Como agentes autônomos de código estão mudando a produtividade do dev solo

Se você já construiu alguma coisa sozinho, sabe a forma do dia. Feature, teste, bug, CI, doc. Tudo você. Cada context switch custa meia hora que você não tem. O time é uma pessoa.

Essa é a parte que está começando a mudar.

A restrição mudou de lugar

A restrição costumava ser velocidade de digitação. Quantos arquivos você conseguia tocar num dia. Quantas PRs conseguia abrir antes do burnout chegar.

A restrição agora é como você dirige, revisa e orquestra. Você consegue quebrar um problema em tarefas isoladas e claras? Consegue escrever uma spec boa o bastante para o agente executar? Consegue revisar código gerado por IA com o mesmo rigor que aplicaria numa PR de dev júnior?

Esse é o conjunto de skills que separa o dev solo que envia muito de quem assina o Claude e reclama que não ajuda.

Aquele produto que precisava de uma rodada seed para contratar três engenheiros? Um fundador solo com a configuração certa de agentes manda a mesma coisa e itera mais rápido, porque a sobrecarga de comunicação é zero. A barreira para “dá para construir isso sozinho” está caindo.

Auditoria de segurança, num sábado

É aqui que fica prático. O caso de uso que mais mudou minha cabeça sobre dev com agente foi auditoria de segurança.

Sejamos sinceros sobre como isso normalmente acontece. Quando você constrói sozinho, revisão profunda de segurança escapa. Você envia rápido, escreve teste, mas sentar para auditar o próprio código procurando vulnerabilidade parece sempre menos urgente do que a próxima feature, e não tem ninguém para cobrir o que você passa batido. É o trabalho do “uma hora a gente faz”.

Um agente muda a equação. Ele consegue varrer o codebase inteiro numa única sessão.

claude --print "Audit this codebase for security vulnerabilities.
Check for:
- SQL injection and NoSQL injection
- XSS in any rendered output
- Missing input validation at API boundaries
- Hardcoded secrets or credentials
- Insecure authentication flows
- Missing rate limiting on sensitive endpoints
- OWASP Top 10 risks
For each issue found:
1. Explain the vulnerability
2. Show the affected code
3. Fix it
4. Add a test that verifies the fix"

Num projeto recente, rodar esse prompt contra a camada de API revelou três problemas reais: falta de escapeHtml() em conteúdo de usuário renderizado em template de email (XSS armazenado); um endpoint aceitando application/x-www-form-urlencoded sem validar content type; parâmetro de URL sendo passado para redirect sem sanitização (risco de open redirect). O agente explicou cada um, escreveu o fix e adicionou teste de regressão. Quinze minutos.

Fazer isso na mão seria uma tarde de revisão linha por linha. Aquele tipo de tarde que você não agenda.

Dá para continuar. Auditar superfície de ataque específica:

claude --print "Review all authentication and authorization code.
Check every route handler for:
- Missing auth middleware
- Broken access control (can user A access user B's data?)
- Token validation edge cases (expired, malformed, missing)
- Session fixation risks
Fix any issues and add tests."

Ou rodar uma auditoria de dependência:

claude --print "Check package.json and lock files for:
- Known CVEs in dependencies
- Outdated packages with security patches available
- Unnecessary dependencies that increase attack surface
Create a PR that updates vulnerable packages and removes unused ones."

O agente pega tudo que um pentester profissional pegaria? Não. Mas pega os 80% de problemas que dev solo passa batido porque ninguém tem tempo de olhar. A diferença entre “a gente faz uma revisão de segurança uma hora dessas” e rodar uma antes de cada release é enorme.

A mudança de cabeça

Para de pensar em IA como autocomplete para código. Essa é a coisa menos interessante que ela faz.

Começa a pensar nela como o time. Você é o tech lead. Os agentes são a força de trabalho. Seu trabalho é dar direção, manter qualidade e enviar o resultado.

A era do dev solo ganhou um upgrade sério. A restrição não é mais o tamanho do seu time.