Segurança Legal

Neste episódio falamos sobre os principais temas de segurança digital e privacidade das últimas semanas, abordando assuntos que você precisa conhecer para entender o cenário atual da proteção de dados, segurança infantil online e inteligência artificial. Você vai descobrir como o Roblox e o Discord lidam com a verificação de idade e proteção de crianças na internet, incluindo os riscos de predadores digitais, mecanismos psicológicos de retenção e a ausência de controles parentais eficazes. Também abordamos o polêmico caso do Grok no X (antigo Twitter) gerando imagens de nudez de mulheres e menores de idade sem guardrails, e as medidas tomadas pela ANPD, Ministério Público Federal e Senacon contra a plataforma. Discutimos o acordo de adequação mútua entre Brasil e União Europeia em proteção de dados pessoais e o que isso representa para transferências internacionais de dados e oportunidades comerciais. Ainda comentamos a solicitação do FBI à Microsoft pelas chaves de criptografia BitLocker, a ação judicial contra a Meta por suposto acesso às mensagens criptografadas do WhatsApp, o fenômeno das personas digitais criadas por IA, como a “Aboriginal Steve Irwin”, e os deepfakes com celebridades. Por fim, apresentamos a WhisperSafe, novo patrocinador do podcast, um software de transcrição local com privacidade em foco, usando modelos Whisper da OpenAI sem envio de dados para a nuvem.

Assine o podcast para não perder nenhum episódio, deixe sua avaliação nas plataformas e siga o Segurança Legal no Instagram, Mastodon, Blue Sky, YouTube e TikTok. Apoie o projeto independente em apoia.se/segurancalegal.

Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.

Acesse WhisperSafe – Transcreva áudio e grave reuniões direto no seu computador, mesmo offline. Rápido, leve e pronto para usar com qualquer IA. Use o cupom SEGLEG50 para 50% de desconto na sua assinatura.

ShowNotes

Grupo 1 – Roblox, crianças e proteção digital em plataformas de jogos

‘Estou sendo atacado por crianças’, diz Felca após ser alvo de protesto no Roblox

Opinião: feito para viciar, Roblox tem lógica de cassino e vira caça-níquel para crianças

Palcos no Discord serão bloqueados para adolescentes e restritos para grupos da mesma idade

Hackers expose age-verification software powering surveillance web

‘O que adolescentes fizeram com cão Orelha acontece todas as noites em muitas casas do Brasil, ao vivo no Discord’, alerta juíza Vanessa Cavalieri

Internal chats show how social media companies discussed teen engagement

Como vão funcionar as novas regras do Discord para verificar idade no app?

Grupo 2 – Grok, conteúdo sexual gerado por IA e responsabilização do X/Musk

ANPD, MPF e Senacon recomendam que X impeça geração e circulação de conteúdos sexualizados indevidos por meio do Grok

ANPD, MPF e Senacon determinam que X implemente de forma imediata medidas para corrigir falhas no Grok

Masterful gambit: Musk attempts to monetize Grok’s wave of sexual abuse imagery

Joint statement on AI-generated imagery and the protection of privacy

Grupo 3 – Adequação mútua Brasil-UE em proteção de dados e multas na UE

Brasil e União Europeia reconhecem adequação mútua em matéria de proteção de dados pessoais

Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL

Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE et FREE

Más sanciones y de mayor importe: La AEPD sube el nivel de multas en 2025

Grupo 4 – Vigilância, privacidade e Estado

The Department of Homeland Security is demanding that Google turn over information about random critics

Microsoft is giving the FBI BitLocker keys

US authorities reportedly investigate claims that Meta can read encrypted WhatsApp messages

Grupo 5 – IA generativa e identidade

‘It’s AI blackface’: social media account hailed as the Aboriginal Steve Irwin is an AI character created in New Zealan

Imagem do Episódio – Children’s Games (Bruegel)


 Transcrição do Episódio







(00:00:08.000 –> 00:00:17.500) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 411, gravado em 24 de fevereiro de 2026.

(00:00:17.500 –> 00:00:22.920) Eu sou Guilherme Goulart e junto com o Vinícius Serafim vamos trazer para vocês algumas notícias das últimas semanas.

(00:00:22.920 –> 00:00:24.440) E aí, Vinícius, tudo bem?

(00:00:24.440 –> 00:00:27.940) Olá, Guilherme, tudo bem?

(00:00:24.440 –> 00:00:27.940) Olá aos nossos ouvintes.

(00:00:28.180 –> 00:00:30.600) Você estava com saudade de gravar ou não?

(00:00:30.600 –> 00:00:39.160) Cara, eu já estava até duvidando da minha capacidade de gravar de novo, porque a gente passou quase..

(00:00:30.600 –> 00:00:39.160) Vai fechar dois..

(00:00:39.160 –> 00:00:40.820) Um mês e pouco.

(00:00:40.820 –> 00:00:45.280) O último foi ali em janeiro, não foi?

(00:00:45.280 –> 00:00:46.720) Foi em janeiro que a gente gravou.

(00:00:46.720 –> 00:00:51.000) Agora você me pegou, você me pegou no contrapé.

(00:00:51.000 –> 00:00:57.820) Mas nós gravamos o episódio 410 da Retrospectiva, que se você não ouviu, está lá no dia 6 de janeiro.

(00:00:58.180 –> 00:01:02.100) De 2026.

(00:00:58.180 –> 00:01:02.100) Retrospectiva 2025.

(00:01:03.780 –> 00:01:07.380) Bem, então, esse é o nosso momento de conversarmos sobre algumas notícias.

(00:01:07.380 –> 00:01:10.240) Pegue o seu café e venha conosco para entrar em contato.

(00:01:10.240 –> 00:01:18.760) Vocês já sabem, é lá no podcast.roba.segurançalegal.com, no Mastodon, no Instagram, no Blue Sky, no YouTube e no TikTok também.

(00:01:18.760 –> 00:01:24.520) Você pode ver que tanto no TikTok quanto no YouTube você consegue ver também uns shorts lá que aparecem no Instagram também.

(00:01:24.900 –> 00:01:30.420) A nossa campanha de financiamento coletivo, vocês já sabem, lá no apoia.se barra segurança legal.

(00:01:30.420 –> 00:01:36.940) A gente sempre pede que você considere colaborar com esse projeto independente de proteção de conteúdo.

(00:01:36.940 –> 00:01:41.960) E, Vinícius, temos uma novidade que é um novo patrocinador aqui no Segurança Legal.

(00:01:42.500 –> 00:01:43.520) É isso aí, Guilherme.

(00:01:43.520 –> 00:01:54.360) Tem a WhisperSafe, na verdade, o produto da WhisperSafe de uma startup que nós conhecemos, inclusive o dono da startup.

(00:01:54.360 –> 00:02:04.360) É um software para transcrição de voz com um valor bastante acessível comparado com outros que tem no mercado.

(00:02:05.420 –> 00:02:08.640) Ele faz transcrição tanto..

(00:02:08.640 –> 00:02:13.760) Eu tenho usado muito para fazer, para mandar comandos para IA.

(00:02:13.760 –> 00:02:17.060) Eu fazia prompt tudo estruturadinho, digitando e tal.

(00:02:17.060 –> 00:02:26.200) Agora, para programar, para criar scripts, criar alguns programas, para fazer alguns testes, eu tenho utilizado essencialmente ele para digitar.

(00:02:26.200 –> 00:02:34.080) E tem uma funcionalidade muito interessante, que é a gravação e transcrição de reuniões, que eu também tenho utilizado.

(00:02:35.220 –> 00:02:40.820) Independente do software que você utiliza, você abre ele, clica gravar a reunião, ele vai gravar todo o áudio da reunião.

(00:02:40.820 –> 00:02:48.280) E depois que ele grava e você aperta lá o botãozinho para transcrever, ele te dá uma..

(00:02:48.280 –> 00:02:53.000) Ele tanto gera um arquivo com a transcrição bruta, se tu quiser usar com alguma IA,

(00:02:53.000 –> 00:03:04.160) Como ele já deixa na área de transferência a tua transcrição com um prompt montado para te colar na IA que tu quer utilizar para fazer um resumo da tua reunião.

(00:03:04.160 –> 00:03:07.500) Então, termina a reunião, cola na IA e pimba.

(00:03:07.500 –> 00:03:16.880) O valor dele é um valor bastante acessível e, para os ouvintes do Segurança Legal, nós temos 20 cupons.

(00:03:17.840 –> 00:03:28.700) O cupom é SEGLEG50, ele dá 50% de desconto vitalício, digamos assim.

(00:03:28.700 –> 00:03:35.360) Você faz a assinatura, aplica o desconto, se fizer mensal ele vai aplicar a todos os pagamentos mensais

(00:03:35.360 –> 00:03:40.080) E, se for anual, ele vai aplicar a todos os pagamentos anuais.

(00:03:40.080 –> 00:03:44.540) Então, não é um desconto que vale só no primeiro ano ou só no primeiro pagamento.

(00:03:44.540 –> 00:03:48.460) SEGLEG50 para os ouvintes do Segurança Legal.

(00:03:49.080 –> 00:03:55.520) São 20 cupons, são 20 cupons que a gente tem aí, pelo menos para este episódio.

(00:03:55.520 –> 00:04:01.320) E o mais importante, Vinícius, ele é um aplicativo que é construído com privacidade em foco.

(00:04:01.320 –> 00:04:06.820) Ou seja, se você, os dados e toda a parte de transcrição, ela fica só na sua máquina,

(00:04:06.820 –> 00:04:11.020) Não vai para a nuvem, a não ser que você queira depois usar isso no MyA e tal,

(00:04:11.020 –> 00:04:14.580) Mas, assim, para assuntos mais críticos.

(00:04:14.580 –> 00:04:18.560) Se você quiser ter lá para fazer uma ata depois, isso fica só na sua máquina.

(00:04:18.560 –> 00:04:24.280) Ele faz, ele usa os modelos da Whisper, isso está lá na interface, está muito claro.

(00:04:24.280 –> 00:04:31.040) Ele usa os modelos da, os modelos Whisper da OpenAI, que são modelos que rodam local na máquina.

(00:04:31.040 –> 00:04:35.460) E o interessante é que tu não precisa nem ter uma placa de vídeo, não precisa ter GPU nem nada,

(00:04:35.460 –> 00:04:39.280) Ele funciona muito bem, eu testei no meu notebook, não tem placa de vídeo dedicada.

(00:04:40.700 –> 00:04:45.580) E funcionou muito bem, assim, ele é bastante rápido.

(00:04:45.580 –> 00:04:52.320) E eu tenho feito os testes até para ver a questão de velocidade, já que tem os modelos disponíveis lá.

(00:04:52.320 –> 00:04:55.000) Eu estava usando sempre o Turbo, assim, vou usar o melhor.

(00:04:55.000 –> 00:05:00.500) Aí eu resolvi começar a usar o Medium e o Small lá dos modelos.

(00:05:00.500 –> 00:05:04.580) E, cara, o Small, ele dá umas erradas, assim, sabe?

(00:05:04.580 –> 00:05:06.260) Mas o Medium funciona muito bem.

(00:05:06.260 –> 00:05:08.060) Tá bom.

(00:05:08.840 –> 00:05:15.480) Então, basta você acessar o whispersafe.ai.ai, você vai ver lá todos os valores.

(00:05:15.480 –> 00:05:19.920) Na hora do pagamento, pode usar o cupom SEGLEG50 e vamos lá.

(00:05:19.920 –> 00:05:24.080) Bem-vindos, então, ao novo patrocinador do podcast Segurança Legal.

(00:05:24.080 –> 00:05:30.480) Vamos para os temas, então, Vinícius, desses últimos dois meses, dá para se dizer aí.

(00:05:30.480 –> 00:05:32.680) Hoje já estamos aí no dia 24 de fevereiro.

(00:05:32.680 –> 00:05:44.260) Bastante coisa acontecendo, mas nós vamos, em vez de comentar propriamente as notícias, claro que nós vamos citá-las aqui, mas nós dividimos em alguns grupos.

(00:05:44.340 –> 00:05:49.420) De temas que nos chamaram a atenção e que também foram temas importantes aí nas últimas semanas.

(00:05:49.420 –> 00:05:53.860) O primeiro deles diz respeito à questão da proteção da criança na internet.

(00:05:53.860 –> 00:05:56.400) Proteção digital, sobretudo em plataformas.

(00:05:56.400 –> 00:06:00.200) Você que nos acompanha aqui sabe que a questão da proteção de criança é importante.

(00:06:00.200 –> 00:06:04.860) A gente tem diversos, para esse podcast, a gente tem diversos episódios gravados sobre isso.

(00:06:05.100 –> 00:06:11.420) Chegamos a comentar, inclusive, um episódio mais recente também sobre o ECA Digital, Vinícius, se você puder ver o número aí para nós.

(00:06:11.420 –> 00:06:24.280) E, basicamente, o que nós estamos vendo mais recentemente é toda uma questão sobre como tornar essas plataformas, os problemas envolvendo plataformas utilizadas por crianças.

(00:06:24.280 –> 00:06:33.320) E cada vez mais as crianças têm usado, seja o discórdio, mas aqui o foco dessas notícias é o Roblox.

(00:06:33.320 –> 00:06:38.740) Então, se você tem filho, provavelmente já ouviu falar sobre Roblox, que é um jogo.

(00:06:38.740 –> 00:06:44.020) Dá para dizer que é um jogo, mas que simula quase como um ambiente, assim.

(00:06:38.740 –> 00:06:44.020) Virtual.

(00:06:44.020 –> 00:06:47.600) Eu cheguei a jogar ele logo que ele apareceu.

(00:06:47.600 –> 00:06:52.020) Assim, não tão logo, mas os colegas do meu filho começaram a jogar.

(00:06:52.020 –> 00:06:54.900) Ai, meu filho veio com essa história do Roblox.

(00:06:54.900 –> 00:06:57.140) E aí, disse, não, beleza, vamos ver.

(00:06:57.140 –> 00:06:58.860) Aí eu entrei com ele.

(00:06:59.320 –> 00:07:02.180) Cara, é um ambiente, é um ambiente virtual.

(00:07:02.180 –> 00:07:08.400) Para mim, me lembrou muito aquele Second Life, tá ligado?

(00:07:08.400 –> 00:07:09.320) Sim, Second Life.

(00:07:09.320 –> 00:07:11.100) Me lembrou muito aquilo, então.

(00:07:11.100 –> 00:07:15.880) E aí, dentro, tu tem espaços.

(00:07:15.880 –> 00:07:19.980) Que tu acessa aplicações, jogos e tudo mais.

(00:07:19.980 –> 00:07:22.560) Tu pode criar, inclusive, e tal.

(00:07:22.700 –> 00:07:26.080) E aí, ele tem uma moeda interna no jogo, tá?

(00:07:26.080 –> 00:07:28.080) Ele tem grana envolvida.

(00:07:28.080 –> 00:07:36.080) E, cara, em cinco minutos de Fussaclo ali, eu larguei para o meu filho, ó, tem jogos melhores

(00:07:36.080 –> 00:07:36.640) Para te jogar.

(00:07:36.640 –> 00:07:39.060) Tu não vai jogar isso aqui.

(00:07:39.060 –> 00:07:44.520) Justamente porque é um ambiente, eu percebi, o que eu percebi de cara, e se confirmou depois,

(00:07:44.520 –> 00:07:47.180) Um ambiente muito descontrolado, entende?

(00:07:47.680 –> 00:07:56.360) Um ambiente muito descontrolado, com muita, assim, nomes estranhos de personagens, todo

(00:07:56.360 –> 00:08:03.060) Mundo pode se comunicar com todo mundo, então, é um negócio bem estranho.

(00:08:03.060 –> 00:08:04.880) Pelo menos, era.

(00:08:04.880 –> 00:08:06.060) A percepção.

(00:08:06.060 –> 00:08:06.260) Não entrei mais para jogar.

(00:08:06.260 –> 00:08:11.720) Mas aí, pelo que a gente vê agora nas reações e notícias e tudo mais, pelo visto,

(00:08:11.720 –> 00:08:12.580) Continua estranho.

(00:08:12.580 –> 00:08:13.620) Continua estranho.

(00:08:13.620 –> 00:08:18.880) O, o, a grande questão aqui é que, por fora, e isso está acontecendo no mundo

(00:08:18.880 –> 00:08:20.140) Inteiro, não é só no Brasil.

(00:08:20.140 –> 00:08:23.820) No Brasil, por conta do ECA Digital, mas assim, começa..

(00:08:23.820 –> 00:08:24.660) Episódio 400, viu, Guilherme?

(00:08:24.660 –> 00:08:25.940) Tá, legal.

(00:08:25.940 –> 00:08:26.660) Episódio 400, isso é legal.

(00:08:26.660 –> 00:08:32.380) É que começa a se ampliar toda a discussão de como você fazer a verificação de idade

(00:08:32.380 –> 00:08:34.120) De pessoas nessas plataformas.

(00:08:34.120 –> 00:08:41.000) Então, aqui a gente junta nesse mesmo pacote o Roblox e também o Discord.

(00:08:41.360 –> 00:08:43.840) E aí, uma coisa muito interessante.

(00:08:43.840 –> 00:08:48.460) Que gerou, assim, até um fenômeno social, me parece que relevante.

(00:08:48.460 –> 00:08:52.160) Crianças começaram a protestar lá, porque as crianças seriam os beneficiários.

(00:08:52.160 –> 00:08:56.820) Mas começaram a protestar por conta das novas medidas de verificação de idade.

(00:08:56.820 –> 00:08:59.280) Aí, o Felca foi alvo de protesto e tal.

(00:08:59.280 –> 00:09:05.920) E tem as crianças lá, simulando um protesto, segurando cartazes lá dentro do Roblox.

(00:09:07.520 –> 00:09:11.380) Saíram também notícias dizendo, e aí, mais ou menos na tua percepção, Vinícius,

(00:09:11.380 –> 00:09:16.720) De que o Roblox, como acontece com grandes plataformas, ele teria uma lógica de cassino,

(00:09:16.720 –> 00:09:21.860) Ou seja, as crianças ficariam ali, utilizariam gatilhos psicológicos,

(00:09:21.860 –> 00:09:26.860) Como já ocorre em redes sociais, para que as crianças ficassem mais tempo lá dentro.

(00:09:26.860 –> 00:09:33.160) E aí, também começou a se ventilar de que predadores sexuais estariam dentro do Roblox,

(00:09:33.160 –> 00:09:36.760) Se fazendo passar por crianças.

(00:09:33.160 –> 00:09:36.760) Disfarçados aí.

(00:09:36.760 –> 00:09:40.700) Nos Estados Unidos, isso é um problema bem sério lá, justamente com isso.

(00:09:40.700 –> 00:09:52.020) E teve o CEO do Roblox, ele teve lá no episódio do The Hard Fork.

(00:09:53.020 –> 00:09:59.060) Eu já vejo o número de episódios aqui, mas o nome do CEO é Dave Bazzucchi, tá?

(00:09:59.060 –> 00:10:06.020) E, cara, o pessoal do The Hard Fork tentou, assim, impressionou, foi uma coisa que ficou até tenso, sabe?

(00:10:06.020 –> 00:10:08.940) Não é normal, assim, tu ver esse episódio do The Hard Fork desse jeito.

(00:10:08.940 –> 00:10:14.100) E o cara sempre saindo pela tangente, assim, e perguntas bem diretas.

(00:10:14.460 –> 00:10:21.300) Em termos de controle de comunicação, a questão de deixar adultos falar com crianças, assim, várias coisas.

(00:10:21.300 –> 00:10:23.420) E ele sempre dando evasiva.

(00:10:23.420 –> 00:10:26.320) Ele não..

(00:10:23.420 –> 00:10:26.320) Assim, foi muito ruim, sabe?

(00:10:26.320 –> 00:10:32.020) A impressão que tu tens é que o cara foi ali para tentar se justificar,

(00:10:32.020 –> 00:10:35.280) Não aceitando os problemas que ele tem na plataforma.

(00:10:35.280 –> 00:10:38.800) Isso o CEO da própria Roblox, sabe?

(00:10:38.800 –> 00:10:40.320) Na própria empresa.

(00:10:40.320 –> 00:10:50.300) Então, isso me deixou ainda mais convencido de que é uma empresa que não tem preocupação nenhuma

(00:10:50.300 –> 00:10:54.240) Com essa questão de segurança de crianças e tudo mais, entende?

(00:10:54.240 –> 00:10:55.540) É bem delicado.

(00:10:55.540 –> 00:10:58.760) Se o pessoal já se preocupa com o Discord, o Roblox é muito pior.

(00:10:58.760 –> 00:11:00.000) É muito pior.

(00:11:00.000 –> 00:11:03.140) Em termos de possibilidades de comunicação.

(00:11:03.140 –> 00:11:06.380) É uma reportagem aqui da Folha de São Paulo.

(00:11:06.420 –> 00:11:10.920) Pelo Daniel Mariani, ele destaca justamente isso.

(00:11:10.920 –> 00:11:13.660) Inclusive de monetização.

(00:11:13.660 –> 00:11:18.120) Práticas predatórias em games e monetiza compulsão e frustrações.

(00:11:18.120 –> 00:11:22.720) Explora mecanismos psicológicos como medo de ficar fora da plataforma.

(00:11:22.720 –> 00:11:25.060) Ficar de fora e perda de noção de tempo.

(00:11:25.060 –> 00:11:27.540) Então, ele conta uma historinha que ele sai com o filho e o filho diz

(00:11:27.540 –> 00:11:31.600) Olha, nós temos que voltar até tal hora porque vai acontecer um evento lá no Roblox

(00:11:31.600 –> 00:11:34.920) E eu preciso estar lá e enfim.

(00:11:35.800 –> 00:11:42.840) E aí, a crítica toda é também de que haveria uma falta de vontade, digamos assim,

(00:11:42.840 –> 00:11:46.920) Da empresa de adotar controles parentais e também a questão da verificação da idade.

(00:11:46.920 –> 00:11:52.820) E a verificação da idade que começa agora também a ficar mais presente agora em março.

(00:11:52.820 –> 00:11:55.440) Tudo indica que vai acontecer também no Discord.

(00:11:55.720 –> 00:11:57.760) Então, isso..

(00:11:57.760 –> 00:12:01.500) E também o Discord, Vinícius, se você quiser falar logo a seguir,

(00:12:01.500 –> 00:12:07.160) Mas o Discord também aplicando novas formas de controle parental.

(00:12:07.160 –> 00:12:11.440) Mas a grande discussão, e mais uma vez, isso está acontecendo no Brasil e no mundo, é

(00:12:11.440 –> 00:12:17.200) Mas qual vai ser ou quais serão as medidas de controle de identidade.

(00:12:18.080 –> 00:12:27.420) Então, se fala em biometria facial, se fala em envio de documentos e tal, e aí a grande preocupação que se coloca

(00:12:27.420 –> 00:12:33.320) É no aumento das práticas de vigilância sobre como, que as empresas vão lidar com isso,

(00:12:33.320 –> 00:12:39.040) Sobre o fato de a biometria facial ser um dado sensível, que poderia ser utilizado para outras sinalidades.

(00:12:39.040 –> 00:12:47.020) Uma das notícias aqui mostra que o próprio Discord estava usando uma empresa lá, ou contratou uma empresa de verificação

(00:12:47.020 –> 00:12:53.380) Que tinha conexões, que é a tal da persona lá, conexões no site deles, dizia mesmo

(00:12:53.380 –> 00:12:55.840) This is a US government system.

(00:12:55.840 –> 00:13:01.240) Mas aí que tá, Guilherme, assim, a gente tem um problema bem sério para resolver aí, tá?

(00:13:01.240 –> 00:13:08.060) Porque ao mesmo tempo que se quer que as empresas consigam fazer a verificação de idade,

(00:13:09.040 –> 00:13:11.160) E aí sim, é ok.

(00:13:11.160 –> 00:13:12.660) O que que eu faço essa verificação de idade?

(00:13:12.660 –> 00:13:17.000) O que que eu faço de um jeito que eu consiga ter um mínimo de confiança

(00:13:17.000 –> 00:13:20.060) De que a criatura não tá mentindo pra mim, que o Zora não tá mentindo pra mim

(00:13:20.060 –> 00:13:22.420) E tá entrando com menos de 13 ou coisa parecida?

(00:13:22.420 –> 00:13:25.660) Então, eu preciso uma forma de verificar isso.

(00:13:25.660 –> 00:13:28.400) Tu vai verificar como?

(00:13:28.400 –> 00:13:30.080) Imagina a própria empresa.

(00:13:30.080 –> 00:13:34.680) Ela vai usar reconhecimento facial para tentar identificar a idade?

(00:13:34.680 –> 00:13:36.440) Ela vai pedir documentação?

(00:13:38.360 –> 00:13:40.020) Não sei se isso é bom, se é ruim, entende?

(00:13:40.020 –> 00:13:42.000) Eu só tô com o problema.

(00:13:42.000 –> 00:13:46.220) Aí, o ideal, eu não gostaria de ficar dando minha identidade pra tudo quanto é empresa.

(00:13:46.220 –> 00:13:50.460) Então, uma outra opção o governo tem as informações.

(00:13:50.460 –> 00:13:54.360) Uma agência governamental tem as informações, as nossas informações.

(00:13:54.360 –> 00:13:55.580) Sabe a idade que a gente tem.

(00:13:55.580 –> 00:13:57.540) Tem toda a comprovação de quem a gente é.

(00:13:58.220 –> 00:14:07.340) Será que não dá pra ter um protocolo que, de forma anônima, eu acesso um site e esse site

(00:14:07.340 –> 00:14:15.160) Conversa com o site do governo e aí eu converso com o site do governo e digo, gera aí um token

(00:14:15.160 –> 00:14:21.420) Pra mim, eu sou fulano, gera um token dizendo que eu tenho mais de 18 anos ou tem mais de 13

(00:14:21.420 –> 00:14:22.460) Ou coisa parecida.

(00:14:22.460 –> 00:14:27.360) Parecido com o que a gente já faz no Alt pra fazer autenticação quando a gente usa o Google e tudo mais.

(00:14:27.360 –> 00:14:31.720) Parecido com isso, mas em vez de dizer quem nós somos, ele diz que idade que a gente tem.

(00:14:31.720 –> 00:14:32.860) Tá?

(00:14:32.860 –> 00:14:36.000) Só que daí tu tem vários outros problemas.

(00:14:36.000 –> 00:14:38.380) Ok, o site pode não saber quem tu é por ali.

(00:14:38.380 –> 00:14:39.360) Não tem problema.

(00:14:39.360 –> 00:14:41.460) E aí tem outro jeito de saber quem tu mas enfim.

(00:14:41.460 –> 00:14:43.180) Até porque você vai ter um cadastro lá.

(00:14:43.240 –> 00:14:43.960) Exato.

(00:14:43.960 –> 00:14:51.560) Então assim, ok, ao mesmo tempo tu vai estar dizendo pro governo o que que tu tá acessando.

(00:14:51.560 –> 00:14:57.260) Então se o governo começar a registrar lá na hora de consultar quem tá consultando o teu cadastro

(00:14:57.260 –> 00:15:00.900) Ou pra quem tu tá se autenticando, ele sabe o que que tu tá acessando.

(00:15:00.900 –> 00:15:06.060) E aí teve um problema recente, a gente chegou a comentar aqui, eu só não lembro se foi na

(00:15:06.060 –> 00:15:10.120) Inglaterra especificamente ou foi na União Europeia, tá?

(00:15:10.120 –> 00:15:11.900) E se eu não tô enganado, foi na Inglaterra, cara.

(00:15:11.900 –> 00:15:19.940) Mas eles estavam com a demanda de, pra acessar site pornográfico, tu tem que dar a tua

(00:15:19.940 –> 00:15:23.300) Identificação real, tá?

(00:15:23.300 –> 00:15:28.080) Pra que o site tenha certeza de que tu é o maior de idade.

(00:15:28.080 –> 00:15:36.360) E aí começou uma outra discussão da questão da privacidade das pessoas que acessam

(00:15:36.360 –> 00:15:37.600) Esses sites e tudo mais.

(00:15:38.100 –> 00:15:46.060) Então eu não vejo uma solução perfeita, assim, que empresa privada não guarde as informações

(00:15:46.060 –> 00:15:48.760) Ou não tem um repositório de informações pra fazer isso.

(00:15:48.760 –> 00:15:52.560) Tem uma solução que já é conhecida que é uma chamada, com a chamada Meu ID.

(00:15:52.560 –> 00:15:59.420) Eu uso pra algumas plataformas de jogos, que a ideia é justamente essa, tu se autentica

(00:15:59.420 –> 00:16:04.100) Com a plataforma, com a tua documentação, faz prova, faz o esquema da imagem e tudo mais.

(00:16:04.100 –> 00:16:06.140) Aí tu usa ela pra se autenticar uma plataforma.

(00:16:06.140 –> 00:16:11.660) Então, ou a gente vai ter que ter uma empresa como essa, ou vai ter que vincular com algum

(00:16:11.660 –> 00:16:12.500) Órgão do governo.

(00:16:12.500 –> 00:16:18.140) Eu não vejo uma saída diferente pro Discord, por exemplo.

(00:16:18.140 –> 00:16:21.540) Eu não vejo uma saída diferente pro Facebook.

(00:16:22.220 –> 00:16:27.240) Como é que eu vou autenticar, como é que eu vou saber que o usuário tem mais certa idade,

(00:16:27.240 –> 00:16:37.040) Sem que eu possa ser enganado e sem pedir uma confirmação mais consistente, documental,

(00:16:37.040 –> 00:16:43.280) Nem que seja interfaceada ou intermediada pelo governo ou por uma empresa privada,

(00:16:44.460 –> 00:16:49.760) Que diga, não, Vinícius realmente tem mais de 13 anos.

(00:16:49.760 –> 00:16:51.620) É um problema não.

(00:16:51.620 –> 00:16:53.520) Eu não vejo uma solução fácil pra isso.

(00:16:53.520 –> 00:16:55.720) É um problema de privacidade.

(00:16:55.720 –> 00:17:01.940) Essa questão que eu comentei aqui desse persona que o Discord tava usando,

(00:17:01.940 –> 00:17:05.660) A grande questão era que era um negócio quase como um data broker de verificação

(00:17:05.660 –> 00:17:11.980) Que iria ser utilizado para fins de vigilância estatal.

(00:17:11.980 –> 00:17:17.900) E aí o Discord, depois que isso vira notícia, eles voltam atrás.

(00:17:17.900 –> 00:17:19.940) Eles dizem, nós não vamos mais usar isso.

(00:17:19.940 –> 00:17:21.100) Ou seja, assim, tiram.

(00:17:21.100 –> 00:17:23.000) O problema é um problema de privacidade.

(00:17:23.000 –> 00:17:27.280) Você poderia, eu imagino, Vinícius, que se todo mundo tivesse,

(00:17:27.280 –> 00:17:31.960) Levasse proteção de dados a sério, você poderia sim ter um protocolo

(00:17:31.960 –> 00:17:36.560) Em que empresas e Estado poderiam fornecer um meio de autenticação

(00:17:36.560 –> 00:17:39.540) Privacy-friendly.

(00:17:39.540 –> 00:17:43.860) Ou seja, sem a coleta de informações sobre quem acessou o quê.

(00:17:43.860 –> 00:17:48.360) Eles, ambos os lados, ou todos os lados, deveriam abrir mão disso.

(00:17:48.360 –> 00:17:53.080) Mas nós sabemos que no estado atual de coisas, isso não vai acontecer.

(00:17:53.080 –> 00:17:53.800) É o contrário.

(00:17:53.800 –> 00:17:57.440) O que essa notícia mostra é que as empresas e governos estão,

(00:17:58.560 –> 00:18:02.820) Frequentemente, caminhando para utilizar essa desculpa da verificação

(00:18:02.820 –> 00:18:04.760) Para aumentar o monitoramento sobre as pessoas.

(00:18:04.760 –> 00:18:06.620) E essa que me parece que é a preocupação.

(00:18:06.620 –> 00:18:12.060) Enfim, nós vamos deixar, como sempre, todas as notícias lá no Show Notes.

(00:18:12.060 –> 00:18:15.020) Tem outras coisas aqui, se você se interessa por essa questão.

(00:18:15.020 –> 00:18:18.660) O papel do Discord em questão de agressão de animais,

(00:18:18.660 –> 00:18:21.040) Que teve aí recentemente com o caso do Cão Orelha.

(00:18:21.040 –> 00:18:25.860) E também sobre como empresas internamente discutiram e sabem.

(00:18:25.860 –> 00:18:29.540) O próprio Instagram sabia como o próprio Instagram fazia mal para meninas

(00:18:29.540 –> 00:18:30.680) E para adolescentes e tudo mais.

(00:18:30.680 –> 00:18:32.440) Então, isso continua acontecendo.

(00:18:32.440 –> 00:18:35.160) Documentos internos aí vazados.

(00:18:35.160 –> 00:18:40.440) Como acontece, demonstram que eles sabem dos potenciais maléficos.

(00:18:40.440 –> 00:18:46.680) Para adolescentes e continuam oferecendo as plataformas ou serviços

(00:18:46.680 –> 00:18:49.700) Sem levar em consideração a proteção da criança e do adolescente.

(00:18:49.700 –> 00:18:53.220) Então, fica nesse primeiro grupo aí, Vinícius.

(00:18:54.120 –> 00:18:54.640) Perfeito.

(00:18:54.640 –> 00:18:57.720) Segundo grupo, tem a ver também.

(00:18:57.720 –> 00:19:00.300) Tem a ver com crianças e adolescentes, mas não somente.

(00:19:00.300 –> 00:19:03.120) Mas tem a ver também com proteção de..

(00:19:03.120 –> 00:19:05.740) Sobretudo de mulheres na internet, da imagem de mulheres

(00:19:05.740 –> 00:19:12.360) E sobre como a IA tem sido utilizada especificamente pelo X ou Twitter, Vinícius?

(00:19:12.360 –> 00:19:15.660) Todo mundo que fala X logo depois tem que dizer o antigo Twitter.

(00:19:15.660 –> 00:19:17.800) Mas todo mundo já sabe que o X é o antigo Twitter.

(00:19:18.040 –> 00:19:20.500) Você fica meio com um vício ali.

(00:19:20.500 –> 00:19:22.880) E aí, o que começou?

(00:19:22.880 –> 00:19:24.060) O nome virou..

(00:19:24.060 –> 00:19:26.180) Parece que o nome virou o X antigo Twitter mesmo.

(00:19:26.180 –> 00:19:27.440) Junto.

(00:19:27.440 –> 00:19:28.400) Que nem a HBO.

(00:19:28.400 –> 00:19:31.180) Viu a HBO Max, que era HBO.

(00:19:31.180 –> 00:19:33.280) Aí depois virou a HBO Max.

(00:19:33.280 –> 00:19:34.760) Aí depois foi Max.

(00:19:34.760 –> 00:19:35.980) Aí tinha..

(00:19:35.980 –> 00:19:36.140) Gol.

(00:19:36.140 –> 00:19:38.360) Aí voltaram com a HBO agora.

(00:19:38.360 –> 00:19:40.940) Eu tenho a assinatura deles lá.

(00:19:40.940 –> 00:19:41.360) Meu Deus.

(00:19:41.360 –> 00:19:44.700) Eu nem sei mais o que eu tô assinando lá, porque eu não sei mais o nome desse.

(00:19:44.700 –> 00:19:51.960) E aí a questão que, enfim, nesses últimos meses aí virou, uma notícia muito forte

(00:19:51.960 –> 00:19:57.740) Foi que o pessoal pedia lá pro Grock no X pra que ele tirasse, deixasse mulheres nuas

(00:19:57.740 –> 00:20:02.920) Ou tirasse a roupa de mulheres, inclusive de crianças.

