Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As ferramentas de IA podem acelerar drasticamente o desenvolvimento de aplicações para Windows — mas a rapidez não elimina responsabilidades. O código que o teu agente de IA gera é o código que tu envias, e és responsável por tudo na tua aplicação, independentemente de como foi escrito.
Esta página aborda dois tópicos relacionados: práticas responsáveis na utilização de ferramentas de IA para construir aplicações e questões de segurança específicas do código gerado por IA.
Tu és dono do código
Quando um agente de IA gera uma função, um layout ou uma chamada de API, passa a ser o seu código no momento em que faz o commit. Os mesmos padrões aplicam-se quer o código tenha sido escrito à mão ou gerado:
- Leia e compreenda cada mudança antes de a aceitar
- Teste o código gerado por IA pelo menos tão exaustivamente quanto o código manuscrito — os modelos podem gerar código de aparência plausível que está subtilmente errado
- Não uses "a IA escreveu" como explicação para um bug ou problema de segurança em produção
As ferramentas de IA não eliminam a necessidade de revisão de código. Mudam o que estás a rever, não se o revês.
O que não enviar para ferramentas de IA
Seja deliberado com o que inclui nos prompts e nas janelas de contexto:
- Segredos e credenciais — Nunca cole chaves API, palavras-passe ou cadeias de ligação num prompt. Mesmo numa sessão privada de chat, as credenciais nos prompts representam um risco de segurança e podem aparecer nos registos. Veja Gestão de credenciais e segredos abaixo.
- Dados de clientes e PII — Não use nomes reais de clientes, emails ou dados de utilização como exemplos de entrada, mesmo para explicar um bug. Use dados sintéticos.
- Lógica de negócio proprietária — Compreenda a política da sua organização sobre que código-fonte pode ser enviado a serviços de IA externos antes de partilhar o código interno do sistema.
Validação de entrada
A IA tende a gerar um tratamento permissivo de entradas. Valide sempre comprimentos, tipos e intervalos antes de agir com base na entrada do utilizador.
- Nunca passe valores brutos
TextBox.Textpara comandos de shell, caminhos de ficheiros ou consultas à base de dados. - Valide os comprimentos das strings antes de escrever para armazenamento ou enviar pela rede.
- Use uma abordagem de lista de permissões para os caminhos dos ficheiros — verifique se os caminhos resolvidos permanecem dentro dos diretórios esperados.
Adicione isto ao seu prompt: "Adicionar validação de entrada e limites de comprimento a todos os campos voltados para o utilizador."
Gestão de credenciais e segredos
Nunca codifique chaves API, palavras-passe ou strings de ligação. A IA gera frequentemente strings de marcador de posição como "your-api-key-here" — trate-as como erros.
Armazene credenciais em
Windows.Security.Credentials.PasswordVault:var vault = new PasswordVault(); vault.Add(new PasswordCredential("MyApp", username, password));Recupere-as em tempo de execução:
var credential = vault.Retrieve("MyApp", username); credential.RetrievePassword();Use variáveis de ambiente ou Azure Key Vault para credenciais de serviço em cenários do lado do servidor ou CI.
Integridade de pacotes e dependências
Revise todos os pacotes NuGet sugeridos por um agente de IA antes de o adicionar ao seu projeto.
- Verifica o editor no nuget.org — procura o escudo azul (Microsoft) ou um editor conhecido.
- Analisar vulnerabilidades conhecidas:
dotnet list package --vulnerable - Prefiro pacotes com atualizações recentes e manutenção ativa.
Capacidades e permissões da aplicação
Os ficheiros gerados Package.appxmanifest por IA frequentemente incluem capacidades amplas. Revê a <Capabilities> secção e remove tudo o que a tua aplicação não precisa.
