Menu Mobile
Voltar ao início do blog

Riscos em plataformas no-code: desafios e como proteger sua empresa

A popularidade crescente de plataformas no-code facilita a criação de aplicativos sem escrever código. Mas, segundo Amichai Shulman, CTO da Nokod Security, essa abstração dificulta a visibilidade de fluxos de dados, identidades e lógica de controle, criando um novo campo para vulnerabilidades

Shulman destaca que plataformas no-code geram uma distância entre a visão do desenvolvedor e o código real executado. Isso torna a análise estática e dinâmica mais complexa, já que os aplicativos residem em representações proprietárias, não em repositórios Git.

Entre as vulnerabilidades mais comuns estão:

  • Segredos embutidos, como tokens e credenciais, que nem sempre são rotacionados ou protegidos ;

  • Injeção de HTML, especialmente em mensagens auto-geradas, facilitando campanhas de phishing ou entrega de código malicioso ;

  • Injeções via dados, como SQL, OData, DAX e SOQL — aproveitando entradas não validadas para acessar ou manipular dados sensíveis

Esses problemas se agravam quando há exposição a usuários sem autenticação, podendo comprometer dados corporativos e fluir sem controle.

No nível de plataforma, Shulman recomenda implementar guardrails como whitelist/blacklist de conectores, restrições a APIs não documentadas (“shadow APIs”) e mecanismos para bloquear acesso não autorizado. Estas medidas ajudam a conter a automação de padrões de alto risco e impedir vazamento ou uso indevido de dados.

Em relação ao futuro, ele acredita que não há barreiras técnicas para adicionar funcionalidades de atestado, auditoria e verificação formal nativamente nas plataformas. Porém, o enforcement dessas práticas continuará sendo papel de integradores e fornecedores especializados em segurança .

Dica de prevenção aplicável

  1. Não embuta segredos no aplicativo no-code; utilize recursos de gerenciamento seguro.

  2. Valide entradas de usuários, evitando injeções via HTML ou dados.

  3. Configure whitelists/blacklists de conectores e APIs, prevenindo integração com serviços não autorizados.

  4. Monitore uso de shadow APIs e implemente kill-switches para bloquear acessos indevidos.


As plataformas no-code oferecem agilidade, mas também criam uma superfície de ataque invisível para as equipes de segurança. Conhecer os riscos — como segredos embutidos, injeções e vazamento de dados — e adotar guardrails é essencial para proteger aplicações automatizadas.


Na LC SEC, entendemos esses desafios e oferecemos apoio para estruturar sua segurança em ambientes no-code. Quer fortalecer a proteção do seu negócio? Conheça nossos serviços: lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

06 de Junho de 2025

Extensões do Chrome expõem chaves de API e colocam dados em risco
06 de Junho de 2025

Ransomware impulsionado por IA desafia empresas: prevenção é a chave
06 de Junho de 2025

Soberania de dados na saúde: o desafio de proteger informações sensíveis em um mundo conectado