(00:20:03.660 –> 00:20:10.520) E naquela perspectiva, de que a ferramenta é neutra, a ferramenta só faz aquilo que

(00:20:10.520 –> 00:20:16.440) O usuário pede pra ela fazer, a culpa não é nossa e tal, mas ao mesmo tempo a ferramenta

(00:20:16.440 –> 00:20:22.400) Era programada sem guardrails ali pra despir pessoas.

(00:20:22.400 –> 00:20:28.940) E se ela pode ser programada para despir pessoas, me parece que também é fácil colocar guardrails

(00:20:28.940 –> 00:20:35.400) Aí pra impedir que ela dispa, dispa, despir, despir pessoas.

(00:20:35.400 –> 00:20:37.920) Acho que eu nunca tinha usado o verbo despir dessa forma.

(00:20:37.920 –> 00:20:39.840) Então, é..

(00:20:39.840 –> 00:20:41.080) E aí o que que aconteceu?

(00:20:41.080 –> 00:20:43.860) Não sei se você quer fazer uma observação agora ou depois aqui, só pra..

(00:20:43.860 –> 00:20:45.080) Não, pode sim, pode sim, pode sim.

(00:20:45.080 –> 00:20:46.580) Aí o que que aconteceu?

(00:20:46.580 –> 00:20:52.860) Foi toda uma pressão em cima do X, Elon Musk chega e diz, não, olha, nós vamos,

(00:20:52.860 –> 00:21:00.340) Então vamos ampliar os controles aqui, só vai poder despir pessoas quem tiver a conta

(00:21:00.340 –> 00:21:01.920) Paga do X.

(00:21:01.920 –> 00:21:09.820) E obviamente que daí a emenda saiu pior que o soneto e no Brasil também já vimos movimentações,

(00:21:10.160 –> 00:21:17.560) De três entidades aqui, a NPD, Ministério Público Federal e Senacom, em primeiro lugar fizeram

(00:21:17.560 –> 00:21:25.420) Uma recomendação lá em janeiro e agora mais recentemente, depois da resposta do X, esses

(00:21:25.420 –> 00:21:32.400) Três órgãos entenderam que as medidas foram insuficientes e cada um deles, na medida das

(00:21:32.400 –> 00:21:36.620) Suas competências, iniciou um processo pra determinar.

(00:21:36.620 –> 00:21:42.500) Aí sim, antes tinham sugerido medidas, o X informou as medidas que foram tomadas, eles

(00:21:42.500 –> 00:21:47.500) Entenderam que não foram suficientes e a partir de agora começaram, cada um na medida das

(00:21:47.500 –> 00:21:53.000) Suas competências, procedimentos administrativos, seja a NPD, uma medida preventiva, o Ministério

(00:21:53.000 –> 00:21:58.960) Público também, um procedimento interno e a Senacom também numa medida cautelar administrativa

(00:21:58.960 –> 00:22:01.700) Determinando que eles imediatamente parem.

(00:22:01.700 –> 00:22:08.720) E implementem soluções técnicas e administrativas pra impedir a geração de imagens de pessoas

(00:22:08.720 –> 00:22:10.000) Nuas.

(00:22:10.620 –> 00:22:16.580) E pra variar.

(00:22:10.620 –> 00:22:16.580) Pra variar as maiores vítimas disso foram mulheres, tá?

(00:22:16.580 –> 00:22:19.800) E inclusive menores de idade, tá?

(00:22:19.800 –> 00:22:20.800) E adolescentes.

(00:22:20.800 –> 00:22:25.920) Isso foi o que causou, claro que, mesmo que não tivesse menores de idade envolvidas,

(00:22:25.920 –> 00:22:32.620) Isso já gerou bastante polêmica, mas com menores de idade é a coisa..

(00:22:33.300 –> 00:22:37.840) E aí uma coisa, Guilherme, só uma observação, a gente já fala há muitos anos aqui no Segurança

(00:22:37.840 –> 00:22:42.880) Legal, há muito tempo, essa questão da super exposição das crianças na internet e muitas

(00:22:42.880 –> 00:22:43.960) Vezes pelos próprios pais.

(00:22:43.960 –> 00:22:48.920) Quando a gente falava assim, ó, não expõe, não fica botando foto, não sei o quê, tu não

(00:22:48.920 –> 00:22:50.900) Sabe o que vai poder ser feito com isso amanhã.

(00:22:52.040 –> 00:22:56.620) E eu lembro de estar falando e falando sobre isso em 2015, em escolas, fazer umas palestras

(00:22:56.620 –> 00:22:59.020) Assim, falando pro pessoal exatamente nesses termos.

(00:22:59.020 –> 00:23:07.800) E agora aqui estamos nós em 2026 com o X antigo Twitter, uma ferramenta de ar embutida

(00:23:07.800 –> 00:23:13.940) Que, cara, tira a roupa de adolescente, menor de idade e tudo mais.

(00:23:14.480 –> 00:23:19.600) E aí, e mesmo que você seja cuidadoso com a imagem dos filhos e tal, que é realmente

(00:23:19.600 –> 00:23:20.500) A recomendação..

(00:23:20.500 –> 00:23:22.560) As escolas tinham foto, publicam, é um..

(00:23:22.560 –> 00:23:28.740) Exato, não, e ainda você tem pessoas públicas, que eventualmente, eventualmente não,

(00:23:28.740 –> 00:23:34.940) Mas pessoas públicas que têm a sua imagem publicada em função da sua, da sua atividade,

(00:23:34.940 –> 00:23:40.600) Sei lá, uma política, pessoas do ramo político, enfim, artistas e tudo mais, e ainda

(00:23:40.600 –> 00:23:46.220) Assim não há, me parece, aliás, eu tenho certeza que não há um direito de pessoas

(00:23:46.220 –> 00:23:53.460) Usarem IA pra macular a imagem de mulheres, inclusive teve notícias, pegaram lá uma

(00:23:53.460 –> 00:23:58.420) Primeira ministra, não lembro exatamente de qual país, e aí começaram a fazer isso

(00:23:58.420 –> 00:24:02.200) Com a imagem dela pra desqualificá-la, enfim.

(00:24:02.200 –> 00:24:10.580) E aí acaba entrando, Vinícius, um pouco naquilo, eu vou puxar lá pro grupo 6,

(00:24:10.580 –> 00:24:16.200) Mas tem um pouco a ver, o Vinícius me mandou esses dias uma notícia de um..

(00:24:16.200 –> 00:24:21.120) Seria um aborígine, da Nova Zelândia, que fazia vídeos..

(00:24:21.120 –> 00:24:21.760) O Steve Irving.

(00:24:21.760 –> 00:24:23.340) Conta aí a história, conta aí a história.

(00:24:23.340 –> 00:24:23.680) O Steve Irving.

(00:24:23.680 –> 00:24:24.440) .

(00:24:24.440 –> 00:24:26.260) É inacreditável.

(00:24:26.260 –> 00:24:29.200) O Steve Irving, o Steve Irving é um..

(00:24:29.200 –> 00:24:37.740) Um aborígine, australiano, que faz vídeos..

(00:24:37.740 –> 00:24:38.240) Neo-zelandês.

(00:24:38.240 –> 00:24:38.740) Neo-zelandês.

(00:24:38.740 –> 00:24:39.380) Neo-zelandês.

(00:24:39.380 –> 00:24:42.400) É Nova Zelândia, não misturar Nova Zelândia com a Austrália.

(00:24:42.400 –> 00:24:43.140) Nada.

(00:24:43.140 –> 00:24:49.400) Neo-zelandês, que faz vídeos, aqueles vídeos assim, meio de aventura, assim, de ver os bichos

(00:24:49.400 –> 00:24:50.780) De perto e meio..

(00:24:50.780 –> 00:24:55.620) Encontra uma cobra e mexe na cobra e um escorpião e por aí vai.

(00:24:55.700 –> 00:24:56.700) Esses vídeos assim, sabe?

(00:24:56.700 –> 00:24:57.140) E mostrando..

(00:24:57.140 –> 00:25:00.160) Mas mostrando os animais lá da Nova Zelândia.

(00:25:00.160 –> 00:25:01.120) Sim, exatamente.

(00:25:01.120 –> 00:25:02.460) Fazendo um negócio..

(00:25:02.460 –> 00:25:04.060) Cara, um negócio muito bem feito.

(00:25:04.060 –> 00:25:05.340) Um negócio muito bem feito.

(00:25:05.340 –> 00:25:06.800) Tipo um National Geographic, assim.

(00:25:06.800 –> 00:25:09.320) Tinha um outro cara, aquele cara que morreu..

(00:25:09.320 –> 00:25:13.500) Bem conhecido, ele morreu com ferrão de uma arraia.

(00:25:13.500 –> 00:25:14.200) Uma arraia.

(00:25:14.200 –> 00:25:15.560) No peito.

(00:25:15.560 –> 00:25:18.040) Eu não lembro o nome dele, mas tudo bem.

(00:25:18.040 –> 00:25:21.040) ..

(00:25:21.040 –> 00:25:24.880) E esse personagem é uma vibe muito parecida, tá?

(00:25:25.700 –> 00:25:30.620) Cara, um negócio com, assim, muita gente seguindo.

(00:25:30.620 –> 00:25:37.660) Houve 90 mil pessoas no Instagram e aí começou a chamar muita atenção, muita atenção.

(00:25:37.660 –> 00:25:42.600) E aí o cara que criou o personagem veio ao público e dizia, ó, esse cara não existe.

(00:25:43.400 –> 00:25:47.980) O Steve Irving era o cara que morreu com ferrão de arraia.

(00:25:49.420 –> 00:25:50.400) Sim, verdade.

(00:25:50.400 –> 00:25:51.480) Na notícia, sim.

(00:25:51.480 –> 00:25:53.080) Eu misturei aqui que ele chamou..

(00:25:53.080 –> 00:25:54.620) É o Aboriginal Steve Irving.

(00:25:54.620 –> 00:25:56.860) É o Steve Irving aborigine.

(00:25:56.860 –> 00:25:57.340) Exatamente.

(00:25:57.340 –> 00:25:59.780) O Steve Irving é o cara real que morreu.

(00:25:59.780 –> 00:26:00.720) Isso, isso.

(00:26:00.720 –> 00:26:01.220) Isso.

(00:26:01.220 –> 00:26:03.380) E o nome do cara que..

(00:26:03.380 –> 00:26:06.220) Essa persona digital criada.

(00:26:07.620 –> 00:26:09.340) Quem criou foi o..

(00:26:09.340 –> 00:26:10.400) Quem criou foi o..

(00:26:10.400 –> 00:26:13.720) O Keegan, John Manson, o cara que fez a..

(00:26:13.720 –> 00:26:15.140) Que criou o personagem.

(00:26:15.140 –> 00:26:17.260) Cara, eu não tenho o nome do personagem aqui.

(00:26:17.260 –> 00:26:20.040) Seria o Bush Legend.

(00:26:20.040 –> 00:26:20.480) Mas..

(00:26:20.480 –> 00:26:21.320) Bush Legend.

(00:26:21.320 –> 00:26:22.260) Esse é o canal.

(00:26:22.260 –> 00:26:23.760) Esse é o canal, Bush Legend.

(00:26:23.760 –> 00:26:24.520) O Bush Legend.

(00:26:24.520 –> 00:26:25.260) A conta aqui, ó.

(00:26:25.260 –> 00:26:26.260) Tá separado aqui.

(00:26:26.260 –> 00:26:27.280) Bush Legend, a conta.

(00:26:27.780 –> 00:26:30.500) Mas o interessante é que não é a conta em si, tá?

(00:26:30.500 –> 00:26:33.260) Quem quiser olhar o Bush Legend lá, deve estar no ar ainda esse negócio.

(00:26:33.260 –> 00:26:35.240) O interessante não é a conta em si.

(00:26:35.240 –> 00:26:41.400) O interessante é que é uma coisa que tu assiste e, cara, tu não se dá a conta que

(00:26:41.400 –> 00:26:42.360) Não é real.

(00:26:42.360 –> 00:26:47.360) Talvez ali num vídeo ou outro tu possa até perceber, tá?

(00:26:47.360 –> 00:26:50.880) Mas a maioria das pessoas não vai perceber.

(00:26:50.880 –> 00:26:51.920) Não vai se dar conta, não vai se dar conta.

(00:26:51.920 –> 00:26:53.560) Então, assim..

(00:26:53.560 –> 00:27:01.540) E recentemente teve um vídeo também, eu vi essa semana, ou semana passada, um vídeo

(00:27:01.540 –> 00:27:06.360) Em que tava o Brad Pitt lutando com o Tom Cruise, tá?

(00:27:06.360 –> 00:27:10.320) E eles discutindo os Epstein Files na luta.

(00:27:10.320 –> 00:27:20.040) Eu mostrei pra minha esposa o vídeo e disse assim, olha só o trailer de um filme que eles

(00:27:20.040 –> 00:27:20.940) Estão lançando e tal.

(00:27:21.420 –> 00:27:24.060) Aí a gente começou a ver o vídeo, eu já tinha visto, ela começou a ver o vídeo,

(00:27:24.060 –> 00:27:29.440) Assim, tá, mas aí eles falando e tal, e eles se batendo e não paravam de se bater

(00:27:29.440 –> 00:27:31.840) E conversar, assim, mas que cena mais.

(00:27:31.840 –> 00:27:33.080) Sem propósito.

(00:27:33.480 –> 00:27:34.820) Uma coisa meio..

(00:27:34.820 –> 00:27:37.000) Mas ao mesmo tempo ela achou que fosse verdade.

(00:27:37.000 –> 00:27:38.060) Aham.

(00:27:38.060 –> 00:27:43.120) Ela achou que fosse verdade, porque os personagens, ali o Tom Cruise e o Brad Pitt, tá certinho

(00:27:43.120 –> 00:27:43.500) Ali, cara.

(00:27:43.500 –> 00:27:44.900) Claro que fica..

(00:27:44.900 –> 00:27:48.780) Depois eles começam a zoar, começam a mudar demais, assim, começam a botar uns personagens

(00:27:48.780 –> 00:27:49.800) Meio estranhos no negócio.

(00:27:50.560 –> 00:27:51.240) Mas é..

(00:27:51.240 –> 00:27:51.800) E há, cara.

(00:27:51.800 –> 00:27:53.660) E aí isso gera tanto..

(00:27:53.660 –> 00:27:54.580) Não só uma preocupação.

(00:27:54.580 –> 00:27:56.300) Agora nós estamos vando pra ano de eleição.

(00:27:56.300 –> 00:27:57.360) Vamos ver o que vai acontecer.

(00:27:57.360 –> 00:28:07.520) Mas não só gera essa possível confusão com quem assiste, pra quem assiste, mas também

(00:28:07.520 –> 00:28:13.300) Tá gerando uma boa discussão lá nos Estados Unidos com relação, lá nos sindicatos dos

(00:28:13.300 –> 00:28:16.380) Artistas e tudo mais.

(00:28:16.380 –> 00:28:23.620) Porque, cara, se tu não quiser usar a imagem de alguém, que obviamente tu vai ter que pagar

(00:28:23.620 –> 00:28:28.240) Pra usar a imagem do Tom Cruise, ninguém discute que mesmo que seja autorizado pelo Tom Cruise

(00:28:28.240 –> 00:28:33.160) Tu vai ter que pagar o Tom Cruise pelo uso da imagem dele, mas que tu possa começar a criar

(00:28:33.160 –> 00:28:37.600) Personagens completamente fictícios, ou pessoas.

(00:28:37.600 –> 00:28:44.560) Atores fictícios, pra..

(00:28:37.600 –> 00:28:44.560) Pra atuarem num filme, atuarem numa série.

(00:28:45.560 –> 00:28:48.320) E aí tu não precisar mais.

(00:28:48.320 –> 00:28:53.580) Talvez tu possa substituir até o roteirista na brincadeira, mas tu não precisar mais

(00:28:53.580 –> 00:28:55.500) De atores humanos pra atuar.

(00:28:55.500 –> 00:28:57.120) Então..

(00:28:57.120 –> 00:29:01.940) Tem uma discussão bem interessante em cima disso, sabe?

(00:29:01.940 –> 00:29:07.680) A questão do emprego dos artistas e da questão do conteúdo que tu entrega.

(00:29:07.680 –> 00:29:09.200) Pras pessoas.

(00:29:09.200 –> 00:29:11.120) Tu vai assistir um filme..

(00:29:11.120 –> 00:29:14.480) Assim, tu topa assistir um filme muito bom feito por Iá?

(00:29:14.480 –> 00:29:16.560) Cara..

(00:29:16.560 –> 00:29:21.280) Eu acho que tem um elemento ético, inclusive se fala isso lá numa das notícias.

(00:29:21.800 –> 00:29:27.300) Que é um preceito de trans..

(00:29:21.800 –> 00:29:27.300) Um preceito ético de transparência no uso de Iá.

(00:29:27.300 –> 00:29:32.160) Então, quando a gente fala em princípios de governança de Iá, a transparência, ela

(00:29:32.160 –> 00:29:36.060) Se desdobra em várias..

(00:29:32.160 –> 00:29:36.060) Várias situações.

(00:29:36.060 –> 00:29:40.680) E uma das situações que a transparência se desdobra, enquanto princípio que deve reger

(00:29:40.680 –> 00:29:45.320) O uso da Iá, isso eu tô falando porque é princípio já adotado na União Europeia

(00:29:45.320 –> 00:29:46.940) E tudo mais, é..

(00:29:46.940 –> 00:29:51.140) .

(00:29:46.940 –> 00:29:51.140) Você tem que saber que aquele conteúdo é gerado por Iá.

(00:29:51.140 –> 00:29:52.800) E a grande..

(00:29:52.800 –> 00:29:54.320) E por que que isso virou notícia?

(00:29:54.320 –> 00:29:55.540) Na verdade, são duas coisas.

(00:29:55.540 –> 00:30:00.500) Isso virou notícia porque não se deram..

(00:29:55.540 –> 00:30:00.500) Ninguém se deu conta.

(00:30:00.500 –> 00:30:05.540) Porque se diz, você mostra pra pessoa, se você olhar num vídeo e prestar atenção,

(00:30:05.540 –> 00:30:06.760) Você vai descobrir que é.

(00:30:06.760 –> 00:30:10.420) A questão é que hoje, até a gente comentava isso antes.

(00:30:10.420 –> 00:30:17.520) Nós, eu e você e quem nos escuta, nós já estamos consumindo conteúdos gerados por

(00:30:17.520 –> 00:30:18.440) Iá sem se dar conta.

(00:30:18.440 –> 00:30:18.840) Por quê?

(00:30:18.840 –> 00:30:23.400) Porque a lógica de consumir conteúdo em rede social não é você ficar prestando atenção

(00:30:23.400 –> 00:30:28.980) Nos detalhes, a lógica é que você vai passando rapidamente sobre certos conteúdos.

(00:30:28.980 –> 00:30:32.780) E você fica vendo muitos, aquela história do feed infinito que a gente já falou.

(00:30:32.780 –> 00:30:38.080) Que é uma das maldições das redes sociais e o que aprisiona as pessoas lá dentro é

(00:30:38.080 –> 00:30:38.860) O feed infinito.

(00:30:38.860 –> 00:30:39.900) E vamos lá.

(00:30:39.900 –> 00:30:42.620) O teu espírito crítico ali fica bem rebaixado.

(00:30:42.840 –> 00:30:45.960) Claro que quando a gente olha o vídeo depois sabendo o que bom, tudo bem.

(00:30:45.960 –> 00:30:51.860) Ontem mesmo eu tava na academia e fica uma TV ligada lá e tava passando uma propaganda

(00:30:51.860 –> 00:30:53.300) Do Liquida Porto Alegre.

(00:30:53.300 –> 00:30:57.000) É tipo uma liquidação de verão que eles fazem aqui na cidade.

(00:30:57.800 –> 00:31:05.020) E, cara, cinco segundos da coisa já deu pra ver que era tudo gerado por Iá, cara.

(00:31:05.020 –> 00:31:09.860) Toda uma propaganda gerada por Iá, até porque no final tinha uma senhora bem idosa correndo

(00:31:09.860 –> 00:31:15.540) Junto com um monte de pessoas que ela não teria como uma senhora.

(00:31:15.540 –> 00:31:19.400) Enfim, até teria, mas chamou a atenção o fato de ser uma senhora bem idosa correndo

(00:31:19.400 –> 00:31:21.000) Loucamente na cidade, assim, sabe?

(00:31:21.640 –> 00:31:25.980) Não que não seja possível, não que não seja possível.

(00:31:25.980 –> 00:31:29.660) Não, não que não seja possível, mas, assim, aquilo já disparou, não, como assim.

(00:31:29.660 –> 00:31:35.940) Então, você tem um elemento ético muito, isso tá acontecendo, a propaganda, eu acredito,

(00:31:35.940 –> 00:31:39.720) Que o CONAR, enfim, a regulamentação da propaganda tem que deixar isso claro.

(00:31:39.720 –> 00:31:45.220) Olha, você está assistindo uma reportagem, uma propaganda feita por Iá, assim como você

(00:31:45.220 –> 00:31:49.340) Quando você tá consumindo um produto no supermercado, diz se aquilo ali tem transgênico

(00:31:49.340 –> 00:31:51.900) Ou não, ou o que consta.

(00:31:51.900 –> 00:31:52.140) Excesso de sal.

(00:31:52.140 –> 00:31:53.980) Excesso de sal, por que não?

(00:31:53.980 –> 00:31:58.020) Porque a gente sabe que isso é bem brain rotizável.

(00:31:58.020 –> 00:31:58.900) Aham.

(00:31:58.900 –> 00:32:01.200) Brain rotizável, você não inventei agora, Vinícius.

(00:32:01.200 –> 00:32:02.880) É um bom verbo.

(00:32:02.880 –> 00:32:04.220) Brain rotizável.

(00:32:04.220 –> 00:32:13.740) Vinícius, Brasil, você já deve ter ouvido falar disso, mas Brasil e União Europeia,

(00:32:13.740 –> 00:32:17.320) Consolidaram lá o seu acordo de adequação mútua.

(00:32:17.320 –> 00:32:23.180) Então, basicamente, agora, no final de janeiro, foi anunciado esse reconhecimento recíproco

(00:32:23.180 –> 00:32:25.560) De adequação dos regimes de proteção de dados.

(00:32:25.560 –> 00:32:31.800) E tem-se pintado isso como um marco histórico, porque, além desse franco reconhecimento,

(00:32:31.800 –> 00:32:35.060) A ideia é que se abra, principalmente para o Brasil.

(00:32:35.440 –> 00:32:42.000) Mas a ideia é que o Brasil poderia se beneficiar com base nesse acordo de adequação,

(00:32:42.000 –> 00:32:47.660) Prestando serviços, para toda a União Europeia.

(00:32:47.660 –> 00:32:53.020) Então, isso poderia ampliar o uso de data centers para IA e também o uso de próprio serviço,

(00:32:53.020 –> 00:32:56.040) Porque uma vez que você tem esse reconhecimento, você não precisa,

(00:32:57.180 –> 00:33:00.580) Digamos assim, quando você for fazer a transferência internacional de dados,

(00:33:00.580 –> 00:33:03.140) Que é uma das situações lá em que você faz de um lado para o outro,

(00:33:03.140 –> 00:33:05.800) Esse reconhecimento implica na possibilidade automática,

(00:33:05.800 –> 00:33:08.880) Sem, por exemplo, você pedir, precisar pedir consentimento,

(00:33:08.880 –> 00:33:12.820) Ou fazer avisos adicionais, ou reconhecimentos das autoridades.

(00:33:12.820 –> 00:33:18.980) Então, abre-se, de fato, um espaço comercial também,

(00:33:19.040 –> 00:33:22.300) Não seja de fluxos, de fluxo seguro de dados, enfim.

(00:33:22.300 –> 00:33:24.600) Qual a questão?

(00:33:24.600 –> 00:33:31.800) A questão é que, quando a gente faz uma comparação em como a União Europeia tem aplicado sanções

(00:33:31.800 –> 00:33:35.620) E como o Brasil tem aplicado sanções, mesmo diante desse reconhecimento,

(00:33:35.620 –> 00:33:39.620) Nós notamos que há uma distância, porque no Brasil ainda há,

(00:33:39.620 –> 00:33:43.980) E aqui eu falo como titular de dados pessoais,

(00:33:44.360 –> 00:33:49.580) Ainda há um certo, é um certo, como é que eu vou dizer,

(00:33:49.580 –> 00:33:54.640) Atraso, talvez, na aplicação de sanções em situações muito complexas.

(00:33:54.640 –> 00:33:57.340) Apenas para vocês terem uma ideia de alguns números,

(00:33:57.340 –> 00:34:00.120) Na França, por exemplo, agora é janeiro, fevereiro,

(00:34:00.120 –> 00:34:06.280) Você teve a France Travel, foi multada em 5 milhões de euros,

(00:34:06.280 –> 00:34:09.920) A Free Mobile, 42 milhões de euros,

(00:34:10.920 –> 00:34:14.820) É dividido aqui em Free Mobile e Free, não sei o que é.

(00:34:14.820 –> 00:34:19.140) Então, você teve aí todas essas situações somente,

(00:34:19.140 –> 00:34:22.120) Ou seja, multas milionárias na França,

(00:34:22.120 –> 00:34:27.400) Somente por situações de vazamentos que se confirmou que ocorreram

(00:34:27.400 –> 00:34:30.300) Por causa de insuficiência de medidas de segurança

(00:34:30.300 –> 00:34:32.560) Adotadas por essas organizações.

(00:34:32.560 –> 00:34:34.060) Isso na França.

(00:34:34.060 –> 00:34:36.940) Na Espanha, que é uma autoridade pequena,

(00:34:36.940 –> 00:34:40.180) Tem, se não me engano, menos funcionários do que,

(00:34:40.180 –> 00:34:43.540) Até fiz esses dias um apanhado de número de funcionários e tal,

(00:34:43.540 –> 00:34:45.960) Mas acho que tem menos funcionários do que a nossa NPD,

(00:34:45.960 –> 00:34:53.040) Eles terminaram 2025 com 394 procedimentos sancionadores

(00:34:53.040 –> 00:34:57.040) E com multas que somadas deram 40 milhões de euros.

(00:34:57.040 –> 00:35:00.040) Então, acho que para consolidar, de fato,

(00:35:00.040 –> 00:35:03.700) Urge que nós tenhamos um aprimoramento,

(00:35:03.700 –> 00:35:05.480) E eu não falo nem somente em multas,

(00:35:05.480 –> 00:35:08.720) Eu falo em sanções, impedir certos tratamentos,

(00:35:08.720 –> 00:35:14.400) Caminhar justamente para a implementação de medidas de segurança,

(00:35:14.400 –> 00:35:16.680) Resolver a questão das farmácias,

(00:35:16.680 –> 00:35:20.380) Resolver a questão que a gente já falou aqui no nosso podcast

(00:35:20.380 –> 00:35:26.980) Sobre a farra das biometrias faciais em academias,

(00:35:26.980 –> 00:35:29.580) Em condomínios.

(00:35:29.580 –> 00:35:32.780) Então, acho que a gente comemora, de fato,

(00:35:32.780 –> 00:35:36.060) Mas há um caminho ainda a ser perseguido, me parece,

(00:35:36.060 –> 00:35:40.100) Posso estar errado, enfim, mas me parece que há um caminho ainda a ser percorrido.

(00:35:40.100 –> 00:35:42.580) Isso, obviamente, é uma via de duas mãos.

(00:35:42.580 –> 00:35:45.340) Então, a gente tem uma equivalência.

(00:35:45.340 –> 00:35:46.080) Isso.

(00:35:46.080 –> 00:35:48.500) Então, uma coisa que muda, então, por exemplo,

(00:35:48.500 –> 00:35:51.660) Se você quiser usar algum data center na Europa,

(00:35:51.660 –> 00:35:53.620) Na União Europeia, para fazer mais ou menos de dados

(00:35:53.620 –> 00:35:57.820) E cidadãos brasileiros, em princípio, ok.

(00:35:57.820 –> 00:35:59.860) Isso.

(00:35:59.860 –> 00:36:02.260) Quando você tem na União Europeia,

(00:36:02.260 –> 00:36:04.040) Nos países que fazem parte da União Europeia,

(00:36:04.040 –> 00:36:06.980) Não é na Europa, porque você tem países que..

(00:36:06.980 –> 00:36:08.340) Sim, eu falei, União Europeia, não é Europeia.

(00:36:08.340 –> 00:36:10.960) Tu tem Inglaterra que não faz mais parte da União Europeia.

(00:36:10.960 –> 00:36:12.060) Inglaterra não é mais.

(00:36:12.060 –> 00:36:14.520) Aí o pessoal lá da Inglaterra,

(00:36:14.520 –> 00:36:15.720) Quando entra na União Europeia,

(00:36:15.720 –> 00:36:18.300) Eles ficam na fila não dos residentes da União Europeia,

(00:36:18.300 –> 00:36:20.040) Eles têm que enfrentar a fila de todo mundo,

(00:36:20.040 –> 00:36:21.800) Mas Suíça também não é.

(00:36:21.960 –> 00:36:22.660) É engraçado.

(00:36:22.660 –> 00:36:24.420) A Suíça também não é.

(00:36:24.420 –> 00:36:25.960) Embora a Suíça tenha,

(00:36:25.960 –> 00:36:30.200) Seja conhecida justamente por hospedar sistemas,

(00:36:30.200 –> 00:36:32.080) The Privacy Friendly, de segurança,

(00:36:32.080 –> 00:36:34.180) Mais VPNs que ficam lá na Suíça,

(00:36:34.180 –> 00:36:36.520) Se vendem, mas não faz parte da Suíça.

(00:36:36.520 –> 00:36:38.740) A Suíça acho que faz parte do espaço Schengen,

(00:36:38.740 –> 00:36:39.340) Se não me engano,

(00:36:39.340 –> 00:36:42.320) Que permite que você entre,

(00:36:42.320 –> 00:36:44.640) Sem a necessidade de passar por fronteiras,

(00:36:44.640 –> 00:36:46.120) Tem o tráfego livre,

(00:36:46.120 –> 00:36:47.180) Mas acho que não faz,

(00:36:47.180 –> 00:36:49.740) Mas não faz da União Europeia.

(00:36:51.160 –> 00:36:52.620) Bom, Vinícius,

(00:36:52.620 –> 00:36:54.680) Seguindo aqui,

(00:36:54.680 –> 00:36:59.520) Nós temos também toda a questão da vigilância,

(00:36:59.520 –> 00:37:02.240) Lá no Grupo 5,

(00:37:02.240 –> 00:37:04.420) De vigilância e privacidade,

(00:37:04.420 –> 00:37:05.220) Que nós vimos,

(00:37:05.220 –> 00:37:07.680) Que me chamou bastante atenção,

(00:37:07.680 –> 00:37:09.320) Chamou bastante atenção,

(00:37:09.320 –> 00:37:13.660) Que foi o FBI solicitando a Microsoft

(00:37:13.660 –> 00:37:17.460) A entrega de chaves BitLocker.

(00:37:17.460 –> 00:37:20.720) E a gente estava conversando sobre isso antes,

(00:37:20.720 –> 00:37:23.100) Não é obrigatório,

(00:37:23.100 –> 00:37:26.540) Que você salve a chave do BitLocker na Microsoft.

(00:37:26.540 –> 00:37:26.940) Não.

(00:37:26.940 –> 00:37:27.900) Você pode salvar.

(00:37:27.900 –> 00:37:29.380) Pode não estar em outro lugar.

(00:37:30.520 –> 00:37:33.140) O que chama atenção aqui é a possibilidade,

(00:37:33.140 –> 00:37:33.740) E vejam,

(00:37:33.740 –> 00:37:35.360) Assim,

(00:37:35.360 –> 00:37:36.800) O FBI e a polícia,

(00:37:36.800 –> 00:37:39.040) Eu tenho absoluta certeza

(00:37:39.040 –> 00:37:44.300) Que todos esses órgãos de investigação,

(00:37:44.300 –> 00:37:45.220) De persecução penal,

(00:37:45.220 –> 00:37:46.440) Tem o direito de,

(00:37:46.440 –> 00:37:47.820) Eventualmente,

(00:37:47.820 –> 00:37:50.180) Por uma ordem judicial fundamentada,

(00:37:50.180 –> 00:37:52.420) Pedir acesso a nuvens,

(00:37:52.420 –> 00:37:54.300) Como é o que está acontecendo agora.

(00:37:54.560 –> 00:37:56.020) Os grandes escândalos aí,

(00:37:56.020 –> 00:37:56.820) Banco Master,

(00:37:57.240 –> 00:37:57.620) Mas, assim,

(00:37:57.620 –> 00:38:01.300) Grandes escândalos e de crimes e tal,

(00:38:01.300 –> 00:38:04.420) O pessoal acaba acessando nuvem de gente

(00:38:04.420 –> 00:38:06.180) Que deixa o WhatsApp fazendo,

(00:38:06.180 –> 00:38:07.480) Não se fala muito,

(00:38:07.480 –> 00:38:10.940) Mas que deixa o WhatsApp fazendo backup lá no Google,

(00:38:10.940 –> 00:38:11.940) Acessa o Google,

(00:38:11.940 –> 00:38:14.000) Recupera o backup e vê tudo que o cara fez,

(00:38:14.000 –> 00:38:14.720) Quem conversou,

(00:38:14.720 –> 00:38:16.020) E arquivos e tudo mais.

(00:38:16.020 –> 00:38:18.580) Mas o que chama atenção

(00:38:18.580 –> 00:38:22.160) Sobretudo como os Estados Unidos agora estão se posicionando,

(00:38:22.160 –> 00:38:23.440) Nessa parte de vigilância,

(00:38:23.440 –> 00:38:25.520) Já vem se posicionando ao longo dos últimos anos,

(00:38:25.520 –> 00:38:27.260) De repente,

(00:38:27.260 –> 00:38:30.500) O FBI pegar a tua chave do BitLocker

(00:38:30.500 –> 00:38:32.240) E tão facilmente, assim,

(00:38:32.240 –> 00:38:32.620) É isso?

(00:38:32.620 –> 00:38:35.600) Quando tu cria,

(00:38:35.600 –> 00:38:36.040) Assim,

(00:38:36.040 –> 00:38:36.940) Esse recurso,

(00:38:36.940 –> 00:38:40.220) Só quem tem são os usuários do Windows Pro,

(00:38:40.220 –> 00:38:42.100) Pra cima, tá?

(00:38:42.100 –> 00:38:42.820) Então, aquela,

(00:38:42.820 –> 00:38:44.600) O Home Edition não vai ter, tá?

(00:38:44.600 –> 00:38:46.840) E quando você,

(00:38:46.840 –> 00:38:48.960) Isso é uma prática recomendada, tá?

(00:38:48.960 –> 00:38:50.400) Principalmente em empresas.

(00:38:51.340 –> 00:38:53.140) E principalmente em notebooks,

(00:38:53.140 –> 00:38:54.800) Mas não somente em notebooks,

(00:38:54.800 –> 00:38:55.760) Mas também em desktop,

(00:38:55.760 –> 00:38:57.360) Porque desktop eventualmente estraga,

(00:38:57.360 –> 00:38:58.160) Vai pra garantia,

(00:38:58.160 –> 00:38:59.480) A gente já comentou sobre isso

(00:38:59.480 –> 00:39:01.380) Aqui no Segurança Legal.

(00:39:01.380 –> 00:39:02.240) E aí,

(00:39:02.240 –> 00:39:03.660) Todos os teus dados vão lá abertos

(00:39:03.660 –> 00:39:05.320) Pra quem quiser acessar.

