ficou gravada:

"Tailwind is growing faster than it ever has and is bigger than it ever has been, and our revenue is down close to 80%."

O detalhe mais revelador apareceu quando um contribuidor abriu um pull request sugerindo criar um arquivo /llms.txt — que compilaria toda a documentação num formato otimizado para LLMs. Wathan recusou, e explicou: tornar a documentação mais acessível para IA significaria menos tráfego no site, menos gente descobrindo os produtos pagos, e o negócio ficando ainda menos sustentável.

Pense nisso por um segundo. O criador de uma das ferramentas mais usadas da web está resistindo a tornar seu produto mais fácil de usar — porque a facilidade acelera sua própria destruição financeira.

Depois da viralização, empresas como Vercel, Google AI, Gumroad e Supabase anunciaram patrocínios. É encorajador. Mas também irônico: as mesmas empresas cujas ferramentas de IA quebraram o modelo de negócio do Tailwind agora pagam para mantê-lo vivo. Como notou um dev no Hacker News — é como um carro atropelar alguém e depois pagar a ambulância.

O que isso ensina: a IA não precisa substituir um produto para destruir seu negócio. Basta redirecionar o tráfego. Se o seu modelo de receita depende de pessoas visitando seu site, lendo sua documentação, ou passando pelo seu funil de conversão, a IA está silenciosamente desviando esse fluxo — mesmo que mais gente esteja usando o que você fez.

2. O cURL e a inundação de lixo inteligente

Daniel Stenberg mantém o cURL desde 1998. É um dos softwares mais ubíquos do planeta — presente em celulares, carros, televisores, servidores, satélites. Desde 2019, o projeto tinha um programa de bug bounty via HackerOne, pagando até US$ 10 mil por vulnerabilidades críticas. O programa funcionou bem: 87 vulnerabilidades confirmadas, mais de US$ 100 mil pagos a pesquisadores.

Até que os relatórios gerados por IA começaram a chegar.

Na palestra que deu no FOSDEM 2026, em Bruxelas, Stenberg descreveu o problema com clareza cirúrgica. Antes da onda de IA, cerca de um em cada seis relatórios de segurança era legítimo. Em 2025, a proporção caiu para um em vinte ou trinta. Os relatórios falsos não eram amadores — eram longos, detalhados, convincentes, com terminologia técnica correta e cenários de exploração elaborados. Eram exatamente o tipo de coisa que um LLM produz quando alguém pede "encontre uma vulnerabilidade de segurança neste código": fluente, confiante, e completamente inventado.

Stenberg descreveu um relatório sobre um suposto exploit de "stream dependency cycle" no HTTP/3 que, se fosse real, seria uma vulnerabilidade crítica de nível global. Não era real. Mas levou horas de análise humana para confirmar isso.

"The floodgates are open. Send it over. Before, someone actually invested a lot of time in the security report. There was a built-in friction. Now there's no effort at all."

Nas primeiras semanas de 2026, sete relatórios chegaram em dezesseis horas. Vinte no total até a data do anúncio. Alguns tinham bugs reais — mas nenhum era vulnerabilidade de segurança. O time estava gastando mais tempo triando lixo do que fazendo qualquer outra coisa. Stenberg chamou a situação de "terror reporting" e fechou o programa.

O que torna essa história especialmente reveladora é o segundo ato. Na mesma palestra, Stenberg fez questão de dizer que IA também está ajudando: ferramentas de análise de código baseadas em IA encontraram mais de 100 bugs no cURL que nenhuma ferramenta anterior jamais detectou. A IA é, ao mesmo tempo, o veneno e o antídoto. A diferença está em quem está operando a ferramenta e com que intenção.

O que isso ensina: IA não precisa ser maliciosa para ser destrutiva. Basta remover a fricção. Quando qualquer pessoa consegue gerar um relatório de segurança convincente em segundos, o custo de triagem explode. O resultado é que os mantenedores de projetos críticos — gente que faz a internet funcionar — gastam seu tempo separando alucinação de realidade em vez de melhorar o software.

3. Vibe coding: todo mundo coda, ninguém entende o código

Em fevereiro de 2025, Andrej Karpathy — cientista da computação, cofundador da OpenAI, ex-líder de IA na Tesla — cunhou o termo vibe coding: a prática de descrever o que você quer em linguagem natural, aceitar o código que a IA gera, e seguir em frente sem necessariamente entender o que foi escrito. No fim de 2025, o Collins Dictionary elegeu "vibe coding" como a palavra do ano.

Em fevereiro de 2026, os números são concretos: 92% dos desenvolvedores americanos usam ferramentas de IA diariamente. 46% de todo código novo no GitHub é gerado por IA. No lote de inverno de 2025 da Y Combinator, 21% das startups têm codebases com mais de 91% de código gerado por IA.