Capacidades comuns excessivamente amplas a ter em conta:
-
broadFileSystemAccess— só necessário se a sua aplicação realmente ler caminhos arbitrários do sistema de ficheiros -
documentsLibrary— requer aprovação especial da Store; evitar, a não ser que seja necessário -
userAccountInformation— apenas se precisar do nome ou foto do utilizador
Lista de verificação para revisão de código
Antes de enviar código gerado por IA, verifique:
- Sem segredos ou credenciais codificadas
- Entrada do utilizador validada antes da utilização
- Caminhos de ficheiros verificados em relação aos diretórios permitidos
- Capacidades mínimas necessárias declaradas no manifesto
- Pacotes NuGet analisados à procura de vulnerabilidades (
dotnet list package --vulnerable) - Dados sensíveis armazenados em
PasswordVault, nãoApplicationData.LocalSettings - Todas as chamadas de rede usam HTTPS
- As mensagens de exceção não expõem caminhos internos nem traços de pilha aos utilizadores
Modelos de IA têm conhecimento obsoleto
As ferramentas de IA que usas hoje foram treinadas com dados com data limite. Para o desenvolvimento Windows, isto significa que os modelos viram muito mais exemplos UWP do que exemplos do WinUI 3 — e é exatamente por isso que existe esta secção de documentação.
Não trate os resultados da IA como fidedignos para:
- Nomes e namespaces atuais de APIs (verificar com referência da API do WinUI 3)
- Versões atuais do SDK e nomes dos pacotes
- Políticas da loja e requisitos de submissão (que mudam frequentemente)
- Orientação de segurança (modelos podem reproduzir padrões de criptografia ou autenticação desatualizados)
O servidor Microsoft Learn MCP e o plugin WinUI agent mitigam o conhecimento obsoleto ao fundamentar o seu agente na documentação atual — mas verifica sempre qualquer coisa crítica de segurança contra fontes primárias.
Accessibility
A interface gerada por IA frequentemente omite suporte de acessibilidade. Um modelo treinado com milhões de amostras de XAML irá reproduzir a qualidade média dessas amostras — e, historicamente, a média omite AutomationProperties, navegação por teclado e contraste suficiente.
Ao aceitar código XAML ou de controlo gerado por IA:
- Verifique se os elementos interativos têm
AutomationProperties.AutomationIdeAutomationProperties.Namedefinidos - Verifique se a ordem de foco é lógica — as paragens de tabulação devem seguir a ordem de leitura
- Teste com o Narrador ou outro leitor de ecrã antes de enviar
- Utilize a ferramenta Accessibility Insights para Windows para detetar falhas automaticamente
Pergunte explicitamente ao seu agente: "Adicione propriedades de acessibilidade a todos os elementos interativos neste XAML." Não presuma que foi feito.
Se a sua aplicação utiliza funcionalidades de IA
Se estiver a integrar capacidades de IA na sua aplicação — e não apenas a usar IA para escrever a aplicação — aplicam-se responsabilidades adicionais.
Seja transparente com os utilizadores. Diga aos utilizadores:
- Que dados a sua aplicação envia para serviços de IA
- Se a IA está a tomar decisões que os afetam
- Como optar por não participar, se for apropriado
Mantém os humanos informados sobre ações consequentes. Não permita que a IA apague dados de forma autónoma, faça compras, envie mensagens em nome do utilizador ou tome outras ações irreversíveis sem confirmação explícita.
Teste a existência de enviesamento e resultados inesperados. Os modelos de IA podem produzir resultados tendenciosos, ofensivos ou factualmente errados. Teste as funcionalidades de IA da sua aplicação com diferentes inputs e casos excecionais antes de lançar.
Use ferramentas de segurança de conteúdos. Se a sua aplicação gerar ou processar texto, imagens ou outro conteúdo dirigido ao utilizador usando IA, utilize filtragem Segurança de conteúdo de IA do Azure ou equivalente para detetar resultados prejudiciais antes que cheguem aos utilizadores.
Licenciamento e atribuição
As ferramentas de IA podem gerar código que se assemelha ao código open-source existente. Antes de usar código gerado por IA numa aplicação comercial:
- Conheça a política da sua organização sobre contribuições de código gerado por IA
- Consulte a orientação da Microsoft sobre Copilot e propriedade intelectual
- Aplique as mesmas verificações de conformidade de licenças open-source que aplicaria a qualquer código de terceiros
Princípios de IA Responsável da Microsoft
A Microsoft desenha produtos e funcionalidades de IA guiados por seis princípios: justiça, fiabilidade e segurança, privacidade e proteção, inclusão, transparência e responsabilidade.
Saiba mais em microsoft.com/ai/responsible-ai.
Conteúdo relacionado
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
Windows developer