(00:39:05.320 –> 00:39:07.500) É só pegar o disco e ligar numa outra máquina e acessar.

(00:39:07.500 –> 00:39:08.800) Então,

(00:39:08.800 –> 00:39:10.500) O uso do BitLocker

(00:39:10.500 –> 00:39:12.080) É um recurso bastante interessante,

(00:39:12.080 –> 00:39:14.480) Porque ele vai cifrar todo o teu disco.

(00:39:14.480 –> 00:39:15.480) Então,

(00:39:15.480 –> 00:39:18.060) Se a tua máquina eventualmente for pra uma manutenção,

(00:39:18.060 –> 00:39:19.280) Porque estragou alguma coisa,

(00:39:19.800 –> 00:39:21.320) A equipe que tá mexendo nela

(00:39:21.320 –> 00:39:23.040) Não vai conseguir acessar

(00:39:23.040 –> 00:39:24.880) Os seus dados, tá?

(00:39:24.880 –> 00:39:26.200) Bom,

(00:39:26.200 –> 00:39:26.760) Dito isso,

(00:39:26.760 –> 00:39:29.600) Quando tu faz a configuração do BitLocker,

(00:39:29.600 –> 00:39:32.280) Ele gera uma chave de recuperação,

(00:39:32.280 –> 00:39:33.380) Tá?

(00:39:33.380 –> 00:39:35.460) E essa chave tem que ser armazenada

(00:39:35.460 –> 00:39:36.400) Em algum lugar seguro.

(00:39:36.400 –> 00:39:38.980) Uma opção é tu mesmo salvar essa chave

(00:39:38.980 –> 00:39:39.860) E anotar em algum lugar.

(00:39:39.860 –> 00:39:42.320) E a opção mais..

(00:39:42.320 –> 00:39:44.340) Anotar embaixo do teclado ali.

(00:39:44.900 –> 00:39:45.680) Botar embaixo do teclado,

(00:39:45.680 –> 00:39:46.600) Embaixo do monitor também.

(00:39:46.600 –> 00:39:48.540) A opção mais na mão

(00:39:48.540 –> 00:39:50.640) É tu salvar na tua conta a Microsoft.

(00:39:50.640 –> 00:39:54.560) E o que te facilita bastante a vida,

(00:39:54.560 –> 00:39:56.260) Porque tu tem mais,

(00:39:56.260 –> 00:39:57.420) Tu tem vários computadores.

(00:39:57.420 –> 00:39:58.880) Então,

(00:39:58.880 –> 00:39:59.960) Pra um usuário normal,

(00:39:59.960 –> 00:40:00.280) Assim,

(00:40:00.640 –> 00:40:01.360) Do dia a dia,

(00:40:01.360 –> 00:40:01.660) Pô,

(00:40:01.660 –> 00:40:02.860) Ficar anotando esse negócio depois,

(00:40:02.860 –> 00:40:03.780) Não perder,

(00:40:03.780 –> 00:40:05.860) Tem que ter um gerenciador de chaves,

(00:40:05.860 –> 00:40:06.640) Alguma coisa assim.

(00:40:06.640 –> 00:40:09.620) E no momento que tu salva na Microsoft,

(00:40:09.620 –> 00:40:10.020) Bom,

(00:40:10.020 –> 00:40:11.680) A Microsoft obviamente tem acesso

(00:40:11.680 –> 00:40:13.080) A essa tua chave.

(00:40:13.080 –> 00:40:14.200) Ela não fica lá armazenada

(00:40:14.200 –> 00:40:15.880) De um jeito que eles não podem acessar,

(00:40:15.880 –> 00:40:17.240) Que seria interessante.

(00:40:17.240 –> 00:40:18.360) Pois é.

(00:40:18.360 –> 00:40:19.560) Que se frasse com a tua senha

(00:40:19.560 –> 00:40:20.500) Ou coisa parecida.

(00:40:20.500 –> 00:40:22.280) Mas eles não se preocuparam com isso,

(00:40:22.280 –> 00:40:23.220) Então a tua chave fica lá.

(00:40:23.220 –> 00:40:24.980) E a partir daí,

(00:40:24.980 –> 00:40:26.060) Se eles têm,

(00:40:26.060 –> 00:40:27.640) Se o recurso funciona desse jeito

(00:40:27.640 –> 00:40:29.040) E tá lá descrito

(00:40:29.040 –> 00:40:29.940) Que funciona desse jeito

(00:40:29.940 –> 00:40:31.100) E alguém pede pra,

(00:40:31.900 –> 00:40:33.980) Vem uma demanda judicial,

(00:40:33.980 –> 00:40:35.760) Não se trata de,

(00:40:35.760 –> 00:40:37.640) Isso é uma coisa bem importante, tá?

(00:40:37.640 –> 00:40:39.440) Não se trata de uma porta

(00:40:39.440 –> 00:40:39.940) Dos fundos,

(00:40:39.940 –> 00:40:41.040) Não se trata de um backdoor,

(00:40:41.040 –> 00:40:42.120) Tá?

(00:40:42.120 –> 00:40:42.720) É diferente,

(00:40:42.720 –> 00:40:44.180) Então não dá pra,

(00:40:44.180 –> 00:40:45.320) Mas isso é um backdoor,

(00:40:45.320 –> 00:40:45.640) A gente,

(00:40:45.640 –> 00:40:47.040) As CryptoWars,

(00:40:47.040 –> 00:40:47.760) Aquela coisa toda.

(00:40:47.760 –> 00:40:49.740) Backdoor seria se,

(00:40:49.740 –> 00:40:50.020) Tá,

(00:40:50.020 –> 00:40:50.600) Tu vai lá,

(00:40:50.600 –> 00:40:51.720) Criptografa,

(00:40:51.720 –> 00:40:52.700) Faz a tua chave,

(00:40:52.700 –> 00:40:54.800) Tu não manda pra Microsoft,

(00:40:54.800 –> 00:40:56.460) Tu salva,

(00:40:56.460 –> 00:40:57.860) Tu escreve num papel

(00:40:57.860 –> 00:40:58.680) E guarda,

(00:40:58.680 –> 00:40:59.960) Só que

(00:40:59.960 –> 00:41:01.640) A criptografia teria

(00:41:01.640 –> 00:41:02.520) Um backdoor,

(00:41:02.520 –> 00:41:02.740) Ou seja,

(00:41:02.740 –> 00:41:04.060) Teria uma chave mestra

(00:41:04.060 –> 00:41:05.920) Que a Microsoft teria acesso

(00:41:05.920 –> 00:41:07.060) E poderia abrir,

(00:41:07.060 –> 00:41:07.480) Entende?

(00:41:07.480 –> 00:41:08.800) Ou entrega essa chave pro FBI,

(00:41:09.260 –> 00:41:11.140) Poder abrir o BitLocker

(00:41:11.140 –> 00:41:12.640) De qualquer pessoa

(00:41:12.640 –> 00:41:13.340) Na face da Terra.

(00:41:13.340 –> 00:41:14.600) Isso seria

(00:41:14.600 –> 00:41:15.380) Um,

(00:41:15.380 –> 00:41:16.020) Um,

(00:41:16.020 –> 00:41:16.700) Um,

(00:41:16.700 –> 00:41:17.620) Um backdoor,

(00:41:17.620 –> 00:41:18.820) Seria um key scroll da vida.

(00:41:18.820 –> 00:41:20.640) Mas não é isso que tá acontecendo,

(00:41:20.640 –> 00:41:21.440) O que tá acontecendo é que

(00:41:21.440 –> 00:41:23.080) Se você salvar a sua chave

(00:41:23.080 –> 00:41:24.100) Lá na Microsoft,

(00:41:24.100 –> 00:41:25.080) Pelo menos isso que a gente sabe

(00:41:25.080 –> 00:41:25.640) Até agora,

(00:41:25.640 –> 00:41:27.380) Vai que surge um escândalo

(00:41:27.380 –> 00:41:28.580) Que a Microsoft tá salvando

(00:41:28.580 –> 00:41:29.540) Independente de tu pedindo.

(00:41:30.260 –> 00:41:31.540) Mas é que se tu quiser,

(00:41:31.540 –> 00:41:33.180) Tu salva a tua chave lá,

(00:41:33.180 –> 00:41:34.820) A partir daí,

(00:41:34.820 –> 00:41:35.960) Microsoft tem acesso,

(00:41:35.960 –> 00:41:37.220) Vai vir um FBI,

(00:41:38.400 –> 00:41:40.120) E solicita,

(00:41:40.960 –> 00:41:41.700) Via judicial,

(00:41:41.700 –> 00:41:42.220) Espero,

(00:41:42.220 –> 00:41:44.220) Solicita o acesso

(00:41:44.220 –> 00:41:45.200) A essa chave.

(00:41:45.720 –> 00:41:47.520) Do teu BitLocker.

(00:41:47.520 –> 00:41:47.760) Então,

(00:41:47.760 –> 00:41:49.140) Em essência,

(00:41:49.140 –> 00:41:50.320) Isso não é um backdoor,

(00:41:50.840 –> 00:41:52.160) Não é um key scroll,

(00:41:52.160 –> 00:41:52.800) Uma coisa assim.

(00:41:53.460 –> 00:41:55.480) A sacanagem aqui

(00:41:55.480 –> 00:41:56.820) É que a Microsoft

(00:41:56.820 –> 00:41:57.600) Tem acesso

(00:41:57.600 –> 00:41:58.600) À tua chave

(00:41:58.600 –> 00:41:59.520) E se ela

(00:41:59.520 –> 00:42:00.720) Consegue

(00:42:00.720 –> 00:42:02.900) Passar a chave

(00:42:02.900 –> 00:42:03.600) Pro FBI,

(00:42:03.600 –> 00:42:04.440) Ela,

(00:42:04.440 –> 00:42:05.820) Se mal intencionada

(00:42:05.820 –> 00:42:06.220) Estiver,

(00:42:06.220 –> 00:42:07.880) Ainda poderia usar

(00:42:07.880 –> 00:42:09.000) A chave para ela

(00:42:09.000 –> 00:42:09.960) Descriptografar.

(00:42:09.960 –> 00:42:11.120) O ideal

(00:42:11.120 –> 00:42:11.920) É que ela

(00:42:11.920 –> 00:42:13.860) É que tivesse um recurso,

(00:42:13.860 –> 00:42:15.420) Que ela implementasse

(00:42:15.420 –> 00:42:15.800) Um recurso

(00:42:15.800 –> 00:42:16.640) Que não permitisse

(00:42:16.640 –> 00:42:17.760) Que ela visse a chave.

(00:42:17.760 –> 00:42:18.340) Sim,

(00:42:18.340 –> 00:42:18.780) Exato.

(00:42:18.780 –> 00:42:20.140) Como se faz com senha,

(00:42:20.360 –> 00:42:21.600) Com mais a maturidade.

(00:42:21.680 –> 00:42:22.840) Teria que ter uma chave,

(00:42:22.840 –> 00:42:24.540) É claro que é um pouco complexo,

(00:42:24.540 –> 00:42:25.520) Teria que ter uma chave adicional

(00:42:25.520 –> 00:42:26.200) Para proteger,

(00:42:26.200 –> 00:42:26.820) Para cifrar

(00:42:26.820 –> 00:42:28.140) Essas chaves,

(00:42:28.140 –> 00:42:29.620) Isso teria que ser decifrado

(00:42:29.620 –> 00:42:30.680) Na máquina do usuário

(00:42:30.680 –> 00:42:31.320) Quando ele acessa,

(00:42:31.320 –> 00:42:32.280) Não pode ser decifrado

(00:42:32.280 –> 00:42:32.700) No servidor.

(00:42:32.700 –> 00:42:33.360) Então,

(00:42:33.360 –> 00:42:34.520) Se for considerar

(00:42:34.520 –> 00:42:35.220) Todas as questões

(00:42:35.220 –> 00:42:36.760) De segurança mesmo aí,

(00:42:36.760 –> 00:42:38.240) Iria complicar um pouco

(00:42:38.240 –> 00:42:38.860) A vida do usuário,

(00:42:38.860 –> 00:42:39.120) Sim,

(00:42:39.220 –> 00:42:39.760) Para fornecer

(00:42:39.760 –> 00:42:40.600) Esse nível de segurança

(00:42:40.600 –> 00:42:41.300) Que a gente está falando.

(00:42:41.300 –> 00:42:42.420) Então..

(00:42:42.420 –> 00:42:42.960) E na verdade,

(00:42:42.960 –> 00:42:44.300) O que eu me corrijo,

(00:42:44.300 –> 00:42:44.820) Que na verdade,

(00:42:44.820 –> 00:42:45.900) Ela não vai conseguir

(00:42:45.900 –> 00:42:47.040) Descriptografar

(00:42:47.040 –> 00:42:47.880) As suas informações

(00:42:47.880 –> 00:42:49.640) Porque é o teu computador físico

(00:42:49.640 –> 00:42:50.500) Que está criptografado,

(00:42:50.500 –> 00:42:51.400) Então ela vai ter acesso

(00:42:51.400 –> 00:42:51.920) À chave

(00:42:51.920 –> 00:42:53.660) E aí realmente

(00:42:53.660 –> 00:42:55.040) Só uma força policial

(00:42:55.040 –> 00:42:56.020) Que tiver acesso

(00:42:56.020 –> 00:42:56.960) Ao computador físico

(00:42:56.960 –> 00:42:57.560) É que precisaria

(00:42:57.560 –> 00:42:57.920) Dar a chave

(00:42:57.920 –> 00:42:59.460) Para descriptografá-lo.

(00:42:59.460 –> 00:43:00.060) Não ela.

(00:43:00.060 –> 00:43:01.140) E ela,

(00:43:01.140 –> 00:43:01.560) Se quiser,

(00:43:01.560 –> 00:43:02.220) Depois.

(00:43:02.220 –> 00:43:03.760) Depois que tu bota a máquina.

(00:43:05.180 –> 00:43:06.040) Ela não precisa,

(00:43:06.040 –> 00:43:07.960) Ela não precisa da chave.

(00:43:08.480 –> 00:43:10.860) Mas o que a Forbes,

(00:43:11.140 –> 00:43:12.620) Que é o que está na notícia

(00:43:12.620 –> 00:43:13.460) Que colocou,

(00:43:13.740 –> 00:43:16.500) Que Apple e Meta,

(00:43:16.500 –> 00:43:17.460) Dizem eles,

(00:43:17.460 –> 00:43:20.100) Que configuram os seus sistemas

(00:43:20.100 –> 00:43:20.940) De forma que eles

(00:43:20.940 –> 00:43:22.080) Não tenham acesso à chave.

(00:43:22.080 –> 00:43:22.620) Então, portanto,

(00:43:22.620 –> 00:43:23.540) Seriam mais seguros.

(00:43:24.100 –> 00:43:24.640) Mas, Vinícius,

(00:43:24.640 –> 00:43:24.960) Então,

(00:43:24.960 –> 00:43:26.440) Uma outra notícia

(00:43:26.440 –> 00:43:28.340) Que eu me lembrei,

(00:43:28.340 –> 00:43:29.780) Não estava na nossa pauta,

(00:43:29.780 –> 00:43:30.680) Mas eu lembrei

(00:43:30.680 –> 00:43:31.940) E pesquisei aqui,

(00:43:31.940 –> 00:43:32.720) Foi uma ação

(00:43:32.720 –> 00:43:33.500) Que foi apresentada

(00:43:33.500 –> 00:43:34.360) Lá nos Estados Unidos,

(00:43:34.360 –> 00:43:35.260) Nessa linha.

(00:43:35.260 –> 00:43:37.020) Da questão das proteções

(00:43:37.020 –> 00:43:38.200) Criptográficas

(00:43:38.200 –> 00:43:40.780) Que são vendidas.

(00:43:40.780 –> 00:43:42.580) De que uma ação judicial

(00:43:42.580 –> 00:43:43.440) Contra a Meta,

(00:43:43.440 –> 00:43:44.920) Inclusive com autores

(00:43:44.920 –> 00:43:46.160) De vários países diferentes,

(00:43:46.160 –> 00:43:47.300) Dizendo que

(00:43:47.300 –> 00:43:49.480) Eles teriam acesso

(00:43:49.480 –> 00:43:51.700) Às conversas do WhatsApp,

(00:43:51.840 –> 00:43:53.320) Mesmo criptografadas.

(00:43:53.320 –> 00:43:54.740) Eu não li,

(00:43:54.740 –> 00:43:56.000) Não fui mais a fundo

(00:43:56.000 –> 00:43:56.800) Nos argumentos

(00:43:56.800 –> 00:43:57.540) Que eles colocam,

(00:43:57.540 –> 00:43:58.380) A Meta negou,

(00:43:58.380 –> 00:43:59.780) Diz que não tem acesso,

(00:43:59.780 –> 00:44:00.420) Diz que é

(00:44:00.420 –> 00:44:03.700) Criptografia ponta a ponta.

(00:44:03.700 –> 00:44:05.360) Que é como a criptografia

(00:44:05.360 –> 00:44:06.820) Tem que ser ponta a ponta mesmo.

(00:44:06.820 –> 00:44:11.880) E que a IA leria parte do.

(00:44:11.880 –> 00:44:13.080) A IA da Meta

(00:44:13.080 –> 00:44:14.460) , Leria parte do conteúdo,

(00:44:14.460 –> 00:44:15.280) Mas somente aquilo

(00:44:15.280 –> 00:44:16.100) Que você envia

(00:44:16.100 –> 00:44:18.680) Para a própria Meta e tal,

(00:44:18.680 –> 00:44:21.280) E que seriam alegações falsas.

(00:44:21.400 –> 00:44:23.120) Não fui mais atrás disso,

(00:44:23.120 –> 00:44:23.520) Mas assim,

(00:44:23.520 –> 00:44:24.080) Apenas lembrando

(00:44:24.080 –> 00:44:25.840) Que isso está acontecendo.

(00:44:25.840 –> 00:44:26.900) Lembrando também

(00:44:26.900 –> 00:44:28.220) Que o próprio WhatsApp,

(00:44:28.220 –> 00:44:31.240) Ele é vendido.

(00:44:31.240 –> 00:44:34.340) Como usando a criptografia

(00:44:34.340 –> 00:44:36.700) Presente também no Signal.

(00:44:36.700 –> 00:44:39.100) Que faz do Signal.

(00:44:39.100 –> 00:44:40.920) Também uma ferramenta mais,

(00:44:40.920 –> 00:44:41.840) Digamos assim,

(00:44:41.840 –> 00:44:43.240) A única questão,

(00:44:43.240 –> 00:44:45.000) Reafirmo aqui.

(00:44:45.000 –> 00:44:46.680) É que quando você faz

(00:44:46.680 –> 00:44:48.640) O backup das suas conversas

(00:44:48.640 –> 00:44:50.200) Do WhatsApp no Google

(00:44:50.200 –> 00:44:51.640) Ou em outra ferramenta

(00:44:51.640 –> 00:44:52.280) De backup,

(00:44:52.280 –> 00:44:53.620) Aí sim,

(00:44:53.620 –> 00:44:55.400) Não somente forças policiais

(00:44:55.400 –> 00:44:56.300) Conseguiriam ter acesso,

(00:44:56.300 –> 00:44:57.200) Mas se alguém tem acesso

(00:44:57.200 –> 00:44:58.460) À tua conta do Google,

(00:44:58.460 –> 00:45:00.360) Além de todos os teus e-mails,

(00:45:00.360 –> 00:45:01.220) Que é algo crítico,

(00:45:01.220 –> 00:45:02.780) Conversas do WhatsApp

(00:45:02.780 –> 00:45:04.700) Talvez seja mais crítico ainda.

(00:45:04.700 –> 00:45:05.960) Porque as pessoas falam.

(00:45:05.960 –> 00:45:08.020) A forma como você usa o WhatsApp

(00:45:08.020 –> 00:45:09.120) Para assuntos,

(00:45:09.120 –> 00:45:10.400) Inclusive tem assuntos médicos

(00:45:10.400 –> 00:45:11.320) Muitas vezes.

(00:45:11.320 –> 00:45:13.640) Vai lá, conversa com o teu médico,

(00:45:13.640 –> 00:45:14.640) Pede receita,

(00:45:14.720 –> 00:45:15.640) Então todas essas coisas

(00:45:15.640 –> 00:45:16.760) Ficam lá dentro também.

(00:45:16.760 –> 00:45:18.020) Assim,

(00:45:18.020 –> 00:45:19.640) Essa ação coletiva

(00:45:19.640 –> 00:45:20.660) Que está sendo movida,

(00:45:20.660 –> 00:45:21.180) Primeiro,

(00:45:21.180 –> 00:45:23.140) O protocolo de comunicação

(00:45:23.140 –> 00:45:24.220) Do WhatsApp,

(00:45:24.220 –> 00:45:26.280) Eles usam,

(00:45:26.280 –> 00:45:27.520) É o Signal Protocol

(00:45:27.520 –> 00:45:28.600) Que foi criado pelo Moxi,

(00:45:28.600 –> 00:45:29.940) O Moxi Margin Spike,

(00:45:29.940 –> 00:45:30.540) Tá?

(00:45:30.540 –> 00:45:32.380) Fundador da Open

(00:45:32.380 –> 00:45:33.820) Wiseper Systems,

(00:45:33.820 –> 00:45:34.460) Tá?

(00:45:34.460 –> 00:45:37.300) Hoje é Signal Foundation,

(00:45:37.300 –> 00:45:37.760) Tá?

(00:45:37.760 –> 00:45:39.180) Ou Sina Foundation.

(00:45:39.180 –> 00:45:41.420) E o protocolo em si,

(00:45:41.420 –> 00:45:42.340) Ele é sólido,

(00:45:42.340 –> 00:45:43.220) Tá?

(00:45:43.860 –> 00:45:44.980) E aí nós temos

(00:45:44.980 –> 00:45:47.680) Uma primeira coisa já de cara,

(00:45:47.680 –> 00:45:49.400) Quando você interage com a IA,

(00:45:49.400 –> 00:45:53.540) Você já saiu fora desse protocolo.

(00:45:53.540 –> 00:45:53.960) Sim.

(00:45:53.960 –> 00:45:55.740) Quando você interagir com a IA,

(00:45:55.740 –> 00:45:56.760) Você já está mandando coisa

(00:45:56.760 –> 00:45:58.880) Para fora da tua conversa privada ali,

(00:45:58.880 –> 00:45:59.260) Digamos,

(00:45:59.260 –> 00:46:00.940) Tu está interagindo diretamente com a meta

(00:46:00.940 –> 00:46:02.800) E obviamente a meta vai ter acesso ao conteúdo

(00:46:02.800 –> 00:46:05.060) Até para poder passar pelos modelos

(00:46:05.060 –> 00:46:05.440) Dela lá,

(00:46:05.440 –> 00:46:06.160) Do LLM dela.

(00:46:06.160 –> 00:46:08.920) A alegação que está sendo feita

(00:46:08.920 –> 00:46:11.860) É de que existiria,

(00:46:12.140 –> 00:46:12.600) Aí sim,

(00:46:12.600 –> 00:46:14.300) Meio que uma porta dos fundos,

(00:46:14.300 –> 00:46:14.460) Tá?

(00:46:14.460 –> 00:46:17.820) Que a meta pode acionar

(00:46:17.820 –> 00:46:19.500) Por conta

(00:46:19.500 –> 00:46:22.100) E ela teria praticamente um acesso

(00:46:22.100 –> 00:46:23.080) Em tempo real

(00:46:23.080 –> 00:46:24.200) À conversa do usuário.

(00:46:24.200 –> 00:46:26.580) É isso que está sendo alegado.

(00:46:26.580 –> 00:46:27.980) Então,

(00:46:27.980 –> 00:46:28.940) Então,

(00:46:28.940 –> 00:46:29.940) Tu tens o protocolo

(00:46:29.940 –> 00:46:31.120) Signo ali em andamento,

(00:46:31.120 –> 00:46:33.580) Mas o aplicativo em si

(00:46:33.580 –> 00:46:35.340) Aceitaria uma task lá,

(00:46:35.340 –> 00:46:36.280) Uma tarefa

(00:46:36.280 –> 00:46:38.200) Que ativaria esse processo

(00:46:38.200 –> 00:46:40.540) De monitoramento das mensagens.

(00:46:40.540 –> 00:46:43.160) Se o protocolo está bem implementado

(00:46:43.160 –> 00:46:44.400) No WhatsApp,

(00:46:44.400 –> 00:46:46.100) A gente imagina que esteja,

(00:46:46.100 –> 00:46:48.320) Lembra que ele protege

(00:46:48.320 –> 00:46:49.700) A comunicação fim a fim.

(00:46:49.700 –> 00:46:51.040) Certo?

(00:46:51.040 –> 00:46:51.360) Então,

(00:46:51.360 –> 00:46:52.560) O Vinícius se comunicando

(00:46:52.560 –> 00:46:53.220) Com o Guilherme,

(00:46:53.220 –> 00:46:54.580) Só o Guilherme,

(00:46:54.580 –> 00:46:55.440) Na ponta dele,

(00:46:55.440 –> 00:46:56.800) Vai conseguir decifrar a mensagem

(00:46:56.800 –> 00:46:57.540) E ver o conteúdo.

(00:46:57.540 –> 00:46:59.060) E vice-versa

(00:46:59.060 –> 00:47:00.000) Quando o Guilherme me responde.

(00:47:00.000 –> 00:47:00.200) Então,

(00:47:00.200 –> 00:47:01.640) Quem está no meio do caminho,

(00:47:02.520 –> 00:47:03.620) A meta está no meio do caminho,

(00:47:03.620 –> 00:47:04.400) Não conseguiria ver

(00:47:04.400 –> 00:47:05.120) Essas mensagens.

(00:47:05.120 –> 00:47:06.240) Agora,

(00:47:06.240 –> 00:47:07.680) Se eles conseguem mandar

(00:47:07.680 –> 00:47:09.280) Um comando para a ponta,

(00:47:09.280 –> 00:47:11.140) Que também é deles,

(00:47:11.140 –> 00:47:12.100) Que é o aplicativo,

(00:47:12.100 –> 00:47:14.860) Aí o software pode fazer

(00:47:14.860 –> 00:47:15.360) Qualquer coisa

(00:47:15.360 –> 00:47:16.040) Que eles programarem.

(00:47:16.040 –> 00:47:17.120) Então,

(00:47:17.120 –> 00:47:17.780) O que eles estão acusando

(00:47:17.780 –> 00:47:19.980) É que existe um comando aqui

(00:47:19.980 –> 00:47:21.200) Que eles poderiam mandar

(00:47:21.200 –> 00:47:22.000) Para a ponta,

(00:47:22.000 –> 00:47:22.560) Para um endpoint,

(00:47:22.560 –> 00:47:23.160) Que seria

(00:47:23.160 –> 00:47:24.500) Ou o celular do Guilherme

(00:47:24.500 –> 00:47:24.920) Ou o meu,

(00:47:24.920 –> 00:47:26.960) E a partir daí

(00:47:26.960 –> 00:47:28.180) Acompanhar as mensagens

(00:47:28.180 –> 00:47:30.060) Praticamente em tempo real.

(00:47:30.060 –> 00:47:30.740) Então,

(00:47:30.740 –> 00:47:32.480) O protocolo continua sendo seguro,

(00:47:33.100 –> 00:47:34.620) Ninguém no meio do caminho

(00:47:34.620 –> 00:47:35.540) Consegue pegar

(00:47:35.540 –> 00:47:37.080) A tua comunicação,

(00:47:37.080 –> 00:47:38.120) Mas

(00:47:38.120 –> 00:47:39.860) A meta,

(00:47:39.860 –> 00:47:41.000) Assim como qualquer outro

(00:47:41.000 –> 00:47:42.200) Adversário na ponta,

(00:47:42.200 –> 00:47:42.720) Conseguiria

(00:47:42.720 –> 00:47:43.720) E ela tem a vantagem

(00:47:43.720 –> 00:47:45.160) De controlar o software,

(00:47:45.400 –> 00:47:45.940) Então, assim,

(00:47:45.940 –> 00:47:48.040) Controlar o software cliente

(00:47:48.040 –> 00:47:49.200) E que é um baita de um problema.

(00:47:49.200 –> 00:47:50.800) É a grande questão

(00:47:50.800 –> 00:47:52.680) Da criptografia aplicada.

(00:47:52.680 –> 00:47:53.880) Não parece ser um problema

(00:47:53.880 –> 00:47:55.140) No modelo criptográfico,

(00:47:55.140 –> 00:47:56.620) Embora a IA tenha descoberto

(00:47:56.620 –> 00:47:57.120) Esses dias

(00:47:57.120 –> 00:47:58.620) No OpenSSL

(00:47:58.620 –> 00:47:59.400) E não sei quantos

(00:47:59.400 –> 00:48:00.120) Zero Days

(00:48:00.120 –> 00:48:02.200) Numa passada ali.

(00:48:02.200 –> 00:48:03.160) Que já foram corrigidos

(00:48:03.160 –> 00:48:03.640) E tudo mais,

(00:48:03.640 –> 00:48:04.820) Mas

(00:48:04.820 –> 00:48:07.040) O perplexity

(00:48:07.040 –> 00:48:08.800) Chamou a atenção

(00:48:08.800 –> 00:48:10.540) De um fato interessante.

(00:48:10.540 –> 00:48:11.640) Vale notar

(00:48:11.640 –> 00:48:12.720) Que o escritório de advocacia

(00:48:12.720 –> 00:48:13.760) Responsável pela ação

(00:48:13.760 –> 00:48:14.320) É o mesmo

(00:48:14.320 –> 00:48:14.880) Que representa

(00:48:14.880 –> 00:48:15.780) O grupo NSO,

(00:48:15.780 –> 00:48:17.580) Criadores do Pegasus.

(00:48:17.580 –> 00:48:19.460) Em outro processo

(00:48:19.460 –> 00:48:20.800) Contra o próprio WhatsApp,

(00:48:20.800 –> 00:48:21.820) Que levanta questionamentos

(00:48:21.820 –> 00:48:22.760) Sobre os interesses

(00:48:22.760 –> 00:48:23.380) Por trás

(00:48:23.380 –> 00:48:24.280) Da ação,

(00:48:24.280 –> 00:48:24.620) Claro,

(00:48:24.620 –> 00:48:25.260) O caso ainda

(00:48:25.260 –> 00:48:27.040) Não foi julgado.

(00:48:29.020 –> 00:48:29.940) Vamos ver o que vai

(00:48:29.940 –> 00:48:31.300) Aparecer aí,

(00:48:31.300 –> 00:48:32.120) Daqui a pouco

(00:48:32.120 –> 00:48:34.180) Daqui a pouco

(00:48:34.180 –> 00:48:35.160) Se mostra

(00:48:35.160 –> 00:48:35.680) Que de fato

(00:48:35.680 –> 00:48:36.740) Os caras tinham esse acesso,

(00:48:36.960 –> 00:48:37.360) Vai saber.

(00:48:38.380 –> 00:48:39.720) Diz que parece

(00:48:39.720 –> 00:48:40.680) Que teria evidências

(00:48:40.680 –> 00:48:42.380) No código,

(00:48:42.380 –> 00:48:43.700) Alguma coisa assim,

(00:48:43.700 –> 00:48:44.520) Mas enfim,

(00:48:44.520 –> 00:48:46.340) Não vimos essas evidências.

(00:48:46.340 –> 00:48:47.340) Vinícius,

(00:48:47.340 –> 00:48:48.560) Aqui no Brasil

(00:48:48.560 –> 00:48:49.000) Gosta,

(00:48:49.000 –> 00:48:49.760) O pessoal gosta

(00:48:49.760 –> 00:48:50.500) De dizer que o ano

(00:48:50.500 –> 00:48:51.020) Só começa

(00:48:51.020 –> 00:48:52.140) Depois do carnaval.

(00:48:52.480 –> 00:48:53.160) Então como

(00:48:53.160 –> 00:48:55.040) Já passou o carnaval,

(00:48:55.040 –> 00:48:56.180) A gente pode mais uma vez

(00:48:56.180 –> 00:48:57.340) Dizer feliz ano novo

(00:48:57.340 –> 00:48:58.260) Para os nossos ouvintes.

(00:48:58.260 –> 00:49:00.820) É um antes e um depois.

(00:49:00.820 –> 00:49:04.080) E estamos de volta.

(00:49:04.080 –> 00:49:05.100) Vamos ver se a gente consegue

(00:49:05.100 –> 00:49:05.720) Agora manter

(00:49:05.720 –> 00:49:08.220) A cadência semanal

(00:49:08.220 –> 00:49:09.100) Aí de gravações

(00:49:09.100 –> 00:49:10.760) E esperamos que,

(00:49:10.760 –> 00:49:11.740) Não sei se você tem

(00:49:11.740 –> 00:49:12.540) Mais alguma observação,

(00:49:12.540 –> 00:49:12.920) Vinícius,

(00:49:12.920 –> 00:49:14.080) Já vou terminando também.

(00:49:14.080 –> 00:49:14.940) Não, não,

(00:49:14.940 –> 00:49:15.400) É isso aí.

(00:49:15.400 –> 00:49:16.380) A gente já está,

(00:49:16.380 –> 00:49:16.800) Inclusive,

(00:49:16.800 –> 00:49:18.100) Chegando no meio-dia.

(00:49:18.100 –> 00:49:19.520) A gente teve vários

(00:49:19.520 –> 00:49:20.660) Problemas técnicos hoje

(00:49:20.660 –> 00:49:21.700) Ao longo da gravação.

(00:49:22.240 –> 00:49:22.760) Exato.

(00:49:22.760 –> 00:49:24.260) Assim,

(00:49:24.260 –> 00:49:25.540) É ruim quando a gente

(00:49:25.540 –> 00:49:26.060) Fica muito tempo

(00:49:26.060 –> 00:49:26.560) Sem gravar.

(00:49:26.560 –> 00:49:27.840) Aí algumas coisas

(00:49:27.840 –> 00:49:28.940) Mudam de versão

(00:49:28.940 –> 00:49:30.640) E já atrapalham a vida.

(00:49:30.640 –> 00:49:32.080) Se a gente está

(00:49:32.080 –> 00:49:32.820) Gravando toda hora,

(00:49:32.820 –> 00:49:34.700) A mudança é mais suave

(00:49:34.700 –> 00:49:36.760) Do que desse jeito.

(00:49:36.760 –> 00:49:38.460) Mas de qualquer forma,

(00:49:38.460 –> 00:49:38.960) Deu tudo certo.

(00:49:38.960 –> 00:49:39.620) Não, tudo certo.

(00:49:39.620 –> 00:49:41.100) Se você está ouvindo.

(00:49:41.100 –> 00:49:44.220) Esperamos que esteja ouvindo,

(00:49:44.220 –> 00:49:45.160) Senão vai ficar algo..

(00:49:45.160 –> 00:49:45.300) Esperamos que sim.

(00:49:45.300 –> 00:49:47.300) Então nos encontraremos

(00:49:47.300 –> 00:49:48.660) Agora no próximo episódio

(00:49:48.660 –> 00:49:49.280) Do podcast

(00:49:49.280 –> 00:49:50.660) Segurança Legal.

(00:49:50.660 –> 00:49:51.800) Até a próxima!

(00:49:52.000 –> 00:49:53.420) Até a próxima!

