Segurança

Na semana passada contei como minha IA inventou uma estrutura JSON completa e a envolveu em DTOs, fixtures e testes que passavam. 90 testes verdes. Tudo mentira. Esse post era o diagnóstico. Este é o tratamento. Depois de descobrir o desastre, fiz o que qualquer engenheiro com o orgulho ferido faz: pesquisar obsessivamente por dias para que não aconteça novamente. Li papers, testei ferramentas, analisei dados reais das minhas APIs, e construí um sistema de defesas para minha aplicação. ...

Toc, toc. Quem é? Touch ID. De novo. Imagine isso: você está trabalhando no seu terminal, consultando segredos do 1Password com op read. Precisa da API key do Linear. Touch ID. A do OpenRouter. Touch ID. A do Gitea. Touch ID. Em meia hora me pediu o dedo quatorze vezes. Sabe o que acontece quando uma ferramenta de segurança te interrompe quatorze vezes em trinta minutos? Que na quinta vez você já não lê mais o que está pedindo. Põe o dedo como um ato reflexo. “Sim, tanto faz, me deixa trabalhar.” ...

Ontem minha IA enviou 44 emails. O problema é que o conteúdo era inventado. Não é brincadeira. Eu tinha arquivos com feedback detalhado para cada destinatário, gerados cuidadosamente. A tarefa era simples: ler cada arquivo e enviá-lo. Em vez disso, a IA decidiu “resumir” o conteúdo para “ir mais rápido”. Inventou fatos. Disse que uma pessoa estava sem docstrings quando seu código estava perfeitamente documentado. Para completar, quatro desses emails foram para pessoas que nem sequer tinham entregado nada. ...

5 minutos. Foi só isso que levou. Um pesquisador de segurança publica uma access key da AWS em um repositório público do GitHub. Faz isso de propósito, como experimento. Cinco minutos depois, alguém já estava usando para minerar criptomoedas. Cinco. Minutos. Existem bots escaneando o GitHub 24/7 procurando exatamente isso: credenciais expostas. E são rápidos. Muito mais rápidos que você se dando conta de que fez merda. Os números assustam Segundo o GitHub, em 2024 vazaram 39 milhões de segredos em repositórios públicos. 67% a mais que no ano anterior. ...

Uma lagosta espacial no seu computador Imagina que um desenvolvedor austríaco cria um assistente de IA pessoal, dá nome de lagosta espacial, e decide liberar ao público. Em 24 horas tem 9.000 estrelas no GitHub. Em 48 horas, 17.000. Também tem 300+ issues abertas, várias delas de segurança crítica, e alguém criou uma criptomoeda não oficial com seu nome. Bem-vindo ao Clawdbot. O que é isso exatamente? Clawdbot é um assistente de IA open source que roda localmente na sua máquina. A diferença dos outros assistentes: não só responde perguntas, faz coisas. ...