E os problemas também são concretos.

A CodeRabbit analisou 470 pull requests open-source e encontrou que código co-criado com IA contém 1,7x mais problemas graves que código humano. Vulnerabilidades de segurança aparecem 2,74x mais. A GitClear documentou que o refactoring — a prática de limpar e melhorar código existente — colapsou de 25% das linhas alteradas em 2021 para menos de 10% em 2024. Code churn (reescrever código recém-escrito) subiu 41%. Duplicação de código quadruplicou.

A firma de segurança Tenzai testou cinco ferramentas populares de vibe coding (Claude Code, Codex, Cursor, Replit, Devin). Construiu 15 apps idênticos. Encontrou 69 vulnerabilidades. Seis eram críticas.

E em março de 2026, a Apple começou a bloquear atualizações de apps criados por plataformas de vibe coding na App Store. O argumento oficial é uma regra que já existia: apps não podem mudar sua funcionalidade depois de passar pela revisão. Plataformas de vibe coding permitem exatamente isso — o usuário cria algo novo dentro do app. O argumento não-oficial, segundo o The Information: a Apple vê apps gerados por IA como uma ameaça ao controle que a App Store exerce sobre distribuição de software.

O próprio Karpathy, em fevereiro de 2026, declarou seu próprio termo obsoleto e propôs um substituto: "agentic engineering" — a ideia de que IA deveria ser parceira de engenharia, não substituta do entendimento.

Talvez a métrica mais desconfortável venha dos próprios desenvolvedores: 63% relatam que já gastaram mais tempo debugando código gerado por IA do que teriam gasto escrevendo o código original. E a confiança em ferramentas de IA caiu de 77% em 2023 para 60% em 2026 — mesmo com o uso subindo para 92%.

"A indústria está viciada em algo que não confia."

O que isso ensina: vibe coding é real, é massivo, e veio pra ficar. Mas a narrativa de que "qualquer um pode fazer software agora" está se chocando com a realidade de que software que ninguém entende é software que ninguém consegue manter, proteger ou evoluir. A facilidade de criar não eliminou a dificuldade de sustentar.

O que essas três histórias dizem juntas

O Tailwind mostra que IA pode destruir o modelo de negócio de um produto sem tocar no produto. O cURL mostra que IA pode sobrecarregar a infraestrutura humana que mantém o software seguro. O vibe coding mostra que IA pode gerar código funcional em volume — e dívida técnica na mesma proporção.

Nenhuma dessas histórias é anti-IA. Stenberg usa IA pra encontrar bugs que nenhuma ferramenta encontrava. Wathan diz estar animado com IA. Karpathy inventou o termo e agora quer refiná-lo. O ponto não é que IA é ruim. É que IA é uma força que age em múltiplas direções ao mesmo tempo, e a maioria das pessoas só está olhando pra uma.

Quem está construindo um produto digital em 2026 precisa pensar em pelo menos três coisas que não estavam na conversa dois anos atrás:

Seu modelo de receita sobrevive à IA? Se depende de tráfego web, documentação, ou funil de conversão baseado em visitas, a IA está desviando esse fluxo agora. Não amanhã.

Quem vai manter o código depois? Se o código foi gerado por IA e ninguém na equipe entende o que foi escrito, cada bug é um mistério, cada feature nova é um risco, e cada auditoria de segurança é uma loteria.

O que acontece quando qualquer um consegue fazer o que você faz? Se a barreira de entrada do seu produto era "é difícil de construir", a IA acaba de demolir essa barreira. O diferencial agora é outro: entender o problema, definir o escopo certo, projetar pra quem vai usar, e ter gente que consegue explicar cada linha do que foi construído.

A parte que não é óbvia

A narrativa dominante sobre IA e software em 2026 é otimista: mais produtividade, mais velocidade, mais gente construindo. Tudo isso é verdade. Mas as histórias de Tailwind, cURL e do ecossistema de vibe coding mostram um lado que a conversa mainstream ainda não absorveu: a IA está redistribuindo valor, e a redistribuição tem vencedores e perdedores.

Os vencedores, por enquanto, são os que fazem as ferramentas de IA e os que usam IA com entendimento do que estão fazendo. Os perdedores são os que tinham modelos de negócio baseados em atenção humana, os que mantêm infraestrutura crítica com equipes pequenas, e os que geraram código sem saber o que geraram.

Não existe uma resposta simples pra isso. Mas existe uma pergunta que todo mundo que está construindo algo com software deveria estar fazendo agora:

"O que muda no meu negócio, no meu produto, e na minha equipe quando a IA faz em segundos o que antes levava semanas — e quando qualquer pessoa tem acesso a essa mesma capacidade?"

Quem está fazendo essa pergunta de verdade está dois anos na frente de quem ainda está celebrando a velocidade.

Read more