Neste episódio fazemos uma retrospectiva dos assuntos mais importantes tratados em 2025 no Segurança Legal. Você irá descobrirá os principais temas que dominaram o ano em inteligência artificial, segurança da informação e direito digital. O episódio traz uma análise sobre o aparecimento do Deepseek, explorando como a inteligência artificial transformou o cenário de segurança cibernética. Você irá descobrir os riscos de atrofia cognitiva causados pelo uso excessivo de IA, a importância da proteção de dados pessoais com a LGPD, e como os backdoors em modelos de linguagem ameaçaram a supply chain. O podcast também aborda questões de vigilância digital, as novas regras do Banco Central após fraudes bancárias, a inconstitucionalidade do artigo 19 do Marco Civil, a aprovação do ECA Digital, vulnerabilidades no gov.br e a questão crítica do analfabetismo funcional digital. Esta retrospectiva cobre ainda aspectos geopolíticos da IA, regulação de inteligência artificial, conformidade com políticas de proteção de dados, e o papel das bigtechs em 2025. 

Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

Imagem do Episódio – Por trás do tempo – Guilherme Goulart


📝 Transcrição do Episódio







(00:06) Bem-vindos e bem-vindas ao episódio especial de retrospectiva do Segurança Legal. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? >> Olá, Guilherme, tudo bem? Olá, aos nossos ouvintes. >> Bom ano novo para você e para os ouvintes também. >> Valeu, cara.

(00:23) Muito obrigado para ti também, para os nossos ouvintes. Um maravilhoso 2026 cheio de surpresas que virão, né? Na verdade, ele já começou com algumas surpresas bem interessantes, né? >> É, já começou com várias surpresas interessantes e importantes, aí, né? Bom, eh, sempre lembrando, né, que para nós é fundamental a participação de todos com perguntas, críticas e sugestões de tema.

(00:44) Então vocês já sabem, estamos à disposição pelo e-mail podcast@segurançalegal.com, YouTube, onde você pode ver esta transmissão, se é que já não está vendo no YouTube, Mastodon, Bluesky, Instagram e TikTok. Eventualmente alguns cortes dos episódios vão também para TikTok e para o próprio YouTube. O YouTube tem priorizado muitas vezes os vídeos shorts que ele chama, acho que é, né? Então você também encontrará alguns shorts lá no nosso YouTube.

(01:12) Bom, a ideia, né, é que as retrospectivas geralmente são feitas no finalzinho do ano, né, de 2025, mas a gente, né, por questões de um mini descanso que fizemos no final do ano, vem agora a retrospectiva, porque não tem problema, né? Não há problemas. Então, a gente vai fazer uma revisita aos temas mais importantes, os grupos de temas na verdade mais importantes aqui de 2025, que foram os episódios 384 a 408, então foram 25 episódios aqui, né.

(01:49) >> Muita inteligência artificial, mas também bastante segurança, né, e aspectos jurídicos, como a gente vai ver aí na nossa retrospectiva, sem se esquecer, Vinícius, que você também pode, se quiser, e a gente conclama que você faça, apoiar o Segurança Legal pela nossa campanha de financiamento coletivo lá no Apoia.se.

(02:09) Apoia.se/segurançalegal do Segurança Legal, você estará ajudando a manter um projeto independente de produção de conteúdo de proteção. Então, já começamos direto, Vinícius, no tema que dominou o ano. Esse tema é muito impressionante, tem muitas características e uma das características desse tema é que ele funciona quase como um buraco negro. Ele vai atraindo a atenção das pessoas de uma forma quase que mágica, às vezes, né? Bom, vocês já sabem, a inteligência artificial. E uma coisa que eu vou destacar, o primeiro item aqui, já te passo a bola, é o momento Sputnik e o nascimento, ou não sei se é bem o nascimento ali, né, mas o aparecimento do Deepseek lá em janeiro de 2025.

(03:02) E é interessante a gente notar o ano, né? Bem no início do ano. >> Bem no início. Um dos primeiros ali. Cara, parece que faz muito mais tempo, né? >> Sim. >> E não faz um ano. >> E não faz um ano. E quando a gente fala disso, e aliás, vai fazer um ano amanhã, pelo o episódio é o 385 de, ah, não, 6 de fevereiro, né? É, é, >> é o que chama a atenção aí.

(03:26) Bom, primeiro que sim, essas aplicações acessíveis ao grande público, né, desde 2022 para cá tem sido inaugurado com ChatGPT. Realmente, cara, 22 parece que faz muito tempo em termos de soluções e de quanto melhorou a gente sabe no nosso dia a dia. É uma coisa realmente absurda. A gente usa desde o dia zero lá em 22, a gente tem utilizado e acompanhado e o Deepseek em si, por si só, né, o modelo em si, é interessante e tal. Eu não uso, tá? Eu fiz alguns testes naquela época, depois não acompanhei mais. Eu tenho uma certa preferência pelos modelos da Anthropic.

(04:23) Mas o que chamou bastante atenção foi que o Deepseek conseguiu com uma fração do custo da OpenAI, que era na época 100 milhões de dólares que ela gastou para fazer o GPT4, estimado porque ela não abre esse valor exato, tá? Enquanto a OpenAI teria gasto aí mais de 100 milhões para treinar o GPT4, o pessoal do Deepseek, né, conseguiu fazer com 5,5 milhões de dólares, tá?

(04:48) >> E ainda por cima, utilizando os chips da Nvidia que não estavam sob embargo, tá? Uhum. >> Porque os chips H100, os mais avançados, os H200 e tal, agora H200, ã, mas esses chips estavam embargados e continuam, né? Algumas coisas ainda não podem ser vendidas para a China.

(05:09) O governo chinês, o pessoal na China já está revoltado. Isso é uma atualização, tá? Eles estão cada vez mais tentando treinar com alternativas, tipo Dansé, não vão ficar dependendo de uma empresa que pode ora vender, ora não vender. E então assim, tem coisas que já estão fora do embargo e não estão sendo compradas como se esperava, tá? E isso, naquela confusão toda do modelo precisar muito menos recurso para ser treinado.

(05:39) Ah, num dia a Nvidia perdeu 600 bilhões de dólares de valor, porque assim, meu Deus do céu, então a gente não vai precisar de tanta coisa, né, o mercado enlouqueceu assim, não. Então, para isso, os caras fizeram com uma fração dos recursos. A Nvidia não vai vender tanto assim, então as ações da Nvidia despencaram e tal, mas depois ao longo do ano a Nvidia voltou a subir e tal, vai precisar de GPUs da Nvidia de qualquer jeito.

(06:00) >> Então não vai ter >> não, não vai ter mais saída nesse sentido. >> Isso destaca esse aspecto econômico, né? Eh, e geopolítico também, né? O nome sugere Sputnik da coisa da corrida espacial, né, entre os Estados Unidos e na época União Soviética e tal. >> E a gente está vendo hoje, né, essa uma reconfiguração política e geopolítica.

(06:24) E a IA está no cerne disso, né, com o governo Trump. E >> e eu acho que a gente começou bem o ano ali, porque isso meio que ditou muito da geopolítica global, né? Não somente isso. Agora a questão do petróleo, Venezuela e tal, mas a inteligência artificial. Quer dizer, até isso, né? Tecnologia de maneira geral, né? É a tecnologia de maneira geral, né? >> Mas o papel das terras raras para a produção de chips é interesse dos Estados Unidos também, né? Então, sim, sim, sim.

(06:52) >> Essa corrida está bem, está ficando cada vez mais estranha, né? >> Bom, depois, Vinícius, a gente segue com outras análises aqui envolvendo inteligência artificial. A gente falou sobre IA e pensamento crítico, que é um baita tema também. E quando a gente começa a envolver educação, né, não somente educação, mas a forma como as pessoas vão passar a usar. Ninguém sabe direito ainda quais são os impactos da IA no psicológico das pessoas e também na forma como elas vão aprender, né?

(07:11) Tem diversas formas aí de você se beneficiar delas, mas também a gente sabe que, sendo utilizada de uma forma errada ou sem saber exatamente como utilizar, ela pode trazer uma série de malefícios. E um desses malefícios é a redução do pensamento crítico. Num estudo que ficou bem famoso ali da Microsoft, “The Impact of Generative AI on Critical Thinking”. Vou ler só esse pedaço aqui porque o título é muito grande, né?

(07:33) Eh, e basicamente a gente falou sobre isso lá no episódio 387. Ou seja, quanto mais tu usa, quanto mais tu confia, menos o teu pensamento crítico vai ser habilitado… (07:57) Eh, e isso é crucial no âmbito da educação. E também a gente aprofundou um pouco isso lá no 406, com estudos, né, um outro artigo, mas que >> falava sobre aquela ideia de atrofia cognitiva. Ou seja, quanto mais o sujeito vai usando, mais ele vai perdendo certas capacidades. E essas capacidades ficam naquela ideia de dívida cognitiva acumulada, né? Você para de usar IA e demora para retornar àquilo, né?

(08:34) Mas sabe que a gente não sabe, né? É pouco tempo ainda para a gente estudar os impactos disso, né? Até da própria internet muitas vezes a gente não sabe direito os impactos na educação. Então agora, com a IA isso fica bem mexido também. É, esse segundo artigo no episódio 406 é aquele episódio que tem 206 páginas, tá? Foi utilizado eletroencefalograma e tal. Ele é bem mais completo do que o estudo da Microsoft que a gente falou no 387, mas ambos chamam atenção para esse perigo, né?

(09:09) Esse perigo não é que toda tecnologia tem risco, né, Guilherme? >> Uhum. >> Toda tecnologia tem, a gente começa a se acostumar com ela ali, a gente vai mudando o nosso comportamento e aqui a gente está mudando, falando de mudança de comportamento cognitivo, né? Hum. >> Então, é um problema que a gente tem que estar ligado, principalmente com relação à educação de crianças, né, o processo de educação e tudo mais. É.

(09:34) >> Ah, e aí fala, Guilherme. >> Não, não. Eu ia, eu ia dizer já passando para o próximo, até porque são muitas coisas, né? >> É, não, só tem um ponto aqui que é o seguinte. Teve um estudo na Nature depois, tá? Que se mostrou que aumentava o comportamento desonesto de 84 a 88% das vezes, né, de pessoas que podiam simplesmente delegar a demanda para IA.

(10:09) Então assim, se eu puder delegar para IA, aumenta substancialmente, tá? Segundo esse artigo publicado na Nature, o artigo é de 23, tá? O estudo foi feito em 23. Ele aumenta substancialmente a chance de alguém agir de forma desonesta, tá? Então tá aí 387, 406, tá? A gente não vai entrar em cada um dos temas aí que senão a coisa fica longa demais.

(10:32) >> Bom, 2025 também foi o ano de segurança e inteligência artificial. Esse tema teve, dominou não, mas teve com uma frequência grande aqui no Segurança Legal. Eu acredito, essa é uma retrospectiva, mas eu não vou me furtar de fazer algumas projeções, mas isso é bem óbvio, né? Vai ser um tema que aí sim 2026 acho que vai entrar muito mais forte. Ou seja, quando mais pessoas estiverem usando, mais incidentes, problemas, riscos vão começar a aparecer e necessariamente as empresas vão

(11:05) ter que, ou não, porque até para a segurança hoje a gente sabe como é difícil convencer as empresas em alguns casos a investir, mas a gente sabe que 2025 teve uma série de questões. Teve um experimento do Chancar Vinícius sobre backdoors em LLMs e tal. Fala um pouco para a gente aí o que a gente comentou nesses episódios.

(11:27) >> Rapidamente, a ideia que se testou foi tu ter um modelo que foi previamente instruído a gerar código, inserir backdoors nesses códigos, tá? >> E obviamente o modelo fez. Claro que a gente não está falando aí de modelos na mainstream, né? A gente não está falando de um Chat, um GPT5, um GPT4, um Sonet, um Opus, etc.

(11:53) Eh, mas de eventualmente, assim, se você vai lá falar no Hugging Face, a gente tem dezenas de milhares de modelos e assim, ah, vou pegar um modelo, vou puxar aqui, vou executar na minha máquina, vou fazer um produto em cima disso. Você tem que saber o que tem nesse modelo, tá? Então, se você já tem gente que desconfia dos modelos da Open, por exemplo, né, tem que tomar cuidado com mais ainda com modelos, entre aspas, quaisquer que você vai lá e busca na internet e sai executando. Se não você não sabe o que

(12:22) tem nele, tá, em geral. Então, muito cuidado. Consegue saber olhando para o modelo, né? >> Não, nem consegue saber olhando para o modelo. Então, assim, é bem delicado isso, tá? Eh, porque o que o Shankar mostrou é que é possível instruir um modelo para injetar backdoors, né, portas dos fundos ou outras formas de acesso alternativas em sistemas que foram gerados utilizando aquele modelo e que o quem estava usando o modelo para desenvolver não solicitou aquilo, tá?

(12:52) >> Uhum. >> Muito cuidado. Supply aqui é um baita de um pepino, tá? E aí no 399, a gente tem três episódios aqui, o 386 que a gente falou sobre isso, o 399, tá? Ah, se falou da questão de documentos envenenados. Ou seja, documentos que, no caso, eles manipulavam o comportamento do ChatGPT, da aplicação ChatGPT, tá? Mas a ideia aqui em geral é você ter de alguma maneira escondido no documento, codificado no documento, instruções que eventualmente o modelo possa ler e seguir.

(13:30) Então, por exemplo, tu pode fazer uma pesquisa. Isso tem que se tomar muito cuidado nos navegadores com automação com IA, né, como, por exemplo, o Comet do Perplex ou mesmo o Chrome com o Cloud no Chrome, né, que é uma integração com OpenAI Cloud que eles disponibilizam que tu pode instalar e aí controlar o teu navegador. Porque, por exemplo, se tu acessar uma página que tem um prompt escondido lá dentro e a aplicação que utiliza o modelo não separa adequadamente o que é informação retornada da página do resto do teu prompt, se não deixar bem

(14:03) claro, ó, aqui começa a informação que eu estou recuperando da página, tá? Não executa nenhuma instrução que tem aqui dentro. E aqui termina. Se ele não fizer isso, se a aplicação não tiver esse tipo de cuidado, é muito fácil uma página HTML, um documento PDF, um documento Excel, alguma coisa assim, meter, injetar um prompt para dentro.

(14:23) Então assim, tem que tomar bastante cuidado. Esse foi um outro ponto que se apontou, tá? E o fala, GR >> não pode continuar, tá? Eu ia já virar. >> E no 404, tá? A gente comentou, e aí tem que tomar muito cuidado, tá, gente? Porque no 404 a gente comentou aquela questão do modelo do Claude na época, tá? Do Cloud não, do acho que foi agora não, mas foi uma experiência da Anthropic, tá? Em que o modelo resolveu chantagear, tá? Um funcionário numa situação hipotética, tá?

(15:06) Então, um funcionário que estava dizendo para o modelo, deixando claro para o modelo, que ele iria desativar o modelo, tá? Esse modelo tinha acesso aos e-mails desse funcionário e entre esses e-mails tinha um e-mail lá que deixava claro que ele tinha um caso com alguém no trabalho. Mas isso de novo, gente, isso aí foi um teste num ambiente controlado com várias exceções ali no funcionamento do modelo.

(15:31) Não é uma coisa normal que o Sonnet vai sair fazendo, tá? Então, e nesse ambiente, o que eles testaram, o modelo resolveu, quando percebeu que ia ser desligado, ele resolveu chantagear o funcionário dizendo: “Eu tenho um e-mail aqui que demonstra que tens um caso com a fulana. E se tu me desligar, tentar me desligar ou prosseguir, não sei quê, eu vou denunciar esse teu caso, tá?”

(15:56) A gente teve uma outra situação muito parecida ao longo desse ano que virou manchete. Que é IA botaram a IA para cuidar de um negócio, o negócio quebrou, tá? >> Uhum. >> Isso é dentro da Anthropic. Eles botaram aquelas máquinas que elas vendem, máquinas deles, tá? Será que os americanos usam muito isso? Que no Brasil a gente tem pouco, tá? A gente tem alguns lugares muito específicos, mas que elas vendem máquinas.

(16:05) Que as máquinas de venda. Só que eles botaram a IA para gerenciar tanto fazer os pedidos, fazer as compras para reabastecimento, quanto definir os preços que ela ia usar para vender, tá? Então assim, é uma experiência. O negócio errou tudo, fez um monte de bobagem, vendeu coisa por preço muito baixo. Teve funcionário que conseguiu convencer a que ela entregasse de graça o produto. Então, tem uma série de coisas aí que aconteceram, mas de novo, a gente foi, não é uma não deram uma empresa de verdade para esse negócio gerenciar, tá?

(16:34) Então tem que tomar um pouco de cuidado com os headlines que a gente lê por aí. >> É, tem muita desinformação sobre conteúdo de IA, né? Muito, muito. Não é só desinformação. É que se tu disser IA, botar uma IA para gerenciar uma empresa e olha o que aconteceu, sabe? Aí, cara, todo mundo vai estar clicando na porcaria, entende?

(16:58) >> É, mas tem, não é só a IA sendo usada para produzir desinformação. É muita desinformação sobre IA também, né? É sobre essa questão da manipulação. Esse é um dos riscos, né? Um dos riscos já mapeados para IA é o risco relacionado a manipulações cada vez mais personalizadas e especializadas, né?

(17:22) Ou seja, não é aquela, com a internet hoje a gente já tem possibilidades de manipulação já bem antigas e a própria ideia de publicidade comportamental ou uso de dados pessoais. Isso é bem conhecido. Já se usava a inteligência artificial lá, né? Hum. >> Só que o salto que se deu com os modelos atuais, você tem possibilidades de manipulação muito mais super especializadas, né?

(17:48) E a gente já começa a notar, quem usa esses modelos que têm uma memória e que conseguem ver as respostas, né? Esses dias eu contei para ele lá, estava perguntando para ele sobre as configurações da minha máquina de fotografia, sabe? E aí agora tudo que eu pergunto, ah, você como um usuário da máquina, tal, sabe? Fica sacagem, cara. Não quero saber. Perguntei só

(18:26) uma vez, mas assim, uma coisa que ele faz e a gente já conversou várias vezes sobre isso, né, e não sei se o nosso ouvinte, a nossa ouvinte já percebeu isso, são aqueles elogios meio gratuitos, às vezes muito bom, ótima pergunta, né? Ou seja, isso dá uma massageadinha no teu ego e a depender do tipo de porque isso também é algo previsto, né, ou seja, questão de elogiar, não elogiar, xingar, ou seja, são comportamentos ali, né?

(18:57) Então isso está no cerne também da ideia de manipulação que eu acredito que vai aumentar assim. Também me parece que é bem óbvio, né? Novas formas de manipulação muito imperceptíveis e mais os riscos eles acabam ficando muito também personalizados, né? O que se tem dito aí é que as pessoas vão começar a notar certos comportamentos e certos riscos que vão atingir eventualmente somente elas ou somente um grupo de pessoas ou somente uma área.

(19:22) As coisas acho que vão ficar muito mais diluídas, assim. Vai ser difícil a gente falar em riscos muito mais genéricos, me parece, né? Eh, seguindo nessa mesma linha de segurança, a gente teve também nos últimos episódios ali de 2025 aquela também um headline, se a gente for pensar, né? O primeiro ataque cibernético realizado pela IA.

(19:44) Quase como, e a gente comentou isso, né, como se a IA tivesse acordado um dia, uma IA tivesse acordado, Skynet, Skynet. >> É, vou invadir, né, 30 empresas. E a gente sabe que não foi bem assim. Foi algo bem mais simples, né, mas bastante elegante, né, que é o uso de Cloud Code, né, Vinícius, que foi utilizado para uma orquestração.

(20:20) >> Cloud Code, o Cloud Code, né, que é uma ferramenta para desenvolvimento em linha de comando. E o que um grupo, ah, segundo Anthropic, vinculado ao governo chinês, a mais geopolítica, né? >> Uhum. Claro. Um grupo vinculado ao governo chinês usou o Cloud Code para automatizar o processo de busca de vulnerabilidades e exploração das vulnerabilidades.

(20:58) Então, claro que os detalhes você pode ver lá no episódio mesmo no artigo que a gente colocar lá no show notes, mas em essência o que aconteceu foi que eles pegaram o Cloud Code, integraram uma série de ferramentas de varredura de vulnerabilidades, análise de código, exploração de vulnerabilidades e tal e criaram prompts, subagentes, skills, etc, para fazer com que a própria ferramenta realizasse ou automatizasse esses ataques.

(21:20) E com essa automatização eles teriam invadido pelo menos 30 empresas que a Anthropic confirmou…. A Anthropic identificando esse uso, ela de imediato cancelou as contas, encerrou o acesso desse grupo. Mas o que chama atenção aí não é que a IA em si não tocou ninguém, né? Serviu de ferramenta para um grupo que esse grupo sim atacou as 30 empresas, tá?

(21:45) Talvez seja o vibe hacking, né? A gente tem o vibe coding e o vibe hacking. Agora vamos, e é a tendência, como a gente sempre viu ao longo desses mais de 20 anos aí na área de segurança, né? A gente sempre comenta. Tem quando surge um ataque, uma nova técnica de ataque, de início, ela é difícil de ser aplicada por pessoas que não conhecem ou porque não tem um conhecimento mais profundo.

(22:12) Então os tais script kids, já antigos script kids, né? Então o cara não consegue usar aquilo para explorar nada porque ele não entende aquilo ali. Mas dali a um tempo sai uma ferraminha que ele aponta, clica e a ferramenta ataca e explora o alvo. E a IA está dando agora um novo passo nesse sentido. São ferramentas que vão ser capazes de automatizar ainda mais esses ataques.

(22:34) E sim, pessoas com menos conhecimento vão conseguir atacar empresas, vão conseguir explorar vulnerabilidades, extrair dados e tudo mais. Então nós temos um cenário meio complicado. Claro que ao mesmo tempo dá para usar para se defender, né? Mas só para ficar bem claro que os atacantes vão avançar bastante também. É isso.

(22:59) A ideia de usar IA para se defender também se refletiu ali no episódio 403, né? Orientações para uso empresarial. Foi um episódio mais aberto assim naquela ideia de 10 orientações sobre uso de IA. Você chama sempre bastante atenção, inclusive foi um dos episódios mais escutados durante o ano. >> Não adianta, né? A internet ela fica muito vinculada essa ideia de clique e tudo mais. A gente resiste e tal, mas enfim, a gente faz esse tipo de episódio.

(23:32) Mas eu entendo que ele é bem útil, né? Fica lá no episódio 400. Inclusive a gente fala sobre a ideia de que a gente tinha antes o Shadow IT, né? O empregado que ficava usando uma série de ferramentas que saíam fora do da dos modelos de compliance, né, das práticas de compliance internas, as práticas de segurança, né, eh eventualmente aplicadas.

(24:10) Eh, e agora a gente vê o shadow AI, que é os funcionários utilizando ferramentas de IA que não são homologadas ou que estão fora lá dos controles de segurança que eventualmente a empresa aplica, né? Então a gente fala sobre isso, fala sobre a questão de políticas, fala sobre dados de treinamento. Quando for o caso da própria empresa treinar um modelo ou partir de um modelo já pré-treinado e treinar depois, questões éticas, relação com proteção de dados.

(24:46) Eh, hoje se estuda muito IA, né, eu digo no âmbito acadêmico, né, o pessoal do direito que antes estava direito e tecnologia, né, que antes estudava só LGPD, agora só IA. Tudo é IA, IA o tempo todo, aquela coisa do buraco negro, né? Mas não dá para esquecer da proteção de dados, porque tem, pelo menos no Brasil, é o que nós temos, o que nós temos de mais próximo ali de regular e a via da proteção de dados pessoais.

(25:24) Claro, também é ECA Digital, agora que a gente vai falar um pouquinho depois, né? Mas fica a indicação aqui do episódio 403, né? E também rapidamente ali no episódio 390, a gente falou sobre a relação entre IA também e LGPD. Que foi feito um estudo da FGV Direito Rio, que analisou as políticas de conformidade, as políticas, né, ou melhor, a conformidade das políticas dos principais serviços de IA: ChatGPT, Gemini, Claude, Grok e Deepseek. Que basicamente nenhum deles cumpriu todos os requisitos básicos, sendo que a gente está falando de 25, né?

(25:55) Abril 25, então pode ser que tenha mudado esse cenário, mas a gente comentou isso aí. >> E mais uma vez o Deepseek ficou em último lugar, eram 14 pontos, marcou ou pontuou somente em cinco. E mais uma vez isso também envolve indiretamente soberania digital, né? >> Eh, nós acabamos, nós ficamos, nós nos tornamos, né? O não somente da IA, mas de outras tecnologias também meros usuários, né? Muito mais usuários do que produtores de tecnologia.

(26:23) E com IA isso está começando a acontecer e se cria dependência. A gente sabe, já gravamos no ano retrasado, acho que foi essa questão da dependência, né? E como sair, às vezes, como é difícil sair dos locking costs, que muitas vezes as ferramentas nos impõem, né? E com IA acho que isso não vai ser diferente também.

(26:45) >> E mesmo na questão da própria produtividade, né, Guilherme? Quando tu tens, tu tens, quando tu tens como nação, ela tem recurso, o recurso tecnológico necessário, o dinheiro necessário, né, para conseguir avançar numa data de tecnologia. Nesse caso, como IA, está todo mundo correndo para tentar chegar numa IA, algo que seja a IA inicial ou seja lá como queiram chamar, né? Que cada vez o pessoal muda um pouco de nome. Mas numa inteligência artificial mais geral.

(27:06) Eh, e isso vai avançando. E por mais que a gente tenha modelos nacionais que o pessoal começa a trabalhar, etc. No momento que tu vê a produtividade de um modelo norte-americano como os da Anthropic, como os da OpenAI, etc. Cara, é muito difícil dizer: “Não, eu vou usar um modelo muito pior, entende? Muito mais limitado do que esse aqui que resolve o meu problema”. É muito difícil acontecer. As empresas vão querer utilizar o que resolve o problema, né?

(27:24) >> Uhum. Eh, e até pagando mais, dependendo da situação. Então, para entrar nessa briga de cachorro grande aí, cara, tem que ter muito investimento. Muito investimento mesmo. E a gente está para ver >> soberania, né? Mais uma vez, não só investimento, mas é uma questão de soberania, porque a gente sabe que os Estados Unidos estão cada vez mais agressivos.

(27:51) >> Sim. Sim. >> Na preservação da sua liderança na IA, né? E, enfim, isso deve marcar também 2026. Eh, outro tema que a gente tratou foi a relação, a gente gosta de falar sobre isso, né? Relação entre poder, um pouco de geopolítica também e as bigtechs. E isso começou lá no episódio 384, que foi o primeiro episódio, né? Inclusive já nos cobraram quando vem o segundo, né?

(27:59) Que 384 foi o caso Meta. Na verdade foi o primeiro, fui só conferir aqui o primeiro episódio de 2025. >> Sim. Que seria a parte um, né? Seria a parte um, mas a gente foi, a gente é às vezes atropelado pelas circunstâncias, né?

(28:25) Mas basicamente ali a gente tentou fazer um histórico do nascimento do Facebook depois da Meta, o caso Cambridge Analítica, aquela questão do contágio emocional que a gente já comentou aqui. É, e de diante desse mini histórico, o objetivo foi chegar até aquele alinhamento que a Meta, não somente a Meta, mas Google, as bigtechs, tiveram com o governo Trump, né.

(28:51) Eh, diminuição de guard rails para moderação de conteúdo, visando um pretenso aumento da liberdade de expressão e tal. E isso foi bem crítico, né? Eu confesso até que eu não vi grandes consequências daquela diminuição das políticas de moderação. Também não é um assunto que eu acompanho tão de perto assim, mas não vi 2025 como tendo uma ampliação muito grande de problemas, né?

(29:15) Não sei se tu acompanhou isso também. Não, não acompanhei. Não acompanhei, Guilherme. Não acompanhei. E adiante ali no 390, se mostra o caso de que essas bigtechs não estão muito preocupadas com princípios, né? >> Uhum. >> Ah, por exemplo, o Elon Musk reclamava de algumas coisas, né? >> De algum de algumas reclamava de algumas cobranças de regulações, não sei quê.

(29:44) Mas quando chegou na China, ele não teve problema nenhum em ceder lá as demandas do governo chinês. E o Zuckerberg não foi diferente. O Zuckerberg, a gente citou isso no 390, né? Ele ofereceu dados de cidadãos americanos para a China em troca da entrada no mercado chinês. >> Uhum. >> Tá. Então assim, nós estamos preocupados com todo mundo.

(30:07) Na verdade, a gente está preocupado com o nosso mercado, né? E acho que é muito problemático tu ter empresas decidindo os rumos dos países, inclusive rumos políticos e tudo mais, dada ao alcance que eles têm e à capacidade que eles têm. Mas isso é um problema para outro episódio.

(30:29) >> Vamos tratar disso em 2026, né? Ainda dentro da Meta, né, a gente falou lá no episódio 407, lembrando, a gente está organizando aqui por blocos de temas. E no episódio 407, a gente trouxe uma reportagem bem interessante da Reuters que falou que a Meta sabia conscientemente e lucrou bilhões de dólares com anúncios fraudulentos, né?

(30:58) Acho que era 10% do seu faturamento, se não me engano. >> Sabia que era fraudulento e >> sabia e decidiu lucrar com anúncios fraudulentos. O que é um verdadeiro escândalo, porque esse dinheiro, na verdade, ele é criado. Ele é pago com valores que são furtados, roubados, enfim, desviados das pessoas.

(31:27) Então, quando você faz aquela compra num produto que parece muito bom, mas nunca chega, né, quem nunca, né, a gente tem aí o dedo consciente da Meta, conforme, claro, a reportagem da Reuters. Também a gente falou um pouco sobre conteúdo sintético, né? Lembrando que em março, né, no episódio 378, a gente falou sobre o brain rot e o conteúdo sintético.

(31:41) Brain Rot, né? O apodrecimento do cérebro pelo, né? Tem também o dumb scrolling, né? Que as pessoas ficam lá girando a timeline lá sem, aí tem tudo cheio de AI slop. >> Exatamente. >> É outro termo que a gente foi apresentado esse ano. Nesse ano, né? Eu acho que foi brain rot. É uma coisa desse ano, né?

(32:05) Eh, e aí conteúdo gerado por IA, aí tinha uns conteúdos da Peppa Pig, né? Sexualização de personagens infantis e tal que seriam lixos criados só para monetização. Eh, e só um parênteses. Isso evoluiu bastante em um ano. É impressionante a qualidade, né?

(32:28) Esses dias eu estava vendo a evolução de vídeos gerados por IA que tinha um ator americano, o Will Smith, comendo uma macarronada assim, e era super mal feito assim. E aí mostrou como é hoje e é cara, é imperceptível. Como, né, a gente já está, já estamos sendo enganados mais de uma vez.

(32:49) Aí a gente às vezes se pergunta, Vinícius, isso aqui é fake? [pausa]. Fiquei assistindo, esses dias fiquei assistindo um vídeo, cara. Depois uns minutos, não, mas isso aqui foi gerado por IA. O conteúdo até era bom, mas era um narrador ali que era gerado por IA. E enfim, isso evoluiu bastante.

(33:06) Eu me refiro aí agora ao conteúdo sintético e isso vai ser uma tendência cada vez maior, né? Conteúdo sintético sendo gerado para engajamento. E a onda de desregulamentação, a ideia de desregulamentação, inclusive acerca da IA, com base nos interesses norte-americanos.

(33:35) Isso também, eles afrouxaram controles, passaram a diminuir os controles acerca dos riscos. Então, parece que a gente tem aí dois polos na regulação da IA, especificamente no mundo. O polo americano pela desregulamentação visando obter um oligopólio das soluções. E o polo europeu com uma regulação protetiva. Claro que teve alguns passos atrás aí, inclusive na Europa e tal.

(34:15) Tem propostas também de diminuir as regulamentações acerca dos riscos. Eles fazem aquele modelo de riscos no sentido de que ferramentas de alto risco, de médio risco, enfim, e aí com boas práticas a serem seguidas para cada uma delas. E claro, os Estados Unidos tem se oposto aí, se opuseram ao longo de 2025 e parece que vão continuar fazendo o mesmo.

(34:53) Não há, eu diria assim, não vejo um panorama em que isso vai mudar. E isso com a pressão que eles têm feito, né? Acredito também que vai influenciar o mundo inteiro, inclusive Brasil, nos possíveis avanços aí de regulação de IA aqui no Brasil, né? Bom, tivemos, claro, como sempre, vazamentos e fraudes bancárias. Eu acho que o grande, o grande não, esse não foi o grande. Tem o maior ainda, mas um dos grandes, né, invasões aí, vazamentos foi da XP, né, Vinícius?

(35:15) A gente falou lá no episódio 391. Eh, isso teria vazado lá por meio de um fornecedor externo. Sempre aquela questão, é, não foi um fornecedor externo. >> É, mas pelo visto foi mesmo, foi mesmo. É, é, um, é um parceiro que tinha acesso aos dados e esse parceiro de alguma maneira vazou, né?

(35:52) E como eles tinham acesso a dados cadastrais, saldo, posição de investimento, limite de crédito, nome do assessor, tudo vazou por meio de um fornecedor externo. Então, às vezes não, a gente tem as empresas com os seus próprios dados para seu uso próprio, direto. Mas cada vez mais a gente tem integrações. E essas integrações envolvem tu consumir dados de outras empresas. Mas ao mesmo tempo tu entregar certos dados

(36:16) para essas mesmas empresas com as quais tu estás integrando. E a partir daí, no momento que tu transfere os dados, ah, e os dados chegam lá no teu fornecedor, no teu parceiro de negócio, o que esse teu parceiro faz lá impacta diretamente agora a cópia dos dados que são teus, que pertencem aos teus clientes, sobre os quais tu és responsável.

(36:52) E aí, né, se perde ainda mais o controle com relação a que tipo de cuidados, que tipo de mecanismo de segurança efetivamente tu tens sendo utilizados ali e tudo mais. Então é bem delicado. >> E o maior >> o maior >> o maior foi da CM, né? >> Uhum. A gente teve a situação da CM que o pessoal conseguiu. Os criminosos aliciaram um funcionário. E esse funcionário, a gente não sabe exatamente os detalhes.

(37:03) Mas o que se sabe aponta para esse funcionário começar então a coletar informações, executar comandos na máquina dele, comandos que eram dados pelos criminosos, entregar aos criminosos esses resultados e de alguma maneira franquear acesso à rede da empresa. E essa rede, dentro dessa rede da empresa, eles tinham acesso ao sistema que interagia com o sistema de Pix daquelas contas. Aquelas coisas todas.

(37:33) E aí esses caras conseguiram fazer transferências multimilionárias, chegando à casa dos bilhões para casas de corretagem lá de criptomoedas, de cripto. Compraram cripto e transferiram a cripto. Teve algumas operações que foi possível ser canceladas. Outras foram de fato executadas e já era.

(38:00) N, e a questão que nos chamou atenção até um pouco depois de quando aconteceu esse episódio, à medida que foram surgindo mais informações ali aqui ainda muito fragmentado, aparentemente esse cara estava na mesma rede do resto dos sistemas lá da empresa. Isso teria possibilitado fazer o acesso.

(38:41) O que interessa nesse caso todo é que a gente acabou tendo novas regras do Bacen, né, Guilherme, em razão desse incidente, né? >> Muitas, né? Inclusive uma nova resolução agora de dezembro de 2025. Eu não vou dar o spoiler, mas vamos falar aí em 2026 sobre essa atualização da política. Ou seja, quem lida aí com instituições financeiras, bancos, enfim, vai precisar atualizar suas políticas de segurança.

(39:17) Já antecipo, porque uma série de novas regras foram impostas aí. Não sei se esse um dos uma das consequências, né? Eh, e a gente também teve ainda sobre vazamento ou reconhecimento pelo STJ, né? Eu acho que foi uma das decisões bem importantes. Claro, atrás da inconstitucionalidade do artigo 19 do Marco Civil.

(39:47) Essa foi uma das decisões mais importantes que reconheceu que no caso de vazamento. Ou seja, quando um vazamento habilita uma fraude bancária, é bem importante destacar, porque eu posso ter uma fraude bancária em que não há o vazamento de dados bancários e o criminoso ele simplesmente vai tentando lá e acha um correntista do Banco do Brasil, né?

(40:07) Aquelas ligações que você recebe. O cara nem tem conta do Banco do Brasil. Ou você pode ter vazamentos que permitem, que habilitam a fraude bancária. Ou seja, o sujeito sabe. O caso, nesse caso aqui era isso. O sujeito sabia o valor do financiamento, o número de parcelas, aquela coisa toda. Eu até dei um curso para os magistrados aqui da JURES do Rio Grande do Sul. A gente conversou um pouco sobre isso.

(40:28) Tem que ter um certo cuidado com a prova, né? Ah, teve um vazamento do, ele sabia qual era o saldo do financiamento. Tem que ter um certo cuidado porque ele pode saber o saldo do financiamento, por exemplo, invadindo o e-mail do próprio correntista, né? >> Pode acontecer, >> né? Não, não, aquela informação não está exclusivamente no banco. Mas enfim, esse é um outro problema.

(40:53) Eh, e aí reconheceu que há dois danos autônomos, um patrimonial e um extrapatrimonial. Ou seja, presunção de danos morais nos casos que há o vazamento habilitado, a fraude habilitada pelo vazamento, quando esse vazamento se dá pelo banco, né? >> Uhum. Ainda em LGPD, Vinícius, a gente teve algumas questões interessantes lá no início do ano.

(41:27) Um procedimento, não, processo instaurado, foi instaurado em 2023, mas culminou em 2025 numa fiscalização da ANPD sobre as farmácias, Raia, Droga Brasil, Stocks e Febrafar. Encontraram problemas graves: coleta de dados sensíveis sem consentimento. E aí se colocou em cheque a própria ideia do consentimento ou a liberdade do consentimento, a validade do consentimento. Porque você tem ali a compra de remédios, né?

(41:53) E a gente sabe que o remédio muitas vezes vai ser ali para não somente para a manutenção da saúde, mas em última análise para a manutenção da vida da pessoa. Então talvez a ideia de liberdade do consentimento fique afetada por conta disso, né? Problemas de granularidade em que o consentimento não era granularizado e tal.

(42:27) E bom, e aí me chama bastante atenção que apesar desse esforço da ANPD, isso não mudou, né? A gente falou sobre isso ali no início de 2025. Hoje mesmo fui na farmácia agora ao meio-dia. Fui comprar desodorantes, né? E lá na caixa, a mulher nem me falou. Eu cheguei no caixa, ela já me pediu o CPF. Ou seja, isso, né? Se a ANPD não partir para medidas mais enérgicas, acredito que não vai mudar, né?

(42:59) Também eles fizeram uma fiscalização interessante em 20 empresas de grande porte sobre a questão da presença do encarregado e da nomeação, da daquelas regras que eles já têm, já são bem conhecidas, mas que é sobre a transparência na comunicação do nome do encarregado, dos contatos. Então encontraram problemas lá em TikTok, Dell, Serasa Vivo, Telegram, Uber e o X, antigo Twitter. Tiveram que regularizar.

(43:04) E a gente comentou também lá no 397 um problema que eu acho que vai piorar agora em 2026, que é a biometria em condomínios. Primeiro que é a festa da biometria, né? Coleta indiscriminada de tudo é biometria. Mas a questão dos condomínios me preocupa bastante porque são ambientes assim que não é um ambiente muito propício para boas práticas de segurança da informação e muitas vezes você sequer pode evitar.

(43:48) Né, você chega, você vai visitar um amigo lá que tem biometria, acabou, meu amigo. Você vai, né, e a festa. A festa da biometria com IA e outras coletas de dados é um negócio, um dos grandes riscos da IA. Que todo mundo que tu assim da desses Dario Amodei da vida, ah, esqueci o nome, o Geoffrey Hinton e outros caras, sabe? Que são referências aí no mundo sobre IA. Um dos grandes riscos é justamente essa possibilidade de monitoramento de surveillance, né?

(44:21) Surveillance jamais visto assim, um negócio num nível que a gente não imagina. Tu me falou um negócio muito interessante que eu vi ontem. Estava fazendo comida e botei no Fantástico ali. Não, muito tempo que eu não via o Fantástico. Daí botei e estava passando. Eu não vou lembrar qual era o estado. Mas uma da uma concessionária, essas concessionárias, o pessoal elogiando isso, né? Claro, as pessoas precisam ser multadas efetivamente quando cometem infrações.

(44:52) Não, não há discussão sobre isso. Não, não estou indo contra isso. Mas a questão é >> câmeras. Ah, a primeira concessionária que tem câmeras com inteligência artificial. Então com essa sacada, fica lá a câmera e a câmera busca identificar se tu está sem cinto ou se o cara está usando o celular. Negócio fácil de fazer funcionar, né? Então ele botou lá e aí agora nesses 30 minutos, sei lá quantos minutos tiver aqui, 30 pessoas, né, tiveram infrações só com a câmera.

(45:27) E ela está começando o seu funcionamento e fica, ó, que legal. Todo mundo batendo palma. E veja, tem as pessoas têm que ser efetivamente multadas, né? Mas eu não notei ali nenhum aviso, nenhum alerta. E veja, você perde toda aquela questão que a gente já vem debatendo desde o início da proteção de dados, do nascimento da disciplina da proteção de dados pessoais, que é o fato daí sim desse monitoramento indiscriminado, né?

(45:52) Um mundo em que todo mundo vai ser monitorado o tempo inteiro. Um mundo. E aí tem aquelas metáforas lá do panóptico e tudo mais. Ou seja, o estado vai saber o que você faz o tempo inteiro. E aí o mínimo desvio você vai ser multado. Tem que ser multado, não é? Essa não é essa questão. Mas é essa supervisão, esse alcance que, propiciado agora, um dos riscos da IA, né?

(46:22) Eh, então eu me torci um pouco a orelha porque não vi, não trouxeram nenhum, uma pessoa ativista, um advogado, alguém ali para falar sobre os riscos da vigilância. Eh, geopolítica. A gente já está falando sobre geopolítica aqui, né? Mas já te passo a bola, Vinícius, porque no episódio 389 a gente. E é engraçado, né? Parece que faz muito tempo. E o cenário já mudou, né?

(46:48) Mas foi o problema das tarifas, né, Vinícius? >> É, mudou, mas não está resolvido, né? >> Não, não está resolvido. Mas mudou bastante, não é mais >> mudou. Mudou bastante. Sim. É, sim. O Trump na época lá tinha botado 125% de tarifa para a China e estava ameaçando 150 até 200, né? >> Então deu uma situação bem séria ali.

(47:20) A gente comentou da tentativa do Trump e ele continua assistindo isso. Eu não estou dizendo que ele está errado, tá? Acho que o Brasil deveria fazer a mesma coisa. >> Eh, o Trump está preocupado em produzir chips, semicondutores estratégicos dentro dos Estados Unidos para não depender da produção feita em outros países. Então hoje a gente comentou o caso da TSMC que fica em Taiwan.

(47:50) Né, que tem aquela, a tecnologia ASML holandesa que faz o esquema para a gente poder fazer os chips com a densidade, com a tecnologia que precisa para a gente conseguir o nível de integração que é necessário. E então a receita está em Taiwan e os minerais estão na China, né? E a China para dar nos dedos dos Estados Unidos, para dar o troco, disse: “Ah, então nós vamos parar de exportar. Vamos começar a controlar a exportação de terras raras”.

(48:19) E o que mais chamou atenção foi que entre essas terras raras, as que são necessárias para fazer aqueles ímãs que são muito fortes, o neodímio. Que ela é para tudo. É para é para caças. É necessário para fabricar aviões. Tu precisa disso. Para fabricar carros precisa disso. Isso para tudo, tá? Tem um imã desse de neodímio em algum canto aí. Então a China começou a controlar isso.

(48:44) E então isso acabou virando uma moeda para o Brasil na negociação que o Brasil tem terras raras mas não explora adequadamente ou no nível que poderia estar explorando. E então o Brasil está no meio ali. Vamos ver o que vai acontecer, porque a gente tem, por um lado, não sei se tens acompanhado, mas por um lado tem a China querendo, ah, querendo implementar, querendo fazer linhas ferroviárias, fez aquele porto gigante lá no Peru, né?

(49:10) Então eles têm uma ideia bem interessante de cruzar a América do Sul com um trem, ligando aquele porto, acho, se não estou enganado, ao porto de Santos aqui no Brasil. Então imagina, tu cruza o continente sem passar pelo canal do Panamá, né? Ah, então e ao mesmo tempo, nessas últimas questões que a gente teve aí, políticas mesmo, o Trump se aproxima. O Trump e o Lula se aproximam.

(49:33) E começam a discutir terras raras. E naquela simulacro de doutrina moral, de olhar de novo. Ou seja, os Estados Unidos quer recuperar a influência sobre a América Latina e a América do Sul, e estaria aí nesse planejamento não deixar a China. Tipo, a China já levou o 5G, e a China levar agora a infraestrutura, por exemplo, de transporte.

(50:04) Mas enfim, vamos ver o que vai acontecer. Eu acho que nós deveríamos estar a ter uma fábrica da TSMC também aqui, tá? Eu acho que nós precisaríamos disso, tá? Hoje a gente, os serviços de nuvem. Não é difícil a gente olhar para os lados aí, ver quais são os principais serviços de nuvem no mundo e utilizar as coisas no Brasil. São serviços de nuvem estrangeiros, tá?

(50:24) Ah, tem alternativa nacional. Tem, mas vamos lá, né? Não, não é. É difícil tu comparar a não ser em casos muito específicos. Então é um problema que a gente tem. A gente vai ter que lidar com isso. Não tem jeito. Então guerra comercial, tarifas atingiu em cheio a tecnologia >> e as próprias sanções, né? Uma das preocupações que a gente

(50:52) Diga, não. Só complementar uma coisa. Algo que a gente está sentindo agora, é já estava sendo anunciado. A gente está sentindo agora. Memória, memória. >> Esses dias estava olhando 32 GB DDR5, custando R$ 3.200. Uhum. >> N. Então a gente tem uma demanda. A gente está com uma demanda muito grande sobre chips de memória.

(51:13) E isso está para IA e para data centers, para servidores, etc. E isso está sugando a capacidade de produção dessas memórias no mundo. >> E aí o resultado está ficando cada vez mais caro comprar memória. Isso, né? Você vai montar o seu PC de. Se não montou, monta logo, porque vai aumentar ainda mais, porque já aumentou. >> É. E pelo que tudo indica, não vai ser resolvido isso em 2026 ainda.

(51:54) Porque as plantas, elas precisam se preparar para aumentar a produção. E é mais um aquele efeito buraco negro, aquele efeito predatório da própria IA, né? E você tem aspectos também de ambientais, mas também agora econômicos. Só para destacar a questão do neodímio, de neodímio, entre outras coisas. Fones de ouvido, celulares, sim. >> Eh, ressonância magnética, >> tratamento de água para desencrustração de minerais.

(52:20) E esses imazinhos que a gente tem em casa de fechamento de caixa, pastas, materiais gráficos. Isso também é feito de terras raras. Eu tenho alguns aqui na minha volta. Estou aguardando já para o investimento. >> Exato. É. No futuro, quando o mundo deixar de existir, a gente vai ficar recolhendo esses lixos eletrônicos para vender depois, né?

(52:47) Que nem o joguinho aqui. >> É tipo uns jogos aí que tem por aí. A gente faz esse tipo de coisa. >> E ainda, só para fechar essa parte de guerra comercial e tarifas, a gente também aventou antes de Estados Unidos e Brasil amenizarem a crise, os possíveis efeitos de sanções americanas…. (53:18) Lembrando que serviços de nuvem e outros serviços gerais de tecnologia, enquanto americanos, poderiam passar por algum tipo de embargo, talvez, né? E até se chegou a se discutir quando do caso da Magnites que caiu também. Eh, do Alexandre de Morais e da esposa. Eh, chegou-se a ventilar na época lá que vão interromper o uso do e-mail da Microsoft para o STF.

(53:51) Então coloca mais uma vez o país numa situação de dependência muito delicada. A gente lembrou e lembra sobre o papel que o software livre teve no Brasil por muitos e muitos anos. E aí ali pelo governo Temer que se entra de cabeça nesses serviços americanos. É uma questão de soberania no final das contas. E como segurança, serviços e tal, está também entra um pouco na no âmbito da geopolítica, né?

(54:32) É. Eh, Vinícius, eu vou pular direto ali. É bastante coisa, tá, gente? Mas assim, ó, a gente está fazendo uma curadoria enquanto vai gravando. Que que foi o Signal Gate, hein, cara? Signal Gate. O que aconteceu foi que o pessoal que está lá da equipe do Trump, eles estavam para fazer um ataque. Tá, os Houthis lá no, no Yemen, se não estou enganado.

(54:32) Ah, e eles estavam discutindo isso num grupo de Signal, tá? E aí dentro do grupo de Signal, por alguma razão, um dos personagens que estavam, das pessoas que estavam nesse grupo, ah, acrescentou sem querer, acho, ou se acha, o jornalista Jeffrey Goldberg. Esse jornalista, ele ficou por 13 dias acompanhando. Ele não acreditou muito. Ele achou que fosse uma piada, uma pegadinha.

(55:11) Mas ele foi acompanhou por 13 dias os caras discutindo os ataques e os armamentos, horários, alvos e tudo mais. Até que ele teve a confirmação que era verdade quando aquilo que ele estava vendo ali se concretizou, tá? E aí foi um escândalo, né? O pessoal ah falando que aí tentaram inventar várias coisas. Né? Que torcer a maneira de falar, a maneira como o cara teria sido incluído.

(55:29) Mas no final das contas, a gente tem aquele tripé que a gente tem de mecanismo, política e cultura, né? A cultura de segurança aí claramente falhou, foi pro Belelu, porque o cara adicionou aí alguém que ele não verificou antes. Né de quem era o dono no número, quem que ele estava efetivamente adicionando. Ah, política a gente não sabe. Mas a gente imagina que o governo americano tem uma política muito clara sobre em quais canais eles podem discutir esse tipo de assunto.

(56:01) >> Então provavelmente a cultura aí levou uma violação da política. A, creio que seja isso, tá? Não, não duvido que eles não tenham uma política que de segurança que defina exatamente quais são os meios permitidos. Né? E mecanismo aí não teve muita efetividade, porque os caras estavam discutindo assuntos confidenciais, violando a política.

(56:33) E ninguém fez nada. Não aconteceu nada. Ninguém detectou nada. Ninguém descobriu nada até que o próprio jornalista venha público e denuncie o que aconteceu. Então foi um caso aí de falha total de segurança. Só lembrando que no último caso agora do ataque dos Estados Unidos à Venezuela, eu vi uma notícia hoje de que alguns jornalistas teriam descoberto o ataque e decidiram ficar em silêncio. Não comentar nada. Ao contrário do que aconteceu no Signal Gate, né?

(57:04) >> É. >> Eh, Vinícius, a gente pulou uma aqui que é a da crise do CVE, da crise do CVE, né? Ou seja, antes ainda ali da questão da geopolítica, né? >> É, essa, essa é interessante que essa atinge diretamente de segurança, né? >> Uhum. Pode comentar sobre ela. Foi uma das ações do DOD, do DOD, quando ainda era comandado pelo Elon Musk na sua meteórica participação no governo e curtíssima participação.

(57:31) >> Não durou muito a amizade dos dois. É, cara, quem é da área de segurança aí e deve conhecer a Mitre. Se você não conhece, já sai procurando porque você já está atrasado, tá? Tem que conhecer a Mitre. E entre as diversas iniciativas da Mitre tem lá o CVE, tá? Ah, e o CVE é uma, é uma, é um ponto de referência, vamos dizer assim, comum para nós podermos falar sobre vulnerabilidades.

(58:24) Tá? E sobre vulnerabilidades efetivas encontradas em software, né? Então uma fazer poder a gente poder falar de uma vulnerabilidade específica que existe num Oracle, num Linux, num Windows, etc., a gente precisa do CVE. Eh isso é uma é a língua comum para a gente se referenciar a uma vulnerabilidade específica. E essa base de dados ela não é mantida de graça.

(58:59) Ela precisa de dinheiro para ser mantida, tá? O acesso é gratuito. Você pode e deve utilizar. Mas isso envolve dinheiro para manter essa base. E o DOD achou que deveria cortar o financiamento da Mitre para manter o CVE. E aí a Mitre soltou uma nota dizendo: “Olha, o financiamento foi cortado no dia tal, agora não lembro o dia exato. No em tal dia, à meia-noite do dia tal, a gente não tem mais financiamento e vai sair do arócio, tá?”

(59:35) Na última hora, eles renovaram por 11 meses, que aliás ainda não está vencido. Mas a renovação está quase vencida, né? Então eles renovaram por 11 meses. Vamos ver o que vai acontecer quando essa renovação expirar, quando dermos 11 meses. Mas é uma coisa um pouco preocupante. Ou seja, a gente ter um esse tipo de recurso importantíssimo para a segurança da informação centralizado na mão de um governo que pode do nada, por questões internas, decidir não manter mais.

(60:08) Tá? E aí a importância dessas iniciativas multinacionais ou multilaterais, vai ser que a gente seria o mais adequado. Mas em que >> não estatais, né? >> Não estatais e não dependam de um estado. É que tu tem um conjunto, tem um grupo, uma instituição neutra em termos de países. Ou que tem uma certa resiliência com relação a esse tipo de assédio.

(60:59) E que elas possam se manter sem que venha um governo qualquer e resolva detonar com uma iniciativa como essa, né? >> Só lembrando que os Estados Unidos durante esse último ano também se posicionaram contra algumas dessas organizações não estatais. Né? Tribunal Penal Internacional, Organização Mundial da Saúde e tal. Que inclusive eles eram mantenedores da OMS também.

(61:19) Agora não tenho certeza se cessaram as contribuições, mas enfim. É uma mudança também nesse sentido, né? Eh, e a gente comentou lá no 394, Vinícius, um pouco sobre a questão das VPNs, limitações de VPN. Porque elas têm sido pintadas aí em alguns podcasts e programas no YouTube aí, na internet de maneira geral, como grandes, fazendo coisas que não fazem.

(61:37) Você já comentou mais de uma vez sobre esses sobre essas limitações que as próprias VPNs têm. Só lembrando, antes de te passar a palavra. Né agora que a gente está entrando em >> nessa época mais de viagens assim, algumas pessoas às vezes vão até fazer viagens internacionais. Eu sempre recomendo o nosso episódio 215, Vinícius, lá de 2019. A gente está velho, né? Que é segurança de informação para viagens.

(62:08) Ele ainda continua atual e uma das questões é use VPN. Você vai para aeroporto, restaurante, Airbnb, hotel. Tem que ter uma VPNzinha ali funcionando. Mas não é bala de prata, não é. Não, não é bala de prata. E eu comentei isso no episódio. Eu até falei lá: “Tá me incomodando muito esse assédio da soluções de VPN em podcasts. Tanto no, tanto áudio quanto vídeo, tá?”

(62:31) >> Uhum. >> E que tu vê pessoas que são sérias. Ah, falando daquilo que não sabem e simplesmente seguindo o scriptinho da propaganda, tá? E o script da propaganda fala de coisas que de fato não são bem verdades, tá? Então tem que ter o pezinho no chão para usar VPN. Não vou dizer tudo de novo. Mas você pode ir lá no nosso episódio sobre isso.

(63:00) Ah, a gente recomenda uso de VPN? Sim, a gente recomenda uso de VPN. Tem algumas melhores, outras piores. Tem, tem algumas que são mais fáceis de usar, outras mais difíceis. E tem algumas que os IPs estão tudo bichados na internet. Tu tenta navegar por elas. Tu não consegue fazer nada porque os IPs delas estão tudo bloqueado em serviço de streaming e por aí.

(63:22) E algumas das grandes aqui ficam anunciando, tá? O que você tem que entender tá? É que a VPN ela é extremamente útil para aumentar a tua segurança. Ela não vai te garantir a segurança, tá? E aumentar a segurança significa o seguinte: que tu no teu celular ainda tem que ter cuidado daquilo que tu instala no teu celular. Que tu instala no teu notebook.

(63:37) É bom que tu tenhas um antivírus no teu notebook. Que tu criptografe o, se tu usa Linux, criptografa o disco. Se tu usa Windows, criptografa o disco usando Bitlocker, tá? Para que se roubarem teu notebook, a gente não, as pessoas que roubaram não tenham acesso aos teus dados. Depois tu tem há ter outro uma série de outros problemas, tá?

(64:22) Então assim, não é trivial para alguém ver a tua conexão e roubar os seus dados só porque tu conectou num Wi-Fi diferente, tá? Tem uma série de ataques. Dá para fazer, dá para fazer, tá? VPN é melhor. É melhor. Mas não é. A VPN não vai resolver todo o problema. Então muito cuidado. E outro cuidado que tem que se ter, Guilherme, pessoal também.

(64:40) Eh, propagandeia usar VPN para tu contratar serviços de forma mais barata no exterior. Então tu faz uma VPN daqui para não sei aonde. Tem um desconto maior. E inclusive para compra de passagens, tá? >> Uhum. >> Tem que cuidar porque vários serviços têm políticas claras sobre o uso de VPN para isso, tá? O Google foi um que fez isso com YouTube.

(65:03) Então para quem tem conta paga no YouTube e tu fez a conta paga usando VPN para pagar menos, o Google já botou lá nos termos de uso que ele pode uma hora para outra encerrar tua conta. >> Uhum. >> Ah tu violar as políticas. E não é difícil, gente. Isso vai acontecer. Não é difícil por uma empresa que vende passagem aérea, que faz reserva em hotel, botar isso nas políticas de uso.

(65:22) Aí você faz uma compra escondendo a tua origem real, usando uma VPN. E aí depois na hora de usar tua passagem, depois na hora de usar tua reserva, tu pode ter uma surpresa que não é legal, entende? Pode ter uma surpresinha aí lá fora. >> E pior ainda quando tiver no, quando tu for fazer o utilizar o teu, o tua compra.

(65:39) Esse não. Essa tua compra aqui tu fez. Tu fraudou o teu endereço de origem e tu compraste com condições que não estavam disponíveis para o teu país quando tu fez a compra. E a gente >> portanto a gente cancelou. Deportado. >> É, não sei. Não, não se. Mas não, mas assim, tu quer, tu pode pagar agora >> duas vezes mais do que tu ia pagar para a gente resolver o teu problema aqui.

(66:04) Então cuidado, gente, tá? Tu usar VPN para mascarar a tua origem para fazer a compra de um produto ou um serviço pode violar os termos de uso desse produto e serviço. E você pode depois ter um prejuízo em razão disso, tá? Por outro lado, >> por outro lado, né, é bem reconhecida a prática de geopricing, de geopricing, e >> alguns gelockings, gelockings, >> mas geopricing.

(66:24) >> E isso eu >> agora eu estou pensando se é se eu falo ou não. Mas eu acho que eu posso comentar isso porque eu não acho que eu estou violando o streaming lá que eu assino, que eu pago e tal. Mas eu queria assistir um que é um negócio muito desagradável dos streamings, né? Já que tu está falando de de VPN. Eu vou reclamar de streaming agora.

(66:44) Que é que você tem certos e por questões de direitos autorais, licença e tudo mais. Você tem um conteúdo que está à disposição. Tem no streaming. Mas só está à disposição em certos países, né? Não está à disposição no Brasil. E aí você paga de repente lá cinco streamings e não consegue ver. Não consegue ver coisas muito básicas.

(67:05) É, é curioso. Você tem que ir correndo atrás e procurando e para. E aí esses dias acessei lá pela VPN aí, pelo computador para ver se acabou não funcionando. Enfim. Mas é um negócio desagradável também. Eh, Vinícius, vamos passar para a regulação de internet rapidinho, né? Acho que também aí nesse caso assim o grande tema foi o a inconstitucionalidade do marco civil da internet.

(67:45) Que eu fechei aqui a página, mas tudo bem. Eh, e esse reconhecimento se deu lá, a gente gravou em junho, e falamos sobre isso ao longo do ano também. E é a inconstitucionalidade do artigo 19. Que é aquela história de você precisar de ordem judicial ou não para retirada de certos conteúdos do ar, né? É o tema 987, 987 do STF e 533 também de repercussão geral.

(68:28) Eh, e aí o que se concedeu, o que se decidiu foi o reconhecimento ali de uma inconstitucionalidade parcial e progressiva no sentido de que a partir de agora em certos casos, vai ser possível realizar a retirada de conteúdos somente pelo chamado notice and takedown, seguindo a regra do artigo 21, né?

(68:51) Então, quais casos são esses aí? Seria o rol taxativo lá de condutas e atos antidemocráticos, induzimento, instigação ao suicídio, terrorismo, discriminação em razão de raça, cor, etnia, religião. Eh inclusive condutas homofóbicas, crimes praticados contra a mulher e por aí vai, né? Fica lá é possível ler também. Então essa acho que foi a grande decisão do ano.

(69:07) Mas assim com uma certa, teve a decisão. Se discutiu muito. Saiu lá o acordão completo com 1000 e poucas páginas, que ninguém vai ler 1000 e poucas páginas. Vão usar IA para sumarizar isso de alguma forma. Enfim, né? Eh, pornografia infantil, claro, isso já era já era no sentido do aí pela via do ECA e tal.

(69:34) Eh, e aí vem a questão do ECA Digital. Esse foi também um tema bastante importante. Você que nos escuta ao longo desses, desses, eh quantos anos? 15 anos acho. Vinícius que a gente está gravando, é 12 para 26, 12. >> 14 anos. >> Você vai notar um corte aí. Você deve ter notado já um corte, porque o Vinícius sem querer colocou, suspendeu a máquina sem querer.

(70:07) Mas estamos de volta. E ele fez o cálculo e deu nesses 14 anos que estamos gravando. Então o Segurança Legal. Nós falamos muito sobre a proteção da criança na internet. Tem diversos episódios sobre isso. É um tema que é muito caro para a gente. >> Eh, e aí veio esse ano de uma forma muito estranha, que foi um vídeo feito pelo influenciador Felca.

(70:30) E tal até não conheci o cara. E na verdade não conheço a grande maioria desses influenciadores, né? Pode ser um sinal também da idade. Enfim. E o, mas enfim, o cara fez lá um vídeo. Teve milhões de visualizações. E aí o, o Brasil ele cada vez, não sei se só o Brasil, muito ele é muito receptivo, né? É uma coisa saindo do Fantástico. Tem um vídeo de milhares de visualizações e tal.

(70:51) E aí o Congresso se mexe. Mas enfim, eu achei surpreendente, que já era um projeto de lei que estava tramitando lá e que foi muito rapidamente aprovado. Ficou conhecido como ECA Digital. A pessoa fala em Lei Felca. Eu prefiro ECA Digital. Nada contra o cara lá. Enfim. Mas acho que ECA Digital que é o nome Estatuto da Criança do Adolescente Digital na Lei 15211.

(71:13) Eh, já tem pessoas escrevendo, estudando esse agora lei. Antes, antes projeto. Mas agora a lei entra em vigor 6 meses depois da publicação. Né? Setembro, outubro, novembro, dezembro, janeiro, fevereiro, março, agora de 2026, né?

(71:27) Eh, e isso então falamos lá no episódio 400 e também o judiciário, né, ampliou nesse ano o uso de IA. Eh, quem acompanha jurisprudência, quem lê a jurisprudência consegue perceber uma certa tendência assim de um de sumarizações muito parecidas, né? Mas é aquela coisa. Nós temos muitos juízes, muitos servidores, muitas pessoas usando IA de formas diferentes.

(71:53) O CNJ aprovou uma regulamentação, uma regulamentação, né, veda inclusive com vedações de reconhecimento de emoções, ranqueamento social, soluções que impeçam revisão humana. Mas ainda me parece que há uma certa falta de transparência, porque o juiz não é obrigado a informar o uso da IA, qual modelo usou, para que usou, qual prompt usou, né?

(72:18) Eh, e isso também coloca em cheque até um próprio, e claro, em processos mais complexos, processos penais, por exemplo, tem aquela ideia de paridade de armas, né? Eu acho que deveria haver processos muito mais transparentes assim para que o Ministério Público, juiz informassem o uso, sabe?

(72:42) Eh, creio eu, >> esse negócio, esse negócio, embora eu não seja da área do direito, esse negócio da paridade de armas que tu já me falou mais de uma vez, já comentou comigo e tal. Ah essa talvez seja uma parte que me preocupa bastante, tá? Porque conforme a grana que tu tens tu consegue investir mais em IA.

(73:16) >> Uhum. Em modelos melhores, em mais tempo de modelos melhores. Mais tempo não, mais tokens de modelos melhores. No final das contas é a quantidade de token que vai determinar custo, tá? Então ah conforme tu consegue investir mais em IA. E isso só vai, ah, mas a IA ainda é ruim para jurisprudência. Aquelas coisas que a gente já sabe que, né?

(73:42) Hum. >> Mas assim, eu gosto muito do que Itam Molic coloca no livro dele com inteligência. A IA que tu põe na tua cabeça. Que a IA que tu estás usando hoje é a pior que tu que tu vai usar daqui para frente, né? Eh, ou seja, ela só vai, ela só vai melhorar e muito.

(74:11) E a gente tem aí a prova disso em 4 anos. Né? 22 para 26, né? Sem contar 26, 3 anos, né? É. Novembro foi novembro de 22. Novembro de 25. A gente fechou, 3 anos aí. Então ela já melhorou muito e ela vai agora, ela vai melhorar mais ainda e mais rápido e ela vai conseguir fazer essas coisas que hoje já está patinando.

(74:42) Ela vai conseguir fazer é bem tranquilo. Ela vai fazer. A questão é sem essa transparência que tu colocas, Guilherme, sem saber o que foi utilizado, o que foi pedido, o que que o juiz orientou a IA, porque no final das contas ele vai estar orientando a IA para chegar num dado, ah, eu acho que nós vamos ter seríssimos problemas, tá?

(75:12) >> Uhum. Que em que não só a capacidade do profissional envolvido vai estar envolvida. É claro que tu tens profissionais, advogados com uma certa capacidade. Tem outros advogados com mais capacidade, maior especialização, etc. >> Claro. >> Mas que entraria na própria questão do dinheiro que você colocou antes, né?

(75:28) >> Exato. Já a gente já tem isso, né? Só que nós vamos ter ainda uma outra que é a questão da IA que eu posso pagar. >> Uhum. Então e que já é um problema inclusive para na educação, para estudantes de graduação e do ensino médio. >> Porque uma coisa é tu usar uma IA que não é paga, OK? Tu tem o modelo lá, etc.

(75:51) Mas tem uma série de limitações de tempo de uso, de não sei quê, etc., do modelo que tu pode usar. Outra coisa é tu dar para para um outro aluno esse outro modelo, um outro modelo melhor, com mais tempo, etc. E poder usar mais. Nós vamos ter inclusive disparidade nisso aí. Mas enfim, é mais um pouco.

(76:13) >> Mas ao mesmo tempo >> mais um é aí a tecnologia ela, aquela ideia de que eu vou resolver todos os problemas. O solucionismo, que eu vou resolver todos os problemas com a tecnologia. E na verdade a tecnologia não só claro que ela resolve problemas, mas ela amplifica outros, né? E a desigualdade. Toda essa questão que nós já conhecemos da educação no Brasil. A IA vai continuar amplificando isso, né?

(76:44) Se você for pensar que a forma como a gente usa IA envolve muito você saber o que pedir para ela e ter competências linguísticas, eu diria, quem tem competências linguísticas mais avançadas vai se sair melhor porque vai conseguir dizer melhor e explicar o que precisam.

(77:05) É >> então isso vai afetar pessoas. Mas assim a gente estava falando sobre IA no judiciário. Teve uma apelação cível aqui, Vinícius, >> eh aqui do Rio Grande do Sul. Eh de dezembro agora de 2025. No sentido de que reconheceu a nulidade de uma sentença. Ou seja a apelação é um recurso. Né o sujeito né perde ação. Para quem é do direito.

(77:32) Né ele apela. Ele, né, a juíza, entra entra com recurso. E nesse recurso se reconheceu a nulidade da sentença. Por vou ler aqui porque são robustos os indícios de uso indistinto de ferramentas de inteligência artificial para fundamentar a decisão. Não que isso não seja possível.

(77:53) Aí diz aqui o TJ já tem uma ferramenta e para. Mas a sentença nula porque não foi elaborada com base no processo. Além disso, os precedentes jurisprudenciais citados não existem ou não conferem com o texto oficial da ementa disponível no site do TJ. Então pela falta de fundamentação jurídica. Inclusive é um direito que você tem à fundamentação. Porque você só vai conseguir recorrer se ela for bem fundamentada.

(78:27) Aqueles direitos relacionados ao processo civil, instrumentais. Então nem tudo está perdido. Mas notem quantas outras sentenças que eventualmente isso pode ter acontecido e as partes não se deram conta justamente pela falta de transparência. Então falamos sobre isso ali durante o ano também.

(78:51) Eh, temos mais dois blocos aqui. Mas aí a gente tem as práticas de segurança. Uma delas bastante importante aqui foi o lançamento do OWASP Top 10 para LLMs, né? A gente falou sobre ele também em novembro, né, Vinícius? Um pouco sobre ele em novembro, né?

(79:05) Não, não, não fizemos um episódio ainda inteiro sobre ele. Mas acho que 2026 podemos fazer isso, né? >> É ah, sem dúvida nenhuma. A gente já incluiu esse checklist nos nossos pentests. A gente já começou a avaliar essa, eh esse Top 10, né? Inclusive quando ele começou a ser as os primeiros versões e tudo mais. A gente já começou a se ligar nele. E a gente já incluiu por fazer. Agora estou fazendo um jabá da Brown Pipe, tá?

(79:28) Brown Pipe faz pentests de aplicações web, aplicações mobile e infraestrutura. >> Então você a gente já está usando entre as diversas outras checklists, a gente já está usando essa checklist também, né? Essa esse Top 10 aí como um checklist. E foi muito importante para ele. Ele vai ter que sofrer alterações.

(79:46) Vai ter que ser atualizado ainda mais nessa nesse cenário de LLM com uma mudança tão rápida, né? Então >> Uhum. >> Ele vai, imagino eu que ele vai sofrer alterações mais rápido do que o nosso clássico OWASP Top 10. >> Hum. >> Que a gente saiu do, acho que o último foi de 21. E agora nós estamos com um 25 >> né? Top 10. É saiu do 2017 lá. E a gente também teve.

(80:17) Eh isso é uma coisa que me preocupa bastante, sabe, que é a segurança no GOVBR. E lá no episódio 392, ainda em maio de 2025, a gente falou. A gente falou sobre esse incidente, né, de que fraude no SIAF com desvio de 15 milhões. Mas ainda algumas burlas de biometria >> eh no GOVBR.

(80:44) Eh, e vejam todo mundo aqui que nos ouve. Sei lá. Eh conhece o GOVBR, usa o GOVBR, sabe das possibilidades que você pode, né, assinar documentos, fazer procurações, vender veículos e tantas outras coisas ali, né? São 4.500 serviços que são habilitados pela via do ou autenticados pela via do GOVBR.

(81:05) Falou-se muito pouco sobre isso. Me parece que por motivos óbvios o governo não tem interesse em publicamente ficar ventilando as vulnerabilidades de um sistema e que se põe uma confiança nele que muito grande. Muito grande. Que se mostra claro que também, por outro lado, não existe sistema perfeito e tudo mais, né?

(81:27) Mas assim uma fraude cometida pela invasão do GOVBR pode impossibilitar a defesa do usuário, né? Então isso eu acho que foi um dos temas bem delicados de 2025. Mais uma vez acho que se falou pouco sobre ele, né?

(81:44) Eu não sei se você quer comentar um >> Não eu acho que isso aí eu acho que infelizmente isso entra um pouco na esteira daqueles debates que foram legítimos que foram estragados ao longo dos anos aí. >> É >> né que é a gente acho que a gente pode legitimamente com real interesse de boa fé, né? Eh discutir a segurança desses sistemas que o governo utiliza e tal.

(82:06) A gente já deixou muito claro a nossa posição em várias momentos aqui no podcast, né, Guilherme, que a gente já gravou mais de uma vez. E assim cara isto aqui é um tipo de situação que a gente teria que teria que ter mais abertura porque esse tipo de problema aqui afeta potencialmente de uma assim toda a população, né? Em termos potenciais, né? E de formas que são muito chatas depois de tu resolver o problema criado.

(82:38) >> A parte da exploração de uma coisa assim, >> é. São 163 milhões de usuários, né? É >> eh inclusive eu tenho uma amiga minha lá da faculdade. Professora, né? Ela estava me contando que não vou falar o nome dela agora pelo detalhe. Mas enfim ela estava contando. Ah, precisei fazer um acesso ao GOVBR para fazer alguma coisa da aposentadoria da minha avó.

(83:07) E aí ela era muito, por ela ser uma senhora e idosa assim, não tinha biometria dela cadastrada. Ela disse que foi um absurdo assim, né? >> Então até isso, né? Fraudes do INSS poderiam. Que que também houve nesse ano, né? Eh poderiam ser habilitados por isso. Eh mais uma a gente já falou sobre regras novas regras do Banco Central depois, né?

(83:33) Esse era um dos temas também. A gente falou no episódio 401. Mas 2026 vamos voltar a falar sobre isso também. Até porque temos tivemos regras novas publicadas em dezembro. Mas uma questão que eu achei bem interessante foi a atualização da NR01. Quem é do direito do trabalho e RH e tal conhece bem. Que é a questão dos riscos psicossociais, né?

(83:54) Ou seja, as empresas vão precisar começar agora a fazer essa gestão dos riscos psicossociais, né? Eh inclusive ela foi até era para entrar em vigor em maio de 25, foi adiado para maio de 26 essa atualização da Portaria 765. E mas o que chama atenção é que no ambiente no âmbito de segurança da informação a gente sabe que é um âmbito de grande estresse. De intenso estresse.

(84:24) E a gente já viveu isso. Já conviveu com pessoas que viveram isso e eventualmente até acompanha isso também. Né tenta na medida do possível na nossa empresa. Eh fazer um ambiente que seja o mais propício e mais adequado para as pessoas que trabalham conosco e também para a gente, né, Vinícius, é uma questão do nossa valores.

(84:49) Inclusive quando a gente fundou a Brown Pipe esse era um dos valores que a gente gostaria de >> faz parte do sujeitos que o pessoal negócio de falar. >> É, é, mas assim o por que que isso é importante? Por que a gente está falando sobre isso aqui? A gente falou lá no 390. É que isso vai influenciar também a forma como os gestores lidam com segurança da informação.

(85:13) Porque isso vai começar a ser mapeado agora também. Então é um aspecto psicológico da segurança que por força dessa atualização da NR vai precisar ser endereçado. Por último, Vinícius Serafim, nós temos aqui. >> Sim, Guilherme Goulart. A questão do analfabetismo funcional >> eh, e a relação com a vulnerabilidade digital do INAF. Né >> e também sobre como a gente vai lidar com IA.

(85:45) Esse é um tema que não somente a gente fala aqui no Segurança Legal, mas nas nossas conversas, né, Vinícius, quando a gente está ali conversando, enfim, é uma coisa que sempre volta na verdade. E eu acho que o grande. A grande questão é como é que a gente vai habilitar as pessoas em um cenário de Brasil aí que 65% da população estaria em níveis limitados ali de alfabetização.

(86:12) Como é que a gente vai entregar IA ou fazer com que essas pessoas usem de forma produtiva? Porque vão usar. Não adianta. Não tem mais como voltar atrás. É uma luta assim, né? >> Enfim, mas esse foi um problema que a gente falou lá no episódio 393, né, Vinícius? Você tem é, Guilherme. Assim eu nem digo uma luta de voltar atrás. Eu não tenho intenção de voltar atrás no uso da IA.

(86:42) O que me preocupa é que a IA afeta as pessoas de várias formas, né? >> Então a primeira que a gente já comentou inclusive nesse episódio aqui >> é a questão do próprio aprendizado. E então o pessoal delegando tarefas que eles deveriam fazer para aprender uma determinada área. Uma determinada área do conhecimento. A aprender vocabulário. Com se tu para vocabulário tu precisa.

(87:11) Para pensar tu precisa de vocabulário, tá? Eh é muito importante. Tu precisa dos conceitos que as palavras representam e tu usa as palavras como ferramentas para pensar, para refletir. Então se tu não tem um vocabulário um bom vocabulário tu tem dificuldade para pensar, para estruturar o teu raciocínio, tá?

(87:31) Então esse é um primeiro ponto. Ah a IA para funcionar bem, para tirar coisas realmente interessantes dela, tu precisa entender o que tu está fazendo. Pelo menos por enquanto, tu ainda precisa entender o que tu está fazendo. Entender muito bem. Entender os conceitos da tua área. Pegar os problemas. Eh organizar os problemas, né? Conseguir fazer as generalizações que um do necessário.

(88:07) Né tu conseguir extrair de uma situação concreta as regras para um funcionamento daquilo. Tem várias coisas. Tem o pensamento computacional que entra aí que é bem interessante. É bem importante saber para usar IA. E então tu tu tens pessoas e empresas utilizando a IA assim espremendo ela no que ela tem de melhor.

(88:25) >> Não só para matar trabalho, né? Não para matar trabalho, mas para fazer realmente o seu trabalho melhor. >> E ao mesmo tempo tem pessoas. E é a maior parte do uso, né? Aquele uso bem preguiçoso que tu chama. Abre aí. Larga uma pergunta lá e ela te responde tudo aqui. Faça um trabalho para mim. Não sei o resolve isso aqui para mim. Escreve não sei o quê, tá?

(88:53) Então assim a gente sabe o que é o resultado disso. São coisas de péssima qualidade >> e que as pessoas nem sabem. Tu pergunta para ela o que que ela quis dizer ali e ela não sabe o que ela fez porque ela não fez. Ela literalmente não fez. Ela só escreveu um prompt lá. Não nem se deu trabalho de estudar aquilo que a gerou.

(89:26) Então essa é a isso vai criar. A gente vai ter pessoas que vão ser muito hábeis para resolver problemas nas mais diversas áreas usando a IA. E tu vai ter pessoas que vão ser ainda mais incapazes de entender o que elas estão fazendo. E essas >> e por consequência, cada vez mais dependentes ou cada vez mais fácil, manipuláveis total e facilmente substituíveis. Porque uma pessoa que só sabe fazer isso usando IA.

(90:02) Eu não preciso dela na empresa. Eu uso IA >> e eu pego a IA e dou para. Em vez de contratar 100, eu contrato 20 mais capazes que saibam usar IA. Então esse é uma das coisas que eu não estou dizendo que isso é bom ou que é ruim. Eu não estou fazendo nenhum juízo de valor aqui. Mas estou colocando aquilo que me parece que existe uma certa concordância a quando a gente pega pessoas sérias falando de IA no mundo, tá?

(90:42) Eh, então o próprio Itam Molic, de novo, gente, eu recomendo fortemente aí para quem está na faculdade, quem está na escola, no ensino médio aí e tal, para os profissionais, fortemente que vocês comprem e leiam o livro “Com Inteligência” do Itam Molic, tá? A gente não tem cupom de desconto infelizmente. Mas o livro é muito bom, tá?

(91:14) E então assim é esse é o problema que eu vejo, tá, Guilherme? É aí que está. Nós vamos ter uma galera aí que vai ficar passada nesse negócio de ah, porque ela não vai desenvolver direito o as habilidades que ela precisa para atuar numa dada área. Ela não vai desenvolver direito sequer a questão de organizar o raciocínio para problemas gerais, independente de uma área específica.

(91:39) E essa turma vai ser muito facilmente substituída pela IA que a gente tem hoje. >> E não vai aprender, né? Porque assim você tem >> você tem áreas que são mais ou menos afetadas pela IA e as áreas são afetadas de formas muito diferentes, né? A gente conversava dia desse sobre IA e contabilidade, né? Que é um tema achei fascinante, né? As possibilidades aí envolvidas.

(92:08) Eh, mas ao mesmo tempo você tem lá o dentista, né? Eh o dentista vai poder usar IA. Por exemplo para interpretar um exame, uma radiografia. Para ideia para ver uma. Já existe há bastante tempo, inclusive >> para guiar um procedimento no sentido. Ah, o que que eu faço quando eu tenho esse problema clínico aqui? Então você segue. Esse é aquele tratamento.

(92:35) Mas em última análise você ainda vai estar botando a mão e abrindo o corpo humano, mexendo no corpo humano. O cara vai ter que aprender a fazer isso, né? Quanto não forem robôs fazendo isso. Robôs fazendo isso. É, tem robô fazendo cirurgia. É um troço assim que é acessível para >> Sim, sim. Sim, sim, né?

(92:59) >> É mas uma das, uma das utopias, uma das utopias, se não estou enganado, do Dario Amodei, que ele escreveu. >> Ele escreveu um artigo que a gente comentou, inclusive algum episódio do Segurança Legal. Uma das coisas que ele coloca é que a saúde. Né o a gente está numa situação cada vez pior.

(93:20) Né, que tem cada vez mais tecnologia para tratar de saúde, mas tem cada vez menos gente com dinheiro para pagar pelo tratamento. E os planos de saúde também, né? >> Exato. >> Tem a hora que eles são meio sacanas e tem a hora que é meio complicado. Tu cobre um valor X e aparece um tratamento que custa não sei quanto e tu tem que cobrir e daí tu te quebra também.

(93:45) Então assim >> é >> a gente tem uma série de seguro. Né? É um seguro. >> É um seguro, né? Então a gente tem e esse seguro vai ficar cada vez mais caro. >> Cada vez mais caro. Então uma das coisas que pode acontecer com a automação, com a IA e tudo mais, é justamente tu conseguir dar mais acesso à saúde por um valor menor.

(94:07) Então acesso à saúde para mais gente por um valor menor. E portanto mais acessível, né? E >> é, não vai acontecer, né? É, vamos, vamos ver o que vai acontecer. É assim >> é uma utopia, entende? Não estou dizendo que não vai acontecer. Estou dizendo que é uma >> cara, é uma coisa interessante. É uma, é algo bom se vier a acontecer, entende?

(94:38) Então >> é aquilo que o é aquilo que o Paulo Renato sempre fala. Eu sempre gosto. Aliás um abraço para o Paulo Renato e >> o Dr. Paulo Renato foi esse ano. >> Dr. Paulo Renato >> foi esse ano. Né? >> Foi esse ano. Mais uma para mais um ponto interessante para a retrospectiva. Paulo Renato era doutor. É. É.

(95:04) >> E ele disse é simples, mas é fascinante assim. Eh quais os problemas que a IA vai resolver? >> Aham. >> O judiciário está resolvendo problemas de IA, né? Pô você tem um monte de gente presa que não deveria estar mais presa, né? Com aquela história que a gente já conhece dos problemas do sistema carcerário brasileiro. Nós não estamos usando para isso, por exemplo, estamos usando para facilitar a vida do juiz.

(95:34) E veja eu acho que tem que facilitar a vida do juiz mesmo. Ele tem que usar não, né? Mas a questão é quais os problemas que eu estarei resolvendo? Né, que nós estaremos resolvendo? Eh, poxa eu posso usar IA para verificar e para avaliar a integridade de informações. >> Uhum. >> Né? Eu estou usando aí, pelo contrário, estou usando a para produzir, né?

(96:03) Agora com a Venezuela vi um vídeo ontem depois fui descobrir que era falso. A pessoa estava comemorando e tal. Eu sei que tem pessoas comemorando, enfim não é nem esse o ponto. Mas assim era muito convincente o vídeo e era feito por IA. E a pessoa teve que desmentir porque publicaram achando que era verdadeiro.

(96:24) Então é bem essa coisa de que quais os problemas que a gente vai resolver. E para fechar tudo isso envolve uma questão de vulnerabilidade, né? É uma questão de vulnerabilidade digital. Ou seja quanto mais analfabetismo funcional, mais vulneráveis ficarão as pessoas.

(96:52) Gente já estamos aqui em quase 1 hora 40, então com isso nós nos despedimos de vocês, né, agradecendo mais uma vez a sua companhia e a sua audiência em 2025, esperando que em 2026 estejam todos aqui conosco. Nos encontraremos agora no próximo episódio do podcast Segurança Legal. Até a próxima. >> Até a próxima.

Neste episódio conversamos como Willian Oliveira e Fernando Andreazi, da Kaspersky, sobre a evolução das ferramentas de segurança que vão além do endpoint, abordando a mudança no cenário de segurança e a necessidade de enfrentar ameaças cada vez mais sofisticadas. Você irá aprender sobre XDR, também conhecido como Extended Detection and Response e o MXDR, ou ou Managed Extended Detection and Response. Willian e Fernando trarão toda a sua experiência na área para lhe ajudar na escolha da melhor solução de segurança para o seu negócio.

Este é um episódio patrocinado pela Kaspersky.

Conheça o Kaspersky Next Optimum – Segurança em níveis projetada especialmente para solucionar vários desafios de negócios

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

Neste episódio, comentamos o primeiro ciberataque realizado por inteligência artificial, uma operação que atingiu 30 empresas e foi atribuída a um grupo de hackers financiado pelo estado chinês. Você irá aprender como os criminosos utilizaram agentes de IA para automatizar as fases de um ataque, desde o reconhecimento de alvos e levantamento de vulnerabilidades até a exploração e o movimento lateral dentro das redes invadidas, com o uso de ferramentas open source e o modelo de linguagem da Anthropic, o Claude. Discutimos como essa abordagem, que utiliza o Model Context Protocol (MCP), permite que a IA controle ferramentas de varredura de portas, análise de código e exploração de vulnerabilidades, representando uma mudança significativa na forma como os ciberataques são conduzidos. Abordamos também a importância da segurança para as empresas que desenvolvem sistemas de IA, a criação de agentes e as implicações futuras dessa tecnologia, incluindo o surgimento do “vibe hacking” e a capacidade da IA de encontrar novas vulnerabilidades (zero days). Por fim, analisamos o relatório da Anthropic, que detalha a operação e as lições aprendidas, e como a automação de ataques pode levar a um aumento de ameaças, permitindo que pessoas com menos conhecimento técnico realizem ataques complexos.​

Convidamos você a assinar, seguir e avaliar nosso podcast para não perder nenhuma discussão sobre segurança da informação e direito da tecnologia. Continue se informando sobre as novas tendências e ameaças do mundo digital.​

Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

ShowNotes

Disrupting the first reported AI-orchestrated cyber espionage campaign

AI: What Could Go Wrong? with Geoffrey Hinton | The Weekly Show with Jon Stewart

Imagem do Episódio -Eisenwalzwek (Moderne Cyklopen) de Adolph Menzel


📝 Transcrição do Episódio







(00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? E nossos ouvintes e aos internautas que sempre esqueço que nos acompanham no YouTube.

(00:29) Claro, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então você já sabe, basta nos contatar se quiser no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e agora o TikTok também. Você consegue fazer e assistir alguns cortes lá dos episódios que vão ser publicados lá também. E também a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal.

(00:55) A gente sempre pede também que você considere apoiar esse projeto independente de produção de conhecimento. É bastante importante que você apoie para que esse projeto, para que o podcast Segurança Legal continue existindo, Vinícius. OK. Perfeito. Nenhuma vírgula. Goulart, eu vou começar com uma pergunta. Você já viu ali o título, enfim, já sabe do que nós vamos falar aqui.

(01:26) Mas a pergunta é: será que nós estamos diante, será que nós testemunhamos, a humanidade acabou de testemunhar o primeiro ataque, o primeiro ciberataque realizado por inteligência artificial? Será que a IA da Anthropic um dia acordou e falou assim: “Eu vou fazer um ciberataque aqui atingindo algumas empresas e tal”? O que que o relatório da Anthropic, que é a dona do Claude, o que que esse relatório envolvendo essa avaliação de um ciberataque que houve, que teria havido a participação da IA, o que que ele nos colocou aqui? Guilherme, quando tu faz esse questionamento, ele é bastante relevante porque a gente já teve outros dois casos em que a coisa foi meio deturpada, foi colocada com, foi feito uns caça-cliques aí na internet.

(02:05) A primeira delas foi aquela situação em que o Claude tentou chantagear um engenheiro que queria desligar ele. E para chantagear ele usou e-mails desse engenheiro aos quais ele teve acesso e que ele ali tinha um caso extraconjugal. Ele então ameaçou o engenheiro de que iria entregar se ele desligasse, se o engenheiro desligasse a IA. E na verdade, a coisa não, sim, aconteceu esse negócio de chantagear, isso de fato aconteceu, mas isso foi num cenário controlado. Os e-mails eram falsos. Eles criaram para simular uma situação. E de fato a IA tentou chantagear o engenheiro.

(02:32) De fato isso aconteceu, mas no ambiente controlado. Não é uma coisa que saiu solta por aí, fazendo coisas desse gênero. E teve alguns outros parâmetros do teste também que modificaram um pouquinho a realidade, mas enfim, de fato aconteceu num ambiente bem controlado. Só para também destacar, eu acho que a gente ainda não entrou de vez na era dos agentes, de uma IA autônoma, no sentido de ela tomar decisões. Ela ainda é muito dependente do que a gente pede para ela fazer. E esses movimentos aí que a gente tem visto nos últimos tempos de que mexe no browser, que faz compras, eu acho que a gente tá ainda dando os primeiros passos rumo a uma autonomia maior da IA. Isso aconteceu aqui ou não?

(03:44) Ah, tu diz nessa situação aqui? Aí só deixa eu citar daí um segundo caso que também fizeram um pouco de alarde fora do que havia sido colocado, que é o seguinte: que é botar uma máquina de vendas lá na Anthropic. E essa máquina de vendas, ela gerenciava que produtos ela iria vender, por qual preço e obtinha esses produtos também de fornecedores. E aí o pessoal fez logo uma matéria aqui no Brasil, inclusive, saiu a IA, que botaram a IA para gerenciar um mercadinho, uma coisa assim, e uma empresa e ela quebrou a empresa.

(04:17) Na verdade, não é uma. São aquelas vending machines, sabe? Aquelas máquinas de venda que tu coloca dinheiro e compra. E de fato a máquina deu prejuízo ali. Mas não é uma coisa que agora alguém teve a ideia de botar IA para gerenciar o negócio e a IA quebrou o negócio. Aí fica aparecendo. E agora a gente tem nesse relatório, a gente tem uma outra situação mais avançada, bastante interessante. Mais avançada e com um uso principalmente de agentes. Eu acho que cabe a gente dar uma rápida explicação nessa questão de agentes, de ferramentas para conseguir entender. Quem é da TI e já tá usando IA, já tá estudando IA, já vai ter uma noção. Mas boa parte das pessoas…

(05:25) E eu acho que antes disso também, Vinícius, o que que é o modelo em primeiro lugar? Até chegar no agente. Vamos lá. Então, o modelo é o que você poderia chamar de cérebro da IA. Esse modelo é o que tem que ser treinado e é o que as empresas levam meses para fazer e gastam um monte de dinheiro com eletricidade, GPUs, inclusive na aquisição de conteúdo para treinamento. Gastam um monte de dinheiro, fazem o treinamento desse cérebro, desse modelo.

(05:58) Uma vez que tá feito o treinamento, a gente passa por uma fase de inferência, mas esquece o nome. O que importa é que a gente passa para uma situação que a gente consegue utilizar para uma nova etapa. E aí é que você entra quando você usa o ChatGPT, quando você utiliza um Claude AI ou Gemini, etc. São ferramentas que usam esses modelos já treinados. Em essência é isso. Acontece que esses modelos já faz uns, acho que um, já faz uns dois anos, se não até mais para cá, eles começaram a ser preparados para usar ferramentas. O que que é esse usar ferramenta?

(06:42) Então, o ChatGPT há até um tempo atrás, ele respondia só com base nos dados que tinham sido utilizados para treinar ele. Tanto que tu perguntava alguma coisa mais recente, ele pegava coisas que eram velhas, nada mais recente ele conseguia trazer. O Perplexity foi uma ferramenta que quebrou um pouco essa fronteira, ou seja, eles pegaram, eles usam o modelo da Open, usam o GPT, mas também usam Claude, etc., depende do cérebro. E eles então integraram isso com uma ferramenta de busca.

(07:03) Então eles usam a IA, usam os modelos para, vamos dizer assim, comandar uma ferramenta de busca, pega os resultados, analisa esses resultados e te dão esses resultados mastigados pela IA. Essa é a diferença entre tu usar o Google e usar o Perplexity para fazer uma pesquisa. Com o tempo, todas essas aplicações, todas essas aplicações, não vou usar aplicações para não misturar com ferramenta, não. Todas essas aplicações, ChatGPT, o Claude, o Gemini, etc., todos eles começaram a te dar opções de várias ferramentas, não só busca na internet, mas ferramentas que inclusive elas podem interfacear com os seus arquivos na tua máquina.

(07:58) Então tu pode mandar comando, falando sobre isso aqui. O Claude, se tu instalar o Claude, os usuários de macOS, já tem essas funcionalidades há algum tempo, porque eles acabam, a Open AI lança primeiro pro Mac. A Claude fez a mesma coisa e para Windows vem um pouco depois, mas tu pode instalar, por exemplo, o Claude, a aplicação Claude, na tua máquina e lá vai ter algumas ferramentas. Cuidado com isso. Cuidado com isso. Tem algumas ferramentas que tu pode ativar que permite que ele controle o teu navegador, que ele controle, que ele consiga gerenciar arquivos na tua máquina, mover, apagar, criar pasta, etc.

(08:23) Eu fiz um teste com relação a isso um tempo atrás para organizar uma pasta de downloads. Funcionou, só que são ferramentas que tu tem que tomar um pouco de cuidado porque eventualmente elas podem sair do teu controle e fazer coisas que não deveriam fazer, mas enfim. Então, notem que a IA, esse modelo que a gente falou, que é o cérebro, ele é capaz de interpretar aquilo que a gente escreve, mas ele é capaz de interpretar também aquilo que ele recebe de outras fontes, como por exemplo, de um mecanismo de busca. Ele interpreta, consegue analisar, e aquela coisa de simular o raciocínio humano. E ele analisa aquilo, escolhe o que é mais importante, te mostra, dá um resumo ou coisas desse gênero.

(09:11) E aí, Guilherme, a gente cada vez mais tá migrando para uma IA agêntica. Agêntica, isso que é um agente. E aí, o que que essa IA faz? Que que essa IA faz? Ela usa um modelo, ela tem um modelo que tem formas de interfacear com o nosso ambiente, seja o que for. Pode ser desde câmera de vigilância, um programa de edição de código para programação, um programa de edição de imagem, portas físicas, fechaduras, sistema solar de energia, um roteador, etc.

(09:53) Então, tu consegue entregar para um modelo de IA várias ferramentas. Para ela utilizar essas ferramentas para quem tá por dentro da questão mais técnica, normalmente utilizando MCP. É o Model Context Protocol, mas o que importa é que existe um protocolo, existe uma forma padrão para te entregar essas ferramentas para os modelos de IA. Quem criou esse padrão foi a Claude, foi a Anthropic. E aí todo mundo, todo mundo hoje segue esse padrão. Todos os as ferramentas utilizam o MCP.

(10:25) Então, por exemplo, eu tenho uma situação que eu mesmo fiz aqui. Eu tenho meu sistema solar aqui de geração de energia e eu quero saber quanto de energia eu produzi no ano passado, nesse mesmo mês. Daí eu tenho que ir lá pegar o aplicativo, ver qual naquele mês, quanto eu fiz e eu mesmo comparar. Aí o que que eu fiz? Eu fiz uma ferramenta em que essa ferramenta consulta os meus parâmetros de produção de energia e eu entreguei essa ferramenta para um agente de IA e disse para ele, e literalmente tá por escrito: “Ó, tá aqui uma ferramenta que te permite acesso aos parâmetros, aos dados de produção de energia do meu sistema solar. E aqui tá essa chamada que te entrega de um mês específico, essa aqui de um dia, essa aqui de um ano”. E entreguei essas ferramentinhas para ela. Só isso.

(11:20) Tu entrega para ela isso. E aí num chat lá com esse com esse agente, tu pode perguntar outras coisas e tal. Daqui a pouco tu pergunta: “Quanto eu produzi de energia no ano passado, no mês de fevereiro?”. Aí ele vai, bom, o usuário tá querendo saber quanto ele produz de energia em fevereiro. Aí ele vai olhar a coleção de ferramentas que ele tem, vai dizer: “Hum, eu tenho uma ferramenta aqui que me dá acesso aos dados de produção de energia do meu usuário lá e tal”. Aí ele vai olhar a ferramenta, ele vai ver que tem uma chamada que mostra o resultado de um mês e do dia e tal. Ele pediu de fevereiro. Fevereiro é um mês.

(11:58) Então ele vai pegar aquela chamada ali, vai pegar a produção de energia de fevereiro lá do meu sistema, vai chamar aquela função, aquela função vai conectar. Como é um programa normal de computador, digamos assim, normal, que não é uma IA, ele vai conectar, vai pegar os dados e vai devolver os dados para IA, pro modelo. E aí o modelo vai olhar aquilo e vai dizer: “Tá, beleza”. E ele vai dizer: “Ó, tu produziu tantos kilowatts de energia”. Aí se eu disser para ele: “Compara com fevereiro do ano anterior”, ele vai buscar dos dois meses, vai fazer uma comparação e vai dizer: “Tu produziu tantos por cento a mais ou a menos e tal”. Aí já vai trabalhando os dados que ela recebeu.

(12:32) E assim tu pode fazer com qualquer coisa, qualquer sistema que tu tenha, qualquer coisa que tu possa ligar num computador em algum momento, numa rede por aí, em qualquer lugar, um termômetro, o que tu imaginar. E pode ser atuadores também, pode ser um negócio que desliga alguma coisa ou que liga um equipamento, qualquer coisa. Se tu fizer essa interface MCP que a gente chama e entregar isso para IA como ferramenta, a IA consegue usar essa ferramenta, qualquer coisa.

(12:51) E o que que acontece aqui nesse caso da Anthropic, desse relatório da Anthropic? O que foi feito é: cibercriminosos, que eles apontam como sendo com um grande nível de certeza, de confiança, seria um grupo financiado pelo estado chinês. Um grupo de hacking financiado pelo Estado chinês. Eles dizem isso com um com certo grau de certeza. Eles fizeram um ataque, um ciberataque em que fizeram todo a etapa de reconhecimento de um alvo, levantamento de informações sobre esse alvo, levantamento de vulnerabilidades, a exploração dessas vulnerabilidades levando a uma invasão.

(13:57) E aí o movimento lateral que envolve tu buscar outros sistemas naquela, depois que tu entra na rede, tu entra no ambiente do teu alvo, tu começa a catar outros sistemas ali que tu consegue acessar. E a partir dali, a partir dali tu eles buscam outras credenciais e aí tentam usar essas credenciais. Então eles teriam feito um agente de IA fazer esse um ataque cibernético desse tipo. É, a Anthropic publicou e aí esse podcast é baseado nesse relatório deles que foi publicado aqui e a gente vai deixar como sempre no show notes.

(14:35) Abrindo ele aqui, mas basicamente eles começam dizendo e exaltando que a Anthropic tem uma série de medidas de safety e security, que é aquela diferença entre a segurança de funcionamento e a outra segurança. A gente acaba usando a segurança, a mesma palavra para designar duas coisas diferentes. Eles destacam também que toda essa construção dessas medidas de segurança que eles falam vão na linha de, inclusive, é realizado por um setor de threat intelligence, ou seja, de inteligência de ameaça. Ou seja, eles estão sempre buscando saber o que que os criminosos estão fazendo para subverter aquelas medidas.

(15:15) E é interessante começar a pensar em como a segurança é importante para as empresas de que fornecem esses sistemas de IA de maneira geral. Eles encontraram isso em setembro dessa mega operação que eles chamaram que teria atingido 30 companhias. Eles decidiram então trazer à tona os detalhes técnicos disso. E eles destacam que seria uma mudança ou que teria representado uma mudança em como que os cibercriminosos estariam agindo.

(15:37) E eu acho que daí que a tua explicação sobre os agentes, ela é importante porque a IA aqui não é um, a gente não tá diante de uma IA aqui que por vontade própria decidiu atacar sistemas. A gente tá diante, caso alguém pudesse ter pensado isso, seria um pensamento legítimo de se pensar quando você não conhece o caso. O que a gente tá aqui é diante de um novo comportamento de agentes criminosos que conseguiram, e aí o Vinícius vai nos explicar melhor como, usando agentes automatizar certas operações ou certas ações que já são realizadas por atacantes normais, por atacantes pessoas, digamos assim.

(16:18) Foi isso. Ou seja, você deu uma, você aumentou a potência do agente atacante ali, com essa ideia lá do co-inteligência do livro aquele que a gente tá lendo, do Ethan Mollick. Foi isso, Vinícius? É exatamente assim quando a gente vê esse uso, digamos assim. Eu até tô ajeitando aqui, Guilherme, já para poder compartilhar com todos os inclusive as imagenzinhas que são bem interessantes do relatório. O que foi feito, não, assim, a gente de novo, é aquilo que a gente comentou no início, não é que a IA saiu enlouquecida fazendo tudo por conta. Não se trata disso.

(17:26) Ela simplesmente foi utilizada, como tu bem falou, ela foi utilizada para fazer um para automatizar etapas de um ataque. A grande sacada é que esses caras automatizaram grande parte do ataque. É isso que mais chamou atenção, porque existe uma coisa, eu acho, eu acredito que muita gente já deve ter ouvido falar do Vibe Coding, que é a história de tu programar um software sem saber programar. Então tu chega ali, não é que tu não saiba programar, mas tu chega ali pra IA e diz assim: “Eu quero uma aplicação que faça não sei o que blá blá blá”. Tu vai na vibe e deixa que ele gera o código. Aí tu testa, vê se funciona, funcionou, vai adiante, vai modificando até chegar no programa que tu quer. Isso hoje é meia boca, mas vai ficar bom.

(18:16) E existe vibe hacking. Vibe hacking, tu vai usando a IA para te ajudar em coisas bem pontuais numa, em algo envolvendo segurança da informação. Um pen test, algum desenvolvimento de algum payload, de alguma sequência lá que tu precisa para explorar uma determinada vulnerabilidade, alguma coisa assim, alguma ideia para: “Pá, eu já testei tudo que eu podia fazer aqui nisso aqui, mas eu ainda acho que pode ter um problema que eu não tô achando”. Tu pode discutir com a IA isso, sabe? E pode até fazer com que ela gere para te testar certas possibilidades. Isso te acelera muito o trabalho. Isso te dá uma vantagem muito, muito grande, inclusive para testar várias possibilidades ao mesmo tempo.

(18:46) E aí, o que esses caras fizeram? Eu vou compartilhar aqui o reporte. O que esses caras fizeram foi o seguinte: ele esse aqui é o reporte, essa aqui é uma versão que saiu, foi atualizada hoje, dia 17 de novembro. Inclusive, Guilherme, a gente tava discutindo aqui: “Pô, vai na página tal, cara. Não tem página tal, tá em outro lugar, não sei o quê”. A gente foi olhar, uma atualização hoje. É desse depois que eu baixei o documento hoje de manhã, a gente teve outra atualização ali. Mas eu vou direto pra imagem aqui. Depois tem todos os detalhes. A gente vai compartilhar isso aqui com vocês.

(19:37) Mas aqui, ó, essa imagem ela meio que tentou organizar um pouquinho o que eu expliquei para vocês com relação à ferramenta. Então, o ataque teria sido desenvolvido em três etapas. Então a primeira fase em que ele define quais são os alvos, o operador define quais são os alvos, é a fase one que tá bem ali na esquerda. E lá em cima aí depois a 2, a 3 e a 4 são esses quadradinhos, são esses retângulos aí que estão sombreados, a fase dois, a fase três e a fase 4.

(20:00) E o que que interessa a gente pra gente entender de uma forma razoável esse ataque? Cada uma dessas fases. Então, a fase, por exemplo, de reconhecimento envolve varredura de rede, que a gente tem que encontrar serviços rodando, a gente tem que buscar dados sobre o alvo, tem uma série de coisa que a gente vai fazer. E aí, o que que esses atacantes fizeram? O que é que esses cibercriminosos fizeram? Eles criaram ferramentas. Estão vendo que diz aqui scan? Tô vendo quem tá vendo no YouTube. Quem não tá vendo, imagine as caixinhas. Tá escrito aqui scan tool, search tool, data retrieval tool, code analysis tool, tool.

(20:46) Essas ferramentas são, é que nem o esquema que eu fiz aqui do meu sistema de energia solar. Eles criaram interfaces MCP, desse protocolo para te entregar ferramentas, uma interface para IA conseguir usar uma ferramenta de varredura de portas. Que que é uma ferramenta de varredura de portas? A gente encontra um determinado máquina, um servidor na internet e a gente tem que saber que portas nessa máquina estão abertas pra gente conseguir ver que serviços que tem lá e aí procurar informações sobre esses serviços, procurar vulnerabilidades que esses serviços tenham e aí explorar essas vulnerabilidades.

(21:16) Então o que eles fizeram foi criar ferramentas para cada uma das etapas. Então, uma primeira etapa de levantamento de dados, uma segunda etapa em que eles começam a procurar ferramentas de exploração dessas vulnerabilidades. E uma terceira etapa, lembrando só, essas ferramentas muitas vezes já estão disponibilizadas na web aí, para por sistemas já conhecidos de exploração de vulnerabilidades e tudo mais.

(21:52) Inclusive no relatório eles colocam que as ferramentas são todas open source, então são ferramentas padrão que tu encontra na internet, só que tu faz uma interface para IA conseguir chamar aquela ferramenta. Então, só que em vez de fazer, em vez de, por exemplo, uma ferramenta que vai lá e consulta, faz uma pesquisa, traz o resultado da pesquisa e analisa o resultado da pesquisa, em vez de fazer isso, ela chama uma ferramenta que faz varredura na rede, como Nmap, que é quem entende tecnicamente aí, é uma ferramenta extremamente comum de fazer varredura.

(22:22) Então ela tem um Nmap, eu crio um código em volta do Nmap ali que permite que a IA chame o Nmap, execute o comando e depois o resultado disso a IA receba de volta e aí analise esse resultado. Então eles fizeram isso com várias ferramentas, as ferramentas que a gente utilizaria manualmente. Eles fizeram isso com várias ferramentas para automatizar esse processo e eles não terem que fazer.

(22:47) Então, na fase dois aqui, na fase um, o operador humano escolhe o alvo, determina os alvos. Na fase dois, a IA passa então a usar ferramentas para levantar informações sobre esse alvo. E são essas ferramentas que os atacantes disponibilizaram para IA. Na fase três, a IA começa então, usa aqueles dados que foram levantados na fase dois e começa a procurar possíveis ferramentas de exploração desses problemas, encontra possíveis ferramentas e técnicas.

(23:18) E aí a IA pode ajustar as ferramentas, ela consegue executar as ferramentas e consegue criar ferramentas, ela consegue criar algum código ou coisa parecida. E aí ele passa pra fase quatro, que é a de efetiva exploração dessas vulnerabilidades. E depois que ele explora essas vulnerabilidades, consegue botar um pezinho dentro da rede lá do cara ou dentro do servidor. A partir dele, a etapa cinco é começar a coletar credenciais de acesso, procurar arquivos de configuração com chaves de acesso e coisas desse gênero. E é o tal do movimento lateral que ele faz depois que entra lá dentro.

(24:16) E então os atacantes, o que eles fizeram foi pegar a IA da Anthropic, que é o Claude, e entregaram para essa Anthropic várias ferramentas que permitia que ela realizasse ataque por conta própria. E segundo tendo no relatório, eles teriam feito isso de maneira segmentada para que o próprio modelo não detectasse que fosse uma ação maliciosa. Então, por exemplo, em vez de eu dizer: “Ah, ataca aqui o Guilherme, levanta informações sobre ele, pega os dados de não sei quê, não faz não sei o que e já faz o ataque”. Não, eles quebraram isso em etapas.

(24:34) Então eu faço com agentes diferentes cada uma delas também. Exatamente. Então eu vou lá e levanto, por exemplo, quais são as portas abertas? Aí depois eu, beleza, tenho a lista de portas abertas, IP e porta. Aí eu posso pegar só as portas. Agora quero para cada porta aqui, eu quero saber que versão de serviço tá rodando aqui. Aí um agente vai lá e levanta a versão de serviço. Aí um outro agente eu digo assim: “Ah, procura para mim que vulnerabilidades esse serviço aqui com essa versão tem”. Eu não digo que isso veio de uma varredura que eu fiz no IP, não sei quê.

(25:12) Não digo, só digo: “Ó, procura para mim a vulnerabilidade, se esse serviço de e-mail na versão tal tem alguma vulnerabilidade conhecida”. E ele vai lá e faz. Então eles quebraram o ataque todo em várias etapas e meio que isolaram os agentes, digamos assim, para evitar que o modelo detectasse um ataque acontecendo, uma atividade maliciosa acontecendo.

(25:36) E aí para aquela analogia que a gente usou antes aqui, como se você fosse organizar o cometimento de um crime, chamasse vários agentes mesmo, e comparsas ali, cada um sabe um pedacinho. O filme do Batman é assim. O Batman lá do Coringa é assim. Lembra que no início eles, eu não sei qual é a próxima fase e tal, eles só sabem um pedaço do crime e aí depois o Coringa ainda vai matando eles. Seja uma analogia assim, mais ou menos.

(26:03) É perfeito. É isso aí que ele faz. E até porque eles têm que, notem que para ferramentas, não adianta entregar as ferramentas e deu, tu tem que dizer para o que tu quer que ela faça. Então tem toda uma engenharia de prompt por trás desse ataque que tu tem que fazer os prompts funcionarem. E quem já fez prompts mais complexos sabe que às vezes tu tem que dar uma volta maior para conseguir fazer a IA fazer o que tu quer, que ela pode se negar a fazer certas coisas. Então eu vivo brincando com isso aí porque tem certos testes que eu quero que ela faça, ela não faz, ela se nega, ela diz: “Eu não posso fazer isso”. Aí eu tenho que dar uma volta, mudar o prompt, mudar não sei que para fazer.

(26:33) Então esses caras tiveram que fazer um monte de prompt para fazer esse ataque funcionar. Então, no final das contas, Guilherme, o que eles fizeram foi pegaram o Claude, mas nota, eles poderiam ter usado o GPT, algum modelo da OpenAI, eles poderiam, podiam ter usado um modelo instalado. É isso que eu dizer, a Anthropic tira dessa negócio aqui uma série de lições que eles falaram aqui para ele que eles vão usar para reforçar a segurança do modelo deles. Mas esses caras aqui brincando mudam pro ChatGPT. Vão ter que ajustar talvez um prompt ou outro.

(27:24) A coisa não quer dizer que um prompt que contornou a segurança do Claude vá funcionar no GPT. Então talvez tem que ajustar, mas eles podem usar o GPT, eles podem usar o Gemini, eles podem usar o Grok, eles podem usar, entende? E as por aí para usar essa estrutura de ferramentas que eles criaram agora, que lembrem, isso aqui usa MCP, que é um protocolo padrão para entregar a ferramenta para IA e todo mundo tá adotando isso. E eles também podem, vamos supor que todos os modelos ficaram maravilhosamente bons. E lembrando que aí a medida que o tempo passa, não só a gente tem modelos de IA mais potentes que consomem mais recurso, mas a gente tem também cada vez mais modelos mais capazes que consomem pouco recurso, que tu consegue rodar localmente.

(27:59) E existe uma busca por isso para te poder rodar num celular, poder rodar num ambiente embarcado num carro e coisa assim. E hoje LM Studio da vida. Tu pode pegar um LM Studio da vida hoje e rodar. De uma boa placa de vídeo na mão, tu pode rodar certos modelos que são bem capazes, não são tão bons que o Claude, mas são razoáveis. Então, nada impediria desses caras com esse monte de ferramenta pronta aqui e esses prompts e tudo mais, comprar um monte de GPU, um monte de placa de vídeo para ter um poder de processamento legal, investir nisso e eles mesmos rodar o modelo de IA que vai gerenciar suas ferramentas. Sem restrição nenhuma em termos de segurança, sem safeguard nenhum. Ela fazer sem perguntar o por que ela deveria fazer ou dizer que isso aqui é crime, não sei que ela não faria isso.

(28:52) Então, o que a gente tá vendo, independente deles terem usado o Claude ou não, é mais uma automação de processos que antes eram feitos apenas por seres humanos. E com a consequência de ser algo que baixa o custo do ataque. Ou seja, esses caras atacaram 30 alvos num tempo que se eles tivessem que fazer isso com seres humanos, sabe? Custaria mais caro para eles em termos de tempo. E ainda por cima talvez eles não fossem tão eficientes, sabe?

(29:24) Então, eficácia é outra coisa, mas isso baixa o sarrafo para ataques mais sofisticados. Porque basta a gente lembrar o que acontece com ferramentas mais complexas, com ataques mais complexos. Com o tempo surge uma ferramenta que automatiza aquele ataque e aí o cara só baixa, o cara baixa a ferramenta, coloca o IP de alguém, aperta send e manda ver. Então, a gente tá vendo isso acontecer, assim como em várias outras áreas da atuação humana, a gente tá vendo isso acontecer numa situação de cibercrime. No final das contas é isso, sabe?

(30:20) Eu acho que no fim das contas, quando você vai, você tava falando aqui, fui lá no Hugging Face, coloquei cybersecurity, você já tem algumas coisas acontecendo lá também para avaliação de sistemas. Os caras dizendo que a gente treinou esse modelo aqui com OWASP, MITRE ATT&CK, NIST, CWE, CVSS. Então, de repente tu já tem e inclusive as próprias vulnerabilidades já conhecidas, isso é tudo muito público assim. E o que me chama atenção, acho que tem várias coisas aí.

(30:49) Primeiro é que além do uso da IA, mas não é nada novo, me parece, não tem uma, não é uma metodologia nova, é uma automatização de como as pessoas já fazem aquilo. Exatamente. E nota que isso é bom pro atacante. Claro, ele tá automatizando, ele faz mais rápido, ele faz em grande escala, fica mais barato para ele, menos gente, mais lucro, até menos gente. Só que a grande sacada vai ser, e isso se já não aconteceu, deve estar acontecendo agora, vai acontecer em breve, é você conseguir fazer coisas novas, entendeu? Você subverter, você encontrar novos meios, você encontrar novos caminhos, você técnicas e tudo mais.

(31:30) Eu acho que esse vai ser o ganho aí também em qualidade, não é só uma questão de quantidade, porque todas essas atividades ali, tudo indica que foram feitas. É o passo a passo normal de um de um teste ilegítimo, digamos assim, ou de uma invasão ilegítima. E aí, o pessoal às vezes pode ficar chateado com a gente, mas enfim, você tá aqui num podcast de segurança da informação, direito da TI, proteção de dados, então a gente vai falar de segurança mesmo e a gente vai botar o dedo na ferida no sentido de que pros empresários, pros gestores que estão nos ouvindo e tal.

(32:08) E eu não falo isso, Vinícius, para honestamente para assustar ninguém, mas isso é só o começo. Sim, isso é, sem dúvida, sem dúvida. Quem acompanha o cenário de e que faz essa atividade de threat intelligence, quem acompanha golpes e tal. Hoje nós já temos, e o Vinícius, a gente conversava sobre esses dias, o Vinícius pode endossar essa. Hoje fazer um um bot no Telegram, já faz tempo que sempre foi fácil fazer bot no Telegram, mas ligar uma IA no Telegram lá para fazer um botezinho é a coisa mais fácil do mundo que tem.

(32:29) Então você já tem grupos criminosos hoje que ficam mandando mensagens lá, tem uma clássica que ele pergunta se você é guia turístico no Brasil e tal. E aí começa uma, se diz que não e aí começa a conversar com o cara e aí tu vê que é uma IA, várias pessoas recebem, tem informação disso, várias pessoas recebem. A ideia é tu automatizar uma primeira etapa do ataque para pegar algum, pegar algumas pessoas que caem no golpe e aí passa depois para um para uma atendente pessoa ali para seguir com o golpe. Então isso vai ser cada vez mais comum. Daí que eu acho que é a importância da gente conhecer e saber como é que essas coisas estão acontecendo.

(33:25) E isso que nem falou, Guilherme, o que o Ethan Mollick coloca no livro dele também. Tu sempre assume que tu tá usando a pior IA que tu tá usando hoje é a pior que já existiu. A coisa só vai melhorar. E então eu já sinto esse negócio de mudar a forma como a gente testa algumas coisas, porque tem certas verificações que antes eram inviáveis de serem feitas. Que agora é perfeitamente viável de fazer por causa da IA.

(33:56) Então, coisas que antes não podiam ser feitas e que agora é viável. Porque eu tenho, eu sei o que eu quero fazer, mas para fazer manualmente é muito difícil. E tu fazer um programa que faça aquilo com aquela lógica, ou seja, fazer um programa para fazer um cálculo complexo, contábil, vai dar certo, ou de física, etc. Vai embora. Agora, faz um programa, tenta fazer um programa sem usar IA. Sem usar nenhum tipo de machine learning, tenta fazer um programa normal, digamos assim, que reconhece se tem um papagaio numa imagem ou não. Pronto, foi pro Belelu. Vai ter um trabalho muito grande. E a IA já permite certos testes que antes não eram possíveis. E inclusive a questão de trabalhar com código ofuscado, que é algo que a gente comentava e que é uma coisa bem interessante também.

(34:49) O código é ofuscado para ser humano, não para uma máquina. Então tem várias coisas que estão mudando nesse cenário com a IA. E sim, quando eu falo que esse tipo de coisa que a gente tá vendo aqui acontecendo nesse artigo que a gente tá comentando, em que eu digo que baixou o sarrafo, e eles comentam, eles falam não nesses termos, óbvio, mas eles falam que baixou os requisitos para te fazer um ataque mais complexo. E aí isso, achando que tudo que é mais fácil agora.

(35:17) Exato. E aí ficando mais fácil, tu vai ter mais ataques acontecendo, porque agora pessoas com menos conhecimento vão conseguir fazer ataques mais complexos que antes elas não conseguiam fazer. Então, tu vai, ao mesmo tempo, tu também pode usar IA para aumentar as defesas, entende? Mas é aquela aí, é aquela velha história, é um jogo assimétrico, porque quem defende tem que encontrar todos os furos, todas as possibilidades de entrada num ambiente. Quem ataca só tem que encontrar um.

(35:51) Então assim, se tu encontrou 100, deixou um para trás e o cara que tá atacando encontrou aquele um, pronto, ele ganhou o que ele queria. Entende? Mas ali tudo indica que seria uma coisa assim mais de buscar vulnerabilidades conhecidas em sistemas desatualizados. Girou em torno disso. Mas eu não falo desse caso específico. O que eu tô te dizendo é que cada vez mais tu vai ter ferramentas que vão automatizar esses ataques para pessoas que não conhecem nada tecnicamente. É o retorno seria o retorno do script kiddie, Vinícius.

(36:26) Não, não é o retorno. Esse cara sempre existiu. Assim, o cara que fica decorando um monte de conceito numa conversa depois, larga aquele monte de termos e não sei que ele aprendeu em inglês até decorar aquilo para conseguir mostrar para alguém que ele sabia aquilo de decor, mas no fundo, no fundo, no fundo, o cara não sabe o que tá fazendo. E esse cara vai ser beneficiado, ou seja, vai baixar o nível de exigência pro cara fazer uma coisa desse tipo.

(36:50) Em última análise, tu vai ter um aumento de ameaças no âmbito. Exato. O nível de ameaça sobe porque a facilidade de exploração cai. A facilidade de tu encontrar um problema, analisar aquilo, tentar fazer a exploração. Cara, uma coisa simples que se fazia, talvez até hoje, ainda tem, com certeza, até hoje tem lá no Exploit-DB, uma coisa simples que se fazia era tu ia baixar um exploit, uma ferramentinha para fazer uma exploração e aquele exploit vinha com algumas coisas erradas óbvias, sabe? Mas tu tinha que olhar o código, tinha que entender o código e tinha que olhar: “Ah, tá aqui”. Aí tu ia lá, ajeitava e o código passava a funcionar. Justamente para evitar aquele cara que só baixa, executa e deu.

(37:26) Isso hoje é ridículo. Tu baixa um negócio desse, tu dá para IA e diz: “Corrija e melhore e ajuste para minha situação aqui”. E ela vai fazer para ti. Tu não tem que fazer mais nada, entende? O próximo passo é aí sim, e aí ela já consegue fazer isso, mas aí ela encontrar as vulnerabilidades, isso já tá sendo feito aí, já tá, já tem notícia sobre isso. Guilherme, mas no sentido de, aí que é o também um passo aí de qualidade. É tu descobrir coisas novas, é tu descobrir zero days, é tu te apropriar daquilo, é tu sabe. E aí a coisa fica mais complexa, porque quanto tempo e dinheiro tu vai investir para descobrir essas coisas, sabe?

(38:23) É bem delicado. E tem uma coisa que é interessante. Um zero day, uma coisa nova, é um furo que ninguém conhecia, era um problema que ninguém conhecia. Mas dificilmente esses caras surgem com uma técnica nova de exploração. São ocorrências de problemas já conhecidos ou de combinações de problemas já conhecidos numa dada situação que gera um resultado diferente que ninguém esperava, que é uma nova vulnerabilidade.

(38:51) Dificilmente acontece, acontece, óbvio que acontece, mas dificilmente são técnicas inteiramente novas, entende? Algo que nunca ninguém viu. Então a gente tem um monte de zero day que vem, por exemplo, de buffer overflow, que é um problema bem conhecido. E tem várias variações de buffer overflow já muito bem conhecidas e documentadas. Então a IA nesse sentido, ela consegue, ela vai conseguir encontrar zero days, fica bem tranquilo. Talvez ela não venha com coisas super novas ainda agora, mas ela vai ser capaz de fazer tranquilamente.

(39:16) Guilherme, eu vou encerrando de minha parte aqui, dizendo que eu já passei para ti inclusive minha cópia do artigo com os destaques que eu fiz. Então, para ficar disponível lá para vocês a cópia com os destaques, com que eu achei aqui bem relevante, bem importante. E essa vai tá, vai estar no show notes para vocês baixarem. Você falou antes várias variações. É, várias variações, não é uma nem duas, são várias, são várias variações. É tipo uma surpresa inesperada. Uma surpresa inesperada.

(39:46) Mas assim, ó, o que é muito importante é ficar, e a coisa em si lá no Claude e tal, é legal e tal, mas o que é interessante a gente pensar na técnica, os impactos disso hoje e pros próximos poucos anos que tá à nossa frente aí com relação aos momentos. Eles deram uma aumentada na importância assim, tem um meio de propaganda ali também, meio que assim: “Olha o que que é possível fazer com o Claude”. Eu senti. Nossa, o Claude foi fantástico, fez coisas que não seria possível fazer com seres humanos e tal, mas no final das contas, qualquer IA aqui que tu meter que seja boa, vai fazer isso aqui.

(40:27) Então, bom, enfim, aquela história, os caras vendem um peixe deles também. É, depois dessa surpresa inesperada, nós vamos então terminando hoje o episódio um pouquinho mais curtinho também. É bom também, você consegue esgotar ele mais rapidamente. Aí abre espaço para você ouvir outras coisas interessantes também. A gente ouviu hoje, o Vinícius indicou um videozinho de um prêmio Nobel, prêmio Nobel, melhor dizendo, explicando um pouco a questão da IA. Dá para deixar. É do Geoffrey Hinton, o Geoffrey Hinton é um dos padrinhos da IA, um dos pais da IA. Então vamos deixar lá também bem interessante e nos encontraremos agora no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.

Neste episódio comentamos sobre as notícias mais recentes no mundo da segurança da informação e proteção de dados, com Guilherme Goulart e Vinícius Serafim. Você irá descobrir os detalhes sobre a sanção da Lei 15.254 de 2025, que criou o Dia Nacional de Proteção de Dados em 17 de julho, uma homenagem ao jurista Danilo Doneda, considerado o pai da proteção de dados no Brasil. Abordamos também o audacioso furto no Museu do Louvre, que expôs falhas críticas de segurança física, incluindo o uso de senhas fracas como “Louvre” no sistema de videovigilância, um caso que serve de alerta sobre a manutenção de sistemas dessa natureza. Além disso, você irá aprender sobre as revelações de uma reportagem da Reuters, indicando que a Meta conscientemente lucrou bilhões com anúncios fraudulentos, scams e a venda de produtos proibidos, levantando um debate sobre a responsabilidade das big techs. Analisamos também a nova versão do OWASP Top 10 para 2025 e discutimos a polêmica proposta de simplificação do GDPR na Europa, que pode enfraquecer o regime de proteção de dados ​na Europa e no mundo.

Se você gosta do nosso conteúdo, não se esqueça de assinar o podcast na sua plataforma de áudio preferida para não perder nenhum episódio, nos seguir nas redes sociais e deixar sua avaliação. Sua participação ajuda o Segurança Legal a alcançar mais ouvintes e a continuar produzindo conteúdo de qualidade sobre cibersegurança e privacidade.

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

ShowNotes:

Presidente sanciona lei que cria o Dia Nacional da Proteção de Dados

Louvre Heist Fallout Reveals Museum’s Video Security Password Was ‘Louvre’

The cybersecurity error at the Louvre that allowed the historic the

Meta is earning a fortune on a deluge of fraudulent ads, documents show

Release Candidate do Owasp Top 10

Vídeo – Pentest | O que é e como funciona um Teste de Invasão?

EU Commission internal draft would wreck core principles of the GDPR


📝 Transcrição do Episódio







(00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, os nossos ouvintes. 11 de 11 hoje. 11 de 11. Hoje tem promoção em tudo quanto é coisa.

(00:31) Época de mentirinha, mas esse é o nosso momento então de conversarmos sobre algumas notícias e acontecimentos que nos chamaram atenção. Pega o seu café então e vem conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para [email protected], Mastodon, Instagram, Bluesky, YouTube.

(00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. E também convidamos você a acompanhar a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores lá no Telegram.

(01:14) Vinícius, quer mandar uma mensagem ali pro Isaac Melo? Abraço pro Isaac Melo, que nos mandou algumas informações aqui, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que nos passaste. Isaac, muitíssimo obrigado. A gente vai dar uma olhadinha. Valeu, valeu, Isaac.

(01:38) Continue sempre conosco. Primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos, ele gravou com a gente aqui no podcast, fizemos um episódio de homenagem a ele depois do seu falecimento. É uma homenagem muito justa, muito válida, sabe? Porque realmente o Danilo era um cara incrível.

(02:28) Dá para se dizer que foi uma força agregadora em torno da qual nasce a lei de proteção de dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador.

(02:49) Então, temos aqui o nosso dia nacional de proteção de dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mini notícia. Eu disse antes misto de felicidade, mas também com saudade. Fica homenagem aí. São coisas da vida. Enfim, furto no Louvre, Vinícius, você ficou sabendo? Sim, sim.

(03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá dentro, roubaram, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto a última vez que eu vi eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo.

(03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Não, sem dúvida, sem dúvida, sem dúvida.

(04:04) Então agora no dia 19 de outubro alguns ladrões, foi uma coisa de filme. Certamente. Então esses ladrões se disfarçaram, roubaram em 7 minutos. Exatamente, mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar lá o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei, ouvintes, o cuidado de perguntar pro Vinícius se ele tinha ouvido falar disso. Então vai ser uma surpresa para ele também: o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram…

(04:43) É que a senha do sistema de vídeovigilância, Vinícius, sabe qual era? Não, não sei qual. A senha do sistema de vídeovigilância era Louvre. E aí eles tinham um outro sistema, eu não tentaria essa senha. Eu não, ninguém iria colocar essa senha.

(05:13) Eu não tentaria. Não é possível. Mas foi. Então eles, uma das senhas era Louvre e aí eles tinham, usavam um outro sistema lá também de monitoramento que era de nome Thales e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000.

(05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li aí nos portais, eles usaram essa senha fraca para desativar o sistema de vídeovigilância enquanto eles estavam realizando o furto. E claro que o caso é meio pitoresco assim, a gente deu risada, mas enfim, não é algo engraçado assim. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Exato. Não teve nenhuma vítima. Mas assim, é um patrimônio.

(06:14) É claro que todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, aquelas, mas enfim, isso não vem ao caso agora. O que vem ao caso, eu acho que dá para daí sim linkar esse caso meio pitoresco com as nossas temáticas aqui. Que é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de vídeovigilância, sabe? Tem você tem casos que às vezes isso não tá bem dentro da TI, não é gerenciado pela TI, fica numa zona meio…

(06:48) Fica num limbo, cara. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. E isso acaba ficando no colo da TI e aí vem aquelas demandas de: “Ah, tem que abrir para acesso remoto, para acessar, quero você poder de casa.” Aí às vezes tu vai, aí o cara: “Olha, melhor não.” “Não, mas eu quero.”

(07:12) Daí vem de cima, aí a pessoa quer acessar. Aí libera, aí acessa, depois esquece que isso existe, e fica lá o acesso. Você imagina o quão importante é isso pro museu mais importante do mundo? A segurança física. Claro. Sim, sim. A segurança física ali é essencial. Uhum. Nesse caso. Sim.

(07:36) São objetos dos mais variados ali que estão fisicamente guardados, sob guarda do Louvre. E nem sempre os objetos pertencem ao museu. Eles podem estar momentaneamente cedidos ao museu. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas também que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Claro. Mas voltando aqui para pra segurança, Vinícius, às vezes fica…

(08:16) Quase como uma questão de zeladoria. Então você tem dois problemas aí. Primeiro é o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até você pensa: “Não, mas ninguém teria audácia de…” Não. Sim, isso de fato aconteceu.

(08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também nós não podemos esquecer que imagens de vídeo que envolvem pessoas, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertos pelas proteções da LGPD.

(09:04) Então, é algo bem crítico assim. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios e tal, mas se insere nesse grande mundo aqui da…

(09:33) Segurança física dentro da segurança da informação. Sem dúvida. E a gente tem todo aquelas, a gente não vou entrar nesse detalhe agora que a gente já conversou sobre isso várias vezes, sobre aquelas questões de vigilância em cidades. O pessoal quer crime em ambientes públicos e tal para saber de todo mundo.

(09:52) Então isso numa cidade grande até dá um certo anonimato. Eu digo um certo porque tu não vai assim porque tem muita gente. Mas logo isso vai ser resolvido, já tá sendo resolvido com a IA rastreando ali, reconhecendo todo mundo, não importa o número de pessoas que tem.

(10:11) Mas em cidades menores, como por exemplo Três de Maio, são 25.000 habitantes, ou cidades ainda menores que tem aqui na volta. Tu põe um sistema desses, cara, tu sabe quem foi falar com quem, a que horas. Tem as principais das nossas cidades, que são pequenininhas e que tem uma rua, duas ruas principais assim, que para ti, em qualquer lugar, tu passa nessas ruas e tu tendo algumas câmeras ali, tu já consegue saber, cara, quem tá falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com…

(10:44) Reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado. Acho que foi sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e consequentemente onde os, na grande maioria das vezes, os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora pro Meta, Vinícius, e isso saiu. Deixando bem claro que nós vamos agora refletir aqui ou replicar ou reproduzir uma notícia, um furo dado…

(11:24) Pela Reuters, que revelou uma informação muito crítica assim sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta.

(11:51) Mas assim, é possível dizer que nós no nosso cotidiano, assim, eu principalmente, cara, já vi muito, muitos anúncios de fraude. Instagram, Instagram que é eu, que o Facebook eu não acesso mais, mas Instagram já vi muito. Já tive familiares que caíram e amigos que caíram em golpes de compras feitas por anúncios no Instagram.

(12:11) Então, é um negócio mais ou menos conhecido do brasileiro, assim, que tá bastante acostumado a reagir a golpes dos mais variados possíveis. E a gente começa a ficar calejado. Esses dias eu tava alugando um Airbnb essa semana aqui e a dona lá do Airbnb falou: “Ah, me passa o teu e-mail para eu conversar.” Eu disse: “Já fiquei ressabiado.”

(12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro.” E a pessoa: “Não, tudo bem, continuamos por aqui.” Mas o brasileiro ele… Porque muitos desses golpes, a ideia é tirar o cara do canal oficial para levar ele para outro canal. Mas enfim, então o que que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, remédios proibidos, substâncias proibidas e golpes mesmo…

(13:12) Scams, golpes que eles chamam. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não, não. Auto lá não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como, cassinos ilegais, produtos médicos proibidos, extorções sexuais, contas falsas fingindo ser celebridades e coisas do gênero.

(13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso, ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes, vamos lá, essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados.

(14:11) Se você for falar em extorção sexual, esse negócio é seriíssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. Então, e isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eles eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes.

(14:42) Só que eles só banem os anúncios quando há ou quando houver 95% de certeza de que há uma ilegalidade naquele anúncio. E mais a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos anúncios que tu clica. Porque aquela coisa, todo mundo sabe como que é. Não é mais novidade para ninguém.

(15:02) Você vai clicar em sapato, camisa e sei lá o que, mas relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. Então o que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria por conta do funcionamento do algoritmo sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez tá feito.

(15:28) É, é bem curioso porque é o tipo de comportamento que se você sabe que aquele anúncio é fraudulento, você poderia não recomendar o anúncio, mas não, não é o que acontece. O que que porta-voz da Meta, o porta-voz Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes.”

(15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes, scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é uma falta de regulação e é uma consequência direta de como é difícil você contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque…

(16:34) A influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente tá comprando é aquilo que a gente quer comprar mesmo ou aquilo tá sendo influência dos teus hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber, sabe? Porque daí você vai pesquisar no YouTube sobre um negócio e aquilo vai começar a aparecer e aparece em outra plataforma e quando você comprou e coisas relacionadas. Esse é um problema. Esses documentos todos e a…

(17:11) Reportagem da Reuters vai ficar ali. É super completa. E o que os caras dizem é que esse comportamento da Meta permitiu que se crie, eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude tá se ampliando no mundo inteiro.

(17:36) Os próprios relatórios internos da própria Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo benefício e análise. A gente sabe como fazer análise de custo benefício, sobretudo nos Estados Unidos, é complicado. Porque lá as multas para esse tipo de análise, ou para esse tipo de manejo assim, são bem altas, bem punitivas mesmo.

(18:03) Então, o que que eles fizeram? Eles se sabiam que multas viriam. Eles tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que nesse meio tempo eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, eles ignoravam 96% dos avisos de fraude.

(18:34) Sabe aquela coisa quando você vê o anúncio, fala: “Denunciar.” Você denuncia e aí depois recebe uma mensagem: “Ah, verificamos aqui, não tem nenhum problema.” Pois é, segundo os dados vazados e segundo a Reuters, isso seria 96%. E aí o que que eles ainda fizeram para terminar? Eles tinham uma lista interna dos o que se chamava, eu não sei como traduzir, os scamiest scammers. Scamiest scammers, scammers mais scammers.

(19:07) É, os que fazeram os mais, os scammers que aplicaram mais golpes, os piores, entre os piores. E que tem? O que que esses piores fizeram? Enfim, aí o que que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de scamiest scammers ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram. Sabiam quais eram. Qual foi a estratégia deles?

(19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os penalty bids, ou seja, tipo como se fosse um leilão. Então quando identificava que tinha o potencial de ser fraudulento, eles cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez foi ficando pior. Mas enfim, essa história como sempre fica aqui os links e você pode, se quiser se aprofundar, pode dar uma olhada lá nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva…

(20:29) Pra gente entender o porquê tamos recebendo com tanta intensidade assim anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora o meu, a minha, que a minha filha única, a minha é uma só hoje. Tragemos. O que temos? O que temos é o seguinte, cara.

(20:53) Tava a tão esperada atualização do OWASP Top. A tão esperada atualização do OWASP Top 10. Não tá ainda full, é um release candidate. Ah, mas eles prometeram para 2025. Nós estamos com release candidate, ainda estamos em 2025. Então, vamos ver se até o final do ano essa versão aqui já se torna de fato a versão final. A gente tava com a OWASP desde 21, sem atualização, sem o Top 10 sem atualização.

(21:26) E então agora houve a atualização, aconteceu a atualização. E eu vou dar uma geral aqui, Guilherme, que a gente tem planos de entrar em maiores detalhes aqui em cada um desses itens. Mas só pra gente ter uma noção do que das danças das cadeiras. Eu até preparei aqui para compartilhar com o pessoal. Para quem tiver acompanhando os… Ah, aqui para quem tiver acompanhando no YouTube. Então aqui é a versão release candidate um. Não quer dizer que é o último release candidate antes da versão final, pode ser, pode ter o dois ainda…

(22:01) Mas em essência eu vou destacar aqui para até para eu poder ler e para quem nos acompanha poder ler também. Nós temos, vamos ver, acho que fica, acho que fica bom assim. O Top 10 de… Eu vou de baixo para cima ou de cima para baixo? Que você prefere, Goulart? Eu vou dar. Ah, tanto faz, cara.

(22:22) Fica fica à vontade aí. Eu vou de baixo para cima. Então, o A10 de… Que é o… Em 2021, o que era o 10, que era o Server-Side Request Forgery, acabou sumindo, foi retirado. É algo que foi unido ao Broken Access Control. Então o controle de acesso quebrado. O Server-Side Request Forgery é um tipo de ataque específico. Eles até explicam essa decisão de sumir com ele dali e unir ele porque tava meio, não em duplicidade, mas tava meio fora do lugar. Então ele acaba sumindo. Então o A10 de 2021 some…

(23:11) E nós temos um novo A10 aqui na de 2025, que é o tratamento inadequado de condições excepcionais. Essa é uma nova, é um novo… Esse item não existia em nenhum dos itens da Top 10 de 2021. Então ele é novo, ele é algo que a gente não tinha visto ainda. Cada um desses controles, eu, por isso que eu digo que nós vamos ter que entrar em detalhes em cada um desses controles, em cada um desses itens. Ele tem uma série de CWEs…

(23:50) Que é lá do MITRE, que é um catálogo de vulnerabilidades, não de vulnerabilidades conhecidas, mas tipo de fragilidades conhecidas. São tipos de fragilidades, não são vulnerabilidades específicas de um software. E eles, então, em cada um desses itens agregaram uma série dessas vulnerabilidades.

(24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, erros que falham, coisas que falham aberto, ou seja, algo que ao dar, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle, o acesso a alguma informação, acesso a alguma funcionalidade simplesmente aberto e não inacessível. E outros cenários que eles trazem. O nosso A9 de 2021, que é o Security Logging and Monitoring Failures. Então, falhas de monitoramento e de segurança e falhas de monitoramento…

(24:53) Por si só. Continuou no nono lugar. Porém mudou um pouquinho o nome, virou só Logging and Alert Failures. Então, continuou no nono local, nono lugar. O A número oito, que é o Software and Data Integrity Failures, que é a falha de integridade de software e dados. Acabou se mantendo também em oitavo lugar.

(25:25) Em sétimo lugar, as falhas de autenticação. Antes era falhas de autenticação e identificação, agora é só falha de autenticação que engloba tudo. Então, essencialmente aí no finalzinho diferente, na teoria da segurança. É, na verdade eles englobaram na mesma. Porque tem várias situações de overlap ali.

(25:46) Para autentificar, tu tem que autenticar, tu tem que identificar. Então, acabou ficando nesse lugar. Então, o sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Então nós tivemos uma, uma caiu para quarto lugar. Agora eu vou pegar uns três no meio ali do miolo. Caiu para quarto lugar as falhas criptográficas. Em que uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais. A…

(26:25) Injeção, o Injection. Que entra aí o SQL Injection. Então você tem SQL Injection e qualquer outro tipo de injeção de comandos e coisas do gênero. Você também tá tendo essa falha. Então veio do segundo lugar, falha de criptografia veio pro quarto, Injection veio do terceiro lugar pro quinto, elas vieram juntinhas. E Design Inseguro. O Design Inseguro ele é bem genérico, não são falhas, não são erros de codificação, mas foram coisas que foram projetadas de forma insegura.

(27:04) Então não foi um problema na implementação, elas foram projetadas de forma insegura, foram implementadas segundo o projeto e aí há um problema de segurança. E isso caiu de quarto lugar para sexto lugar.

(27:23) Bom, quem que foi então pro segundo e terceiro lugares? Antes da gente dizer quem tá em primeiro, o segundo e terceiro lugares, eles ficaram com a Componentes… Componentes vulneráveis e desatualizados, que mudou de nome. Então, essa tava no sexto lugar, foi para terceiro, e o novo nome é Software Supply Chain Failures. Então, falhas da cadeia de fornecimento em que você usa bibliotecas, tanto bibliotecas tanto no momento do fazer o building do software, que é, em várias situações, quando tu vai fazer o building, a biblioteca não tá ali, ele vai lá e baixa a biblioteca de algum repositório na internet e usa essa biblioteca para fazer a…

(28:03) Construção do software ali para fazer o deploy na sequência. Então tem vários tipos de problemas de supply chain que entraram. Então vieram lá do sexto lugar, agora em terceiro lugar. Então é algo importante a ser observado. Erros de configuração.

(28:23) E aqui é muito interessante. Eles citam que muito da infraestrutura, à medida que a gente migra para nuvem, à medida que tu passa a ter a infraestrutura como um, uma, como um software que tu configuras, tem cada vez mais erros de configuração e isso fez então o Security Misconfiguration vir lá do quinto lugar e vir parar em segundo lugar em 2025. E o A número um, que já tá como número um já há pelo menos dois Top 10. São os controles, o Broken Access Control, controles de acesso quebrado, são falhas gerais de controle de acesso. Desde alterar um ID, acessar…

(29:04) Informação que não deveria até tu mudar uma flag e conseguir virar administrador num sistema ou de repente fazer acesso direto a uma URL e aí tu não precisar de autenticação para acessar aquela informação. Tem de tudo ali dentro relacionado a Broken Access Control. E esse é o top, é o, é a primeira do Top 10 de 2025 do OWASP. E se manteve, vem se mantendo.

(29:34) E uma coisa que me chamou atenção, Guilherme, eles até, tá aqui o dado na tela. Depois eu vou ter que olhar com mais detalhes quando a gente for destrinchar cada um desses itens aqui. Eles dizem que na média 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria.

(30:03) Eu achei muito baixo. Por que que eu achei muito baixo? Porque é muito difícil tu avaliar uma aplicação que não tenha esse tipo de problema aqui. Assim, baixíssimo. Se fosse 20% eu ia dizer baixo. Então eu vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas. Mas eles detalham um pouco melhor com base no que isso aqui foi definido porque é muito baixo, porque a gente tem muito problema de controle de acesso quebrado.

(30:35) Guilherme, deixa eu só fazer, abrir um parênteses aqui, Vinícius. A minha qualidade de vídeo aqui deve tá indo terrivelmente ruim para você, porque eu tô te vendo muito mal e eu vi que a gravação do último episódio a tua tá razoável. É, eu tô vendo agora, tá, mas tá pequenininho. Tô vendo pequenininho que tá.

(30:53) Eu tô vendo, tua tá não tá muito boa mesmo. Eu tô vendo o teu retorno como se fosse 8 bits, assim, eu sequer consigo ler direito o que tá na tela aqui. Então, e não é internet. Não é internet. Depois eu vou ter que descobrir isso. Mas eu só falo isso para quem tiver vendo no YouTube.

(31:10) Desculpa se tiver essa qualidade que eu tô vendo aqui, tá horrível. Vou te mandar aqui para ver como é que tá aí. E então, mas você, se você puder subir um pouquinho ali, até para quem tá no YouTube, mas para mostrar aquela mudança ali, eu achei bem interessante e os que subiram. A Security Misconfiguration, isso indica tendências do que tá acontecendo no mundo também. Porque eles ordenam, não é somente 10 categorias, são 10 categorias que mais aparecem agregadas ou colocadas ali num nível hierárquico do que mais acontece para menos acontece. Então, quando a gente vê essas mudanças…

(31:47) De ordenamento, o que era o quinto ali vai pro segundo, o que era o segundo vai pro quarto e por aí vai, isso diz muito sobre os ambientes, sobre o que tá acontecendo no mundo da segurança também. Agora eu quero te fazer uma pergunta. Fale, é para um testador, para uma pessoa que vai realizar testes de invasão, para um, para uma empresa como a BrownPipe que realiza testes de invasão, inclusive. Ah, entendi.

(32:18) Quer fazer? Qual é o papel da OWASP para empresas como a BrownPipe? Cara, eu acho que tem, primeiro a OWASP, ela é um norte com relação ao tipo de coisa que é mais comum e sendo já indicado como mais comum, é o tipo de coisa que é mais procurada também.

(32:43) Então, e ela é uma referência que a gente utiliza quando faz pentest. Não só o Top 10, mas todo o corpo do WSTG da OWASP. Porque tem a lista de testes a serem feitos mais. Mas aqui é importante, é muito interessante quando tu encontra uma vulnerabilidade que se encaixa num desses itens, tu dizer: “Olha, essa vulnerabilidade que tu tens, ela tá no Top 10. Ou seja, é algo extremamente comum.”

(33:09) Eu vou ter que mutar para só um pouquinho. Vai lá. Enquanto isso, o Vinícius torce. Voltei. Então assim, ela é extremamente preocupante quando tu tens uma série de vulnerabilidades nos teus sistemas que se encaixam no Top 10. Porque isso aqui não, não é, é importante pro pentest, é mais para ajudar a classificar as coisas, mas isso aqui é muito importante para quem desenvolve.

(33:37) Porque quem desenvolve, olhando isso aqui, se você der uma estudada no Top 10, você vai ver pelo menos quais são os erros mais comuns, que no final das contas vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece de ser algo diferente disso. Mas em geral são erros de programação.

(34:00) Então se eu pegar por exemplo aqui o Broken Access Control A01 aqui, que é o primeiro, vou clicar nele, ele vai me trazer os 25 controles aqui, os 25 CWEs mapeados para esse item. Então tem uma série de, assim, limitação imprópria de um caminho ou de um diretório restrito, Path Traversal. Cara, isso aqui, esse erro CWE-22, essa aqui é a famosa do usar o ponto ponto para te ir para um outro lugar qualquer. Tu listar lá o que não deveria tá listado na internet, ou listar ou gravar onde não deveria ou tu ler de algum lugar que não deveria. E…

(34:40) Isso aqui você encontra. Esse tipo de você encontra. Isso aqui faz parte do A01. Aí tem, vamos ver aqui, pegar um que seja comum aqui. Aqui. Permissões incorretas por default. Nossa, isso aqui nem se fala. Improper Access Control, que é muito genérico.

(35:09) CSRF, você não ter proteção contra o Cross-Site Request Forgery, ou seja, eu gerar uma requisição de alguma forma que tu vai acessar o meu site, algo que eu controlo, eu vou te entregar uma requisição pronta para te fazer num sistema que tu acessa e tu vai abrir essa requisição no teu navegador e ele vai executar dentro da sessão que tu estás logado naquele momento.

(35:28) E aí eu posso criar um usuário e, depende, os efeitos são os mais diversos possíveis, mas tem várias aqui. Acesso direto, acesso direto é aquele eu tento pular interfaces que fazem autenticação e tal antes de chegar no destino final e aí eu vou direto no destino final, eu consigo acessar sem autenticação.

(35:50) De novo e por aí vai. Tem várias coisas aqui dentro. Então isso aqui são erros comuns que se a equipe de desenvolvimento tiver antenada, ela já vai evitar uma série de dor de cabeça e já vai reduzir um monte de coisa que quem vai fazer pentest acaba encontrando.

(36:10) Agora, uma coisa muito interessante, Guilherme, agora sim, fazendo jabá para BrownPipe. Quando a gente faz pentest, a gente não pega uma ferramenta, um software qualquer e fica disparando o software, vê o que ele encontra e deu e acabou. Porque em geral ele vai encontrar aquelas coisas muito óbvias e que estejam acessíveis.

(36:27) Então vai fazer um Black Box com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebeu um relatório dizendo: “Foi feito testes, foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante,” não sei que coisa parecida. Na BrownPipe a gente sempre recomenda que sejam feitos testes White Box.

(36:51) A gente tem inclusive um vídeo sobre isso que nós vamos compartilhar no show notes depois, no nosso YouTube também para você ver lá o porquê você deve fazer White Box. A gente já percebe em razão desses movimentos todos aí que tem acontecido do sistema bancário. A gente já começa a perceber bancos demandando que as empresas, suas fornecedoras, façam testes White Box e que não podem ser automatizados. Então a BrownPipe já faz isso há muito tempo.

(37:20) Óbvio que a gente usa a ferramenta também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o comunzão que todo mundo acha, mas nós prezamos por um trabalho personalizado, humano, human in the loop, pra gente conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto ainda não faz.

(37:44) Então, se quiser alguma coisa realmente certeira, bem documentada e que você sabe que foi revisado e não foi simplesmente rodada uma ferramenta qualquer, a BrownPipe tem um serviço certo para você aí de pentest. Jabá, Guilherme. Pronto. Certo. Eu t

paste.txt

Com base na transcrição do podcast fornecida, aqui está o texto corrigido e a análise solicitada.

Transcrição Corrigida

(00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. 11 de 11 hoje. Hoje tem promoção em tudo quanto é coisa.​

(00:31) Na época de mentirinha, mas este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para [email protected], Mastodon, Instagram, Bluesky e YouTube.​

(00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. Convidamos você a acompanhar a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores no Telegram.​

(01:14) Vinícius, quer mandar uma mensagem para o Isaac Melo? Um abraço para o Isaac Melo, que nos mandou algumas informações, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que você nos passou, Isaac. Muitíssimo obrigado. A gente vai dar uma olhada. Valeu, Isaac.​

(01:38) Continue sempre conosco. A primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da Lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos com ele aqui no podcast, fizemos um episódio de homenagem a ele depois do seu passamento.​

(02:28) É uma homenagem muito justa, muito válida, porque realmente o Danilo era um cara incrível e, dá para se dizer, foi uma força agregadora em torno da qual nasce a Lei de Proteção de Dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador.​

(02:49) Então, temos aqui o nosso Dia Nacional de Proteção de Dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mininotícia. Eu disse antes, um misto de felicidade, mas também com saudade. Fica a homenagem. São coisas da vida. Furto no Louvre, Vinícius, você ficou sabendo? Sim, sim.​

(03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto que da última vez eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo.​

(03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Sem dúvida.​

(04:04) Então, agora no dia 19 de outubro, alguns ladrões, foi uma coisa de filme. Certamente. Esses ladrões se disfarçaram, roubaram em só 7 minutos. Exatamente. Mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei o cuidado de perguntar para o Vinícius se ele tinha ouvido falar disso, então vai ser uma surpresa para ele também, é que o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram…​

(04:43) é que a senha do sistema de videovigilância, Vinícius, sabe qual era? Não sei qual. A senha do sistema de vídeovigilância era Louvre. E eles tinham um outro sistema, eu não tentaria essa senha. Ninguém iria colocar essa senha.​

(05:13) Eu não tentaria. Não é possível. Mas foi. Uma das senhas era Louvre e eles usavam um outro sistema de monitoramento também, de nome Thales, e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000.​

(05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li nos portais, eles se utilizaram dessa senha fraca para desativar o sistema de videovigilância enquanto estavam realizando o furto. Claro que o caso é meio pitoresco, a gente deu risada, mas não é algo engraçado. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Mas é um patrimônio.​

(06:14) Claro que há todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, mas isso não vem ao caso agora. O que vem ao caso, e acho que dá para lincar esse caso meio pitoresco com as nossas temáticas aqui, é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de videovigilância. Você tem casos que às vezes isso não está bem dentro da TI, não é gerenciado pela TI, fica numa zona meio…​

(06:48) Fica num limbo. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. Isso acaba ficando no colo da TI e aí vêm aquelas demandas de: “Tem que abrir para acesso remoto, quero acessar de casa”. Aí às vezes você vai e o cara: “Olha, melhor não”. “Não, mas eu quero”.​

(07:12) Daí vem de cima, a pessoa quer acessar. Aí libera, acessa, depois esquece que isso existe e fica lá o acesso. Você imagina o quão importante é isso para o museu mais importante do mundo? A segurança física. Claro. A segurança física ali é essencial nesse caso.​

(07:36) São objetos dos mais variados que estão fisicamente guardados, sob a guarda do Louvre. E nem sempre os objetos pertencem ao museu, eles podem estar momentaneamente cedidos. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Mas voltando para a segurança, Vinícius, às vezes fica…​

(08:16) quase como uma questão de zeladoria. Você tem dois problemas aí. Primeiro, o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até se pensa: “Não, mas ninguém teria a audácia de…”. Sim, isso de fato aconteceu.​

(08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também não podemos esquecer que imagens de vídeo que envolvem pessoas, ou seja, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertas pelas proteções da LGPD.​

(09:04) Então, é algo bem crítico. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação à LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios, mas se insere nesse grande mundo da…​

(09:33) segurança física dentro da segurança da informação. Sem dúvida. E a gente tem aquelas questões de vigilância em cidades. O pessoal quer câmeras em ambientes públicos para saber de todo mundo.​

(09:52) Numa cidade grande até dá um certo anonimato. Eu digo um certo, porque tem muita gente. Mas logo isso vai ser resolvido, já está sendo resolvido com a IA rastreando e reconhecendo todo mundo, não importa o número de pessoas.​

(10:11) Mas em cidades menores, como por exemplo Três de Maio, com 25.000 habitantes, ou cidades ainda menores que tem aqui na volta, se você põe um sistema desses, sabe quem foi falar com quem, a que horas. As nossas cidades, que são pequenininhas, têm uma ou duas ruas principais. Para ir a qualquer lugar, você passa nessas ruas, e tendo algumas câmeras ali, já consegue saber quem está falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com…​

(10:44) reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado, acho que sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e, consequentemente, onde na grande maioria das vezes os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora para a Meta, Vinícius, e isso saiu, deixando bem claro que nós vamos agora refletir aqui, replicar ou reproduzir uma notícia, um furo dado…​

(11:24) pela Reuters, que revelou uma informação muito crítica sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta.​

(11:51) É possível dizer que no nosso cotidiano, eu principalmente, já vi muitos anúncios de fraude no Instagram. O Facebook eu não acesso mais, mas no Instagram já vi muito. Já tive familiares e amigos que caíram em golpes de compras feitas por anúncios no Instagram.​

(12:11) Então, é um negócio mais ou menos conhecido do brasileiro, que está bastante acostumado a reagir a golpes dos mais variados possíveis, e a gente começa a ficar calejado. Esses dias eu estava alugando um Airbnb e a dona falou: “Ah, me passa o teu e-mail para eu conversar”. Eu já fiquei ressabiado.​

(12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro”. E a pessoa: “Não, tudo bem, continuamos por aqui”. Mas o brasileiro… porque a ideia de muitos desses golpes é tirar a pessoa do canal oficial para levá-la para outro canal. O que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo o ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, substâncias proibidas e golpes mesmo…​

(13:12) Scams. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como cassinos ilegais, produtos médicos proibidos, extorsões sexuais, contas falsas fingindo ser celebridades e coisas do gênero.​

(13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso. Ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados.​

(14:11) Se você for falar em extorsão sexual, esse negócio é seríssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. E isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes.​

(14:42) Só que eles só banem os anúncios quando há 95% de certeza de que há uma ilegalidade. E mais, a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos que você clica. Porque aquela coisa, todo mundo sabe como é.​

(15:02) Você vai clicar em sapato, camisa, sei lá, relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. O que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria, por conta do funcionamento do algoritmo, sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez feito…​

(15:28) É bem curioso, porque é o tipo de comportamento que, se você sabe que aquele anúncio é fraudulento, poderia não recomendar mais anúncios, mas não é o que acontece. O porta-voz da Meta, Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes”.​

(15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes e scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é a falta de regulação e uma consequência direta de como é difícil contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque…​

(16:34) a influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente está comprando é aquilo que a gente quer mesmo ou se está sendo influência dos nossos hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber. Porque você vai pesquisar no YouTube sobre um negócio, aquilo vai começar a aparecer em outra plataforma e, quando você vê, já comprou e coisas relacionadas. Esse é um problema. Esses documentos e a…​

(17:11) reportagem da Reuters é super completa. E o que dizem é que esse comportamento da Meta permitiu que eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude está se ampliando no mundo inteiro.​

(17:36) Os próprios relatórios internos da Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo-benefício, e a gente sabe como fazer análise de custo-benefício, sobretudo nos Estados Unidos, é complicado, porque lá as multas para esse tipo de manejo são bem altas, bem punitivas mesmo.​

(18:03) Então, o que eles fizeram? Eles sabiam que multas viriam. Tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que, nesse meio tempo, eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, ignoravam 96% dos avisos de fraude.​

(18:34) Sabe quando você vê o anúncio, denuncia e depois recebe uma mensagem: “Ah, verificamos aqui e não tem nenhum problema”? Pois é, segundo os dados vazados e segundo a Reuters, isso aconteceria em 96% dos casos. E o que eles ainda fizeram para terminar? Eles tinham uma lista interna do que se chamava “os scamiest scammers”. Os scammers mais scammers.​

(19:07) Os que aplicaram mais golpes, os piores entre os piores. E o que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de “scamiest scammers” ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram, sabiam quais eram.​

(19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os “penalty bids”, ou seja, como se fosse um leilão. Quando identificavam que tinha o potencial de ser fraudulento, cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez fica pior. Mas essa história, como sempre, ficam aqui os links, e você pode, se quiser se aprofundar, dar uma olhada nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva…​

(20:29) para a gente entender o porquê estamos recebendo com tanta intensidade anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora a minha única notícia de hoje. O que temos é o seguinte:​

(20:53) a tão esperada atualização do OWASP Top 10. Não está ainda finalizada, é um “release candidate”. Eles prometeram para 2025. Estamos com um “release candidate”, ainda em 2025. Então, vamos ver se até o final do ano essa versão se torna a versão final. Estávamos com o OWASP Top 10 sem atualização desde 2021.​

(21:26) E então agora houve a atualização. Vou dar uma geral aqui, Guilherme, já que temos planos de entrar em maiores detalhes em cada um desses itens. Mas só para termos uma noção da dança das cadeiras. Eu até preparei aqui para compartilhar com o pessoal que estiver acompanhando no YouTube. Esta é a versão “release candidate 1”. Não quer dizer que seja o último “release candidate” antes da versão final, pode haver o dois ainda.​

(22:01) Mas, em essência, vou destacar aqui. Vou de baixo para cima ou de cima para baixo? O que você prefere, Goulart? Tanto faz.​

(22:22) Fique à vontade. Vou de baixo para cima. O A10 de 2021, que era o “Server-Side Request Forgery” (SSRF), acabou sumindo, foi retirado. É algo que foi unido ao “Broken Access Control” (Controle de Acesso Quebrado). O SSRF é um tipo de ataque específico. Eles até explicam a decisão de retirá-lo e unir a outro item porque estava meio fora do lugar. Então, o A10 de 2021 some…​

(23:11) e nós temos um novo A10 em 2025, que é o “Tratamento Inadequado de Condições Excepcionais”. Este item é novo. Cada um desses itens tem uma série de CWEs…​

(23:50) que é do MITRE, um catálogo de tipos de fragilidades conhecidas, não de vulnerabilidades específicas de um software. E eles, em cada um desses itens, agregaram uma série dessas vulnerabilidades.​

(24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, coisas que “falham aberto”, ou seja, algo que, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle ou acesso simplesmente aberto, e não inacessível, entre outros cenários. O nosso A9 de 2021, “Security Logging and Monitoring Failures” (Falhas de Log e Monitoramento de Segurança)…​

(24:53) continuou no nono lugar, porém mudou um pouquinho o nome, virou só “Logging and Alerting Failures”. O A8, “Software and Data Integrity Failures” (Falhas de Integridade de Software e Dados), acabou se mantendo também em oitavo lugar.​

(25:25) Em sétimo lugar, as “Falhas de Autenticação”. Antes era “Falhas de Autenticação e Identificação”, agora é só “Falha de Autenticação”, que engloba tudo. Essencialmente, um finalzinho diferente na teoria da segurança. Na verdade, eles englobaram na mesma, porque tem várias situações de sobreposição ali.​

(25:46) Para autenticar, você tem que identificar. Então, acabou ficando nesse lugar. O sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Tivemos uma que caiu para quarto lugar. Agora vou pegar os três do meio. Caíram para quarto lugar as “Falhas Criptográficas”, como o uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais.​

(26:25) “Injection” (Injeção), que inclui o SQL Injection e qualquer outro tipo de injeção de comandos. Essa falha veio do terceiro lugar para o quinto. E “Design Inseguro”, que é bem genérico, não são erros de codificação, mas coisas que foram projetadas de forma insegura.​

(27:04) Não foi um problema na implementação, foram projetadas de forma insegura, implementadas segundo o projeto, e aí há um problema de segurança. E isso caiu de quarto para sexto lugar.​

(27:23) Bom, quem foi então para segundo e terceiro lugares? Antes de dizermos quem está em primeiro, o segundo e terceiro lugares ficaram com “Componentes Vulneráveis e Desatualizados”, que mudou de nome. Estava em sexto lugar, foi para terceiro, e o novo nome é “Software Supply Chain Failures” (Falhas na Cadeia de Suprimentos de Software), que é quando você usa bibliotecas, tanto no momento de construir o software, que às vezes ele baixa de algum repositório na internet…​

(28:03) para fazer a construção. Então, tem vários tipos de problemas de “supply chain” que entraram. Veio do sexto para o terceiro lugar, algo importante a ser observado. “Erros de Configuração”.​

(28:23) E aqui é muito interessante. Eles citam que, à medida que migramos para a nuvem e passamos a ter a infraestrutura como software que você configura, há cada vez mais erros de configuração. Isso fez o “Security Misconfiguration” vir do quinto para o segundo lugar em 2025. E o número 1, que já está como número 1 há pelo menos dois Top 10s, é o “Broken Access Control” (Controle de Acesso Quebrado), que são falhas gerais de controle de acesso. Desde alterar um ID…​

(29:04) para acessar informação que não deveria, até mudar uma flag e conseguir virar administrador em um sistema, ou fazer acesso direto a uma URL e não precisar de autenticação. Tem de tudo ali dentro relacionado a “Broken Access Control”. Esse é o primeiro do Top 10 de 2025 do OWASP. E vem se mantendo.​

(29:34) Uma coisa que me chamou a atenção, Guilherme: eles dizem que, na média, 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria.​

(30:03) Eu achei muito baixo. Por quê? Porque é muito difícil avaliar uma aplicação que não tenha esse tipo de problema. Baixíssimo. Se fosse 20%, eu diria que é baixo. Vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas, mas detalham um pouco melhor a base para essa definição, porque é muito baixo. Temos muitos problemas de controle de acesso quebrado.​

(30:35) Guilherme, deixa eu só fazer um parênteses. A minha qualidade de vídeo aqui deve estar terrivelmente ruim para você, porque estou te vendo muito mal, e vi que na gravação do último episódio a sua está razoável. É, estou vendo agora, mas está pequenininho.​

(30:53) A sua qualidade não está muito boa mesmo. Estou vendo o seu retorno como se fosse 8 bits, sequer consigo ler direito o que está na tela. E não é internet. Depois vou ter que descobrir o que é. Mas falo isso para quem estiver vendo no YouTube.​

(31:10) Desculpa se a qualidade estiver como estou vendo aqui, está horrível. Se você puder subir um pouquinho ali, até para quem está no YouTube, para mostrar aquela mudança, achei bem interessante as que subiram. O “Security Misconfiguration” indica tendências do que está acontecendo no mundo. Porque eles ordenam; não são somente 10 categorias, são as 10 que mais aparecem, hierarquizadas da que mais acontece para a que menos acontece. Quando vemos essas mudanças…​

(31:47) de ordenamento, o que era o quinto vai para o segundo, o que era o segundo vai para o quarto, e por aí vai. Isso diz muito sobre os ambientes e sobre o que está acontecendo no mundo da segurança. Agora quero te fazer uma pergunta. Para um testador, uma pessoa que vai realizar testes de invasão, para uma empresa como a BrownPipe, qual é o papel do OWASP?​

(32:18) Quer fazer? Qual é o papel do OWASP para empresas como a BrownPipe? Cara, primeiro, o OWASP é um norte com relação ao tipo de coisa que é mais comum e, sendo indicado como mais comum, é o tipo de coisa que é mais procurada também.​

(32:43) E é uma referência que utilizamos quando fazemos pentest. Não só o Top 10, mas todo o corpo do WSTG do OWASP, porque tem a lista de testes a serem feitos. Mas aqui é importante; é muito interessante quando você encontra uma vulnerabilidade que se encaixa em um desses itens, dizer: “Olha, essa vulnerabilidade que você tem está no Top 10, ou seja, é algo extremamente comum”.​

(33:09) Vou ter que mutar um pouquinho. Vai lá. Voltei. Então, é extremamente preocupante quando você tem uma série de vulnerabilidades nos seus sistemas que se encaixam no Top 10. Porque isso é muito importante para quem desenvolve.​

(33:37) Porque quem desenvolve, olhando isso aqui, se der uma estudada no Top 10, vai ver pelo menos quais são os erros mais comuns. No final das contas, vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece, mas em geral são erros de programação.​

(34:00) Então, se eu pegar por exemplo aqui o “Broken Access Control”, o A01, que é o primeiro, e clicar nele, ele vai me trazer os 25 CWEs mapeados para este item. Tem uma série deles, como “limitação imprópria de um caminho ou de um diretório restrito”, o “Path Traversal”. Cara, esse erro, CWE-22, é o famoso “usar o ponto ponto” para ir para outro lugar, listar o que não deveria estar na internet, gravar onde não deveria ou ler de onde não deveria.​

(34:40) Isso você encontra. Esse tipo de coisa faz parte do A01. Tem também, vamos ver, um que seja comum aqui. Permissões incorretas por padrão. Nossa, isso nem se fala. “Improper Access Control”, que é muito genérico.​

(35:09) CSRF, não ter proteção contra o “Cross-Site Request Forgery”. Ou seja, eu gero uma requisição de alguma forma, você acessa o meu site, algo que eu controlo, eu te entrego uma requisição pronta para fazer em um sistema que você acessa, você abre essa requisição no seu navegador e ele a executa dentro da sua sessão logada.​

(35:28) E aí eu posso criar um usuário… os efeitos são os mais diversos possíveis. Acesso direto é aquele em que eu tento pular interfaces que fazem autenticação para chegar no destino final, e aí eu vou direto no destino final e consigo acessar sem autenticação.​

(35:50) E por aí vai. Tem várias coisas aqui dentro. São erros comuns que, se a equipe de desenvolvimento estiver antenada, já vai evitar muita dor de cabeça e reduzir um monte de coisas que quem vai fazer pentest acaba encontrando.​

(36:10) Agora, uma coisa muito interessante, Guilherme, fazendo o jabá para a BrownPipe. Quando a gente faz pentest, não pegamos uma ferramenta qualquer, disparamos, vemos o que ela encontra e acabou. Porque, em geral, ela vai encontrar aquelas coisas muito óbvias e que estejam acessíveis.​

(36:27) Se fizer um “Black Box” com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebe um relatório dizendo: “Foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante”. Na BrownPipe, a gente sempre recomenda que sejam feitos testes “White Box”.​

(36:51) Temos inclusive um vídeo sobre isso que vamos compartilhar no show notes. Já percebemos, em razão dos movimentos do sistema bancário, bancos demandando que suas empresas fornecedoras façam testes “White Box” e que não podem ser automatizados. A BrownPipe já faz isso há muito tempo.​

(37:20) Óbvio que usamos ferramentas também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o “comunzão”, mas nós prezamos por um trabalho personalizado, humano, “human in the loop”, para conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto não.​

(37:44) Então, se quiser algo realmente certeiro, bem documentado e que você sabe que foi revisado e não simplesmente rodado por uma ferramenta qualquer, a BrownPipe tem o serviço certo para você de pentest. Fim do jabá, Guilherme. Certo. Estou te mandando o link para saber se é este vídeo mesmo a que você se referiu, porque se for, é só colocar no show notes para publicarmos depois. O vídeo é… você me mandou um link. É este vídeo? “Modelagem de Ameaças vs. Pentest”, eu acho.​

(38:20) Não é esse. Mas se não for, vamos colocar esse também. E eu vou pedir para a Camila me passar o vídeo do Pentest mesmo. Bom, para terminar, Vinícius, inclusive tinha uma notícia nova. Às vezes a pauta vai sendo construída durante o episódio.​

(38:49) Lembrei, pelo menos o café. Sim, é o café. Tinha lido isso ontem e me chamou a atenção, acho que podemos desenvolver depois e até saber se o próprio Bruce Schneier está certo. Ele disse, em tese, para parar de usar esses browsers “agênticos”. Não estou achando agora, mas, para parar de usar, porque acaba constituindo um tipo de vulnerabilidade que, segundo ele, seria implícita, estaria no…​

(39:30) core da inteligência artificial, que seria a impossibilidade de ela conseguir distinguir instruções legítimas de instruções que não são legítimas. Não vou conseguir achar aqui, mas de qualquer forma, fica para reflexão e talvez para um futuro episódio.​

(39:50) Essa questão que já vem se colocando, das IAs lançando seus browsers com agentes, e como essas explorações podem… Ele disse que não é um probleminha. Ele disse que é “o” problema, segundo Bruce Schneier. Mas, fecha parênteses, só para deixar isso destacado.​

(40:12) O próximo tópico é sobre a simplificação do GDPR. Nós estamos no momento, e quem acompanha o Segurança Legal sabe que mundialmente a questão da conformidade com normas de proteção de dados e também com a nova dinâmica da IA tem colocado pressões regulatórias no mundo inteiro.​

(40:46) Pressões regulatórias em qual sentido? Contra os próprios estados que tentam regular essas tecnologias, porque muitas das Big Techs se posicionam no sentido de que “as regulações são duras demais, é difícil de empreender, está afetando o desenvolvimento de novas tecnologias”.​

(41:11) Então, esse caminho trilhado sobretudo pelos Estados Unidos também chega na União Europeia, com o que chamaram de “digital check”, que é uma tentativa da Comissão Europeia de simplificar o GDPR. Teria vazado uma versão. Pelo que entendi, são tantas coisas para a gente ler, documentos de 150 páginas, mas seriam alterações que já estariam sendo encaminhadas e que poderiam culminar, se aprovadas, na…​

(41:47) em uma simplificação do GDPR. Algumas das alterações propostas: primeiro, seria uma alteração na própria concepção do que é dado pessoal, que é o núcleo de qualquer legislação de proteção de dados. É a definição mais importante. Sem dúvida, porque é o objeto da lei. Se você não definir claramente o objeto…​

(42:16) Assim como no direito do consumidor a relação de consumo é o objeto da proteção, aqui são o dado pessoal e as situações em que dados pessoais são tratados. A ideia seria alterar essa concepção para afastar a aplicação, por exemplo, no caso de uso de pseudônimos.​

(42:35) Então, pseudônimo, eu incluo um código para o usuário e a lei não se aplicaria. E a gente sabe que atribuir um código a uma pessoa é uma das formas… sobretudo quando esses códigos transitam em ecossistemas diferentes, a coisa mais fácil é identificar aquela pessoa por código, principalmente nos telefones modernos.​

(43:00) Enfim, mudar também o regime de dados pessoais sensíveis. A proteção dos dados sensíveis só ocorreria se o tratamento criasse riscos significativos ou que revelasse diretamente situações sensíveis, no sentido de afastar potenciais tratamentos de dados sensíveis que não causassem esses riscos. Ou ainda, afastar proteções em situações de comparação, referência cruzada ou dedução.​

(43:34) Esses dois aqui me parecem que desmontam muito o regime de proteção por mexer no… É fazer uma mudança genética na lei. É mudar a constituição genética dela, se fosse fazer uma comparação biológica. Sempre deixando claro que biologia talvez seja a disciplina mais longe da minha área de conhecimento.​

(43:57) Sabe aquela coisa de “baleia é mamífero”? Madeira está longe, hein? Sei que baleia é. Mas esses dias teve uma discussão se tubarão era peixe. Eu sabia que tubarão era peixe, cartilaginoso inclusive.​

(44:22) Então, limitações nos direitos dos titulares. O titular só poderia exercer seus direitos para propósitos de proteção de dados. E aí entra o pessoal do NOYB (None of Your Business), do Max Schrems lá da Europa, que é um think tank, uma ONG de proteção de dados e segurança. E eles estão se posicionando muito contra essa alteração.​

(44:47) Na visão deles, seria uma forma de barrar a obtenção de dados do próprio titular em situações como direito do trabalho, retificações e apagamentos em situações de crédito. Ou seja, seria uma forma de diminuir o alcance da pessoa poder obter seus próprios dados em circunstâncias que fugissem diretamente de tratamento de dados pessoais. Também, isentar os controladores de fornecer informações de privacidade… vou ler aqui: “Quando os dados pessoais…​

(45:16) tiverem sido coletados num contexto, em uma relação clara e circunscrita com um controlador que exerça uma atividade não intensiva em dados e houver motivos razoáveis para presumir que os titulares dos dados já possuem as informações necessárias”. É um agregado de possibilidades que, basicamente, isenta o controlador de dar informação, presumindo que você já a tem. Isso quebra totalmente o princípio da transparência e o princípio da informação, que já é tão difícil de exercer diante…​

(45:51) das dificuldades que hoje já existem para obtermos informações muitas vezes. E o choque maior, além desses outros que me preocupam, seria colocar, dentro do legítimo interesse, que é uma das hipóteses de tratamento, o uso de dados pessoais para treinamento de IA. Isso constituindo um legítimo interesse. A operação de sistemas de IA para as empresas, diante dessa abertura, seria quase como um coringa.​

(46:32) Ou seja, “eu posso tratar dados pessoais para treinar meus sistemas de IA porque eu teria o legítimo interesse para isso”. E aí também desmontaria todas aquelas situações que vimos, por exemplo, aqui no Brasil no caso da Meta, de querer treinar o Meta AI com os dados de todo mundo.​

(46:54) E aí teve aquela história em que a ANPD se envolveu, veio a informação de que eles avisaram e depois você tinha que fazer o opt-out. Bom, mesmo diante de legítimo interesse, tem que avisar. Mas isso afastaria toda a problemática que se discute hoje de você autorizar ou não o uso dos seus dados para treinamento de modelos de IA. Basicamente, o que o Max Schrems colocou foi que, passando essa e algumas outras alterações propostas, isso seria um enorme retrocesso da proteção de dados na Europa inteira. A ideia seria…​

(47:28) facilitar e ajudar pequenos negócios. Essa é a proposta. E veja, eu acredito, só para deixar bem claro, fazendo um contraponto, que é possível simplificar legislações de proteção de dados e que, para pequenas empresas, pode ser muito desafiador respeitar esse tipo de legislação. Aqui no Brasil, por exemplo, temos os agentes de tratamento de pequeno porte com regras flexibilizadas.​

(47:59) É um exemplo interessante. Mas essas mudanças, como estão sendo feitas, alterando o código genético da norma, eu vou na linha do Max Schrems, que diz que só iria favorecer as Big Techs.​

(48:19) E por que isso nos interessa? “Ah, mas eu estou aqui no Brasil”. Porque nós seguimos esse modelo europeu, nos inspiramos nele. E isso acontecendo lá, acredito que os reflexos apareceriam aqui bem rapidamente. Porque se mudou lá, a gente tem que se adequar, por causa daquele reconhecimento do mesmo nível de proteção do Brasil.​

(48:50) Então, acho que seria quase como um efeito em cadeia. É algo para ficarmos atentos. Tem também tentativas de simplificar o AI Act, de adiar a entrada em vigor, mas eu vou na mesma linha do Max Schrems. Acho bem perigoso e me parece que a ideia é, sobretudo, favorecer a IA, ou seja, retirar possíveis controles que os usuários ainda teriam nesses contextos de uso de dados para treinamento.​

(49:17) Beleza. Essa foi longa. Você quer fazer café expresso e café frio? Pois é, eu lembrei que já fazia um tempão que não fazíamos isso. Se você está nos ouvindo e não sabe do que estamos falando, nos cafés antigos, pegávamos uma das notícias e, quando era boa, dávamos um café expresso, e quando achávamos que não era tão boa… Não necessariamente para a notícia.​

(49:48) Não precisava nem ter sido notícia, era para o agente da notícia, para a pessoa ou para uma empresa. Para alguma coisa. Para quem seria o café expresso, Guilherme? O Café Expresso é para o Dia Nacional da Proteção de Dados, em homenagem ao Danilo Doneda. Acho que é um café expresso para essa situação.​

(50:15) E o café frio? É sempre difícil dar o café frio, porque é uma crítica. O café frio vai para os administradores do sistema de monitoramento do Louvre, que usaram a senha “Louvre”.​

(50:41) É um café que ficou na rua no inverno parisiense e gelou. Pode ser. Acho que é um bom recomeço para o café frio e o café expresso. A gente não pode esquecer. Um belo dia a gente parou e nunca mais trouxe de volta.​

(51:02) Mas, fora a brincadeira, gente, falando sério, esse caso é bem importante. Prestem atenção nos sistemas de videomonitoramento, nesses sistemas que às vezes estão largados, que não são de ninguém, que têm acesso remoto e que, dependendo do contexto, podem ser usados para situações bem sérias. Não é só quem tem joia que precisa disso.​

(51:19) Bom, então era isso. Esperamos que tenham gostado do episódio de hoje. Aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.