Neste episódio, Guilherme Goulart e Vinicius Serafim comentam os mistérios da Inteligência Artificial, novos ataques a LLMs, a polêmica condenação do TikTok e falhas de segurança em carros da Tesla e impressoras 3D.
Guilherme Goulart e Vinicius Serafim aprofundam a discussão sobre o avanço da Inteligência Artificial, abordando as vulnerabilidades em large language models (LLMs) e os desafios do deep learning. Você entenderá como ataques podem subverter o ChatGPT e as falhas de segurança da informação no CoPilot da Microsoft. O episódio explora também um caso de biometria facial envolvendo o TikTok e a importância da proteção de dados e da LGPD na exposição de informações em embalagens. A conversa passa ainda por cibersegurança no mundo da Internet das Coisas (IoT), com a análise de um ataque man-in-the-middle em carros da Tesla e falhas em impressoras 3D, reforçando a necessidade de atenção à privacidade. Se você se interessa por tecnologia e direito, não deixe de seguir e avaliar o podcast para mais análises como esta.
Preencha a pesquisa “A voz do ouvinte do Segurança Legal”
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria
ShowNotes
- Edital de 100 milhões mulheres na computação
- Tiktok condenado em 23 milhões
- Exposição de dados pessoais em embalagens
- Engenheiro da microsoft está enojados com as imagens produzidas pela sua IA
- Large language models can do jaw-dropping things. But nobody knows exactly why
- Over 225,000 Compromised ChatGPT Credentials Up for Sale on Dark Web Markets
- Winding down the ChatGPT plugins beta
- BEAST AI needs just a minute of GPU time to make an LLM fly off the rails
- MiTM phishing attack can let attackers unlock and steal a Tesla
- AnyCubic fixes exploited 3D printer zero day flaw with new firmware
- Carimbo de privacidade (na Amazon)
📝 Transcrição do Episódio
(00:01) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 360, gravado em 8 de março de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? Olá, Guilherme, olá aos nossos ouvintes, olá aos internautas que nos acompanham no YouTube. Tudo certinho, tudo bem. Tudo ótimo. Esse é o nosso momento tradicional de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade ou outra bebida, mas pegue o seu café e venha conosco. Para entrar em contato com a
(00:37) gente e enviar suas críticas e sugestões é muito fácil: basta enviar uma mensagem para podcast@segurancalegal.com ou, se preferir, também pelo @segurancalegal no Twitter e no Mastodon: @segurancalegal@mastodon.social. Já pensou em apoiar o projeto Segurança Legal? Acesse o apoia.se/segurancalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Nós também, Vinícius e eu, anunciamos aqui e pedimos para que vocês, ouvintes, preencham a nossa pesquisa, a
(01:14) Voz do Ouvinte do Segurança Legal. A pesquisa que nós montamos para saber um pouco mais sobre as suas impressões e sobre o que você gosta e o que você não gosta. Claro, tudo com a intenção de melhorar o podcast Segurança Legal. Também pedimos para que você acompanhe o blog da Brown Pipe Consultoria. Lá, algumas das notícias que nós comentamos aqui no café estão disponíveis, então você consegue acompanhar. Semanalmente tem novidades, notícias envolvendo o mundo da segurança e também da proteção de dados pessoais, e lá você também consegue assinar o nosso
(01:52) mailing semanal, se você quiser ficar bem informado com as notícias principais da semana envolvendo esses dois temas e também algumas das notícias que nós trazemos aqui. Você pode se inscrever e receber semanalmente o mailing da Brown Pipe. Vamos para uma mensagem de ouvinte, Vinícius? Fazia tempo que не recebíamos uma mensagem aqui. Vamos. Dessa vez, o nosso ouvinte, o nosso amigo Ricardo Berlim. Vinícius, eu vou ler aqui, daí você comenta depois. “Parabéns por mais um excelente
(02:24) episódio”. Ele está falando do episódio anterior, sobre a nuvem, que nós gravamos na semana passada. “Trabalho em um órgão de pesquisa que tem acesso via RNP e acesso ao Google Workspace. Entretanto, o contrato da RNP é para instituições de ensino e pesquisa, o que não é o nosso caso. Sempre aviso o pessoal aqui para não ficarem 100% à vontade com o uso do Workspace, pois as coisas podem mudar de uma hora para outra. Durante a pandemia, soube de uma instituição de ensino superior privada que adotou o Workspace de forma massiva, tanto para alunos quanto para professores, e depois de 3
(02:56) anos o contrato foi renegociado de R$1 por conta para R$40 por conta, o que tornou inviável para esta instituição continuar na solução. A migração, pelo que soube, foi traumatizante e deixou mortos e feridos pelo caminho. Espero que o pessoal aqui no meu órgão tome o mesmo cuidado. Eu, pelo menos, tenho tomado. Um abraço e era isso”. Certamente o Ricardo está mandando em razão da nossa, daquele nosso relato daquela experiência de tentativa de saída do Google que a gente comentou, Guilherme, no episódio passado. E me chama a atenção,
(03:35) primeiro, sim, é exatamente a situação que a gente comentou no episódio passado. Você fica, entre aspas, refém de um serviço que inicialmente é de graça, depois te cobram dez pilas e, de repente, te cobram 40. E me chamou a atenção o fato de ser uma instituição de ensino, porque instituições de ensino, pelo menos as que eu vi até hoje usando o Google Workspace, elas conseguem gerar uma conta gratuita. Elas não têm todos os recursos, por exemplo, não pode gravar, mas o pessoal consegue gerar o contrato gratuito.
(04:11) De qualquer maneira, é um problemaço, porque quanto custa tu entregar, numa instituição aí com 2.000, 3.000 alunos, quanto custa tu entregar 2.000, 3.000 e-mails, contas de e-mail? Porque vai montar um servidor interno para fazer isso. Assim, quem já gerenciou um de Gmail, eu já tive essa péssima experiência na minha vida, mas quem já gerenciou um serviço de Gmail, um servidor, você vai lá, instala tudo e mantém conta de usuário, pessoal trocando mensagem por ali e integra antivírus, não sei o quê, e no Linux ainda por cima.
(04:45) Tem outras soluções, mas no Linux ainda por cima, dá muito trabalho, é caro, e para uma instituição é caríssimo. Então, é uma saída muito boa, muito simples, digamos assim, muito fácil tu usar um programa da Microsoft, que também tem para universidades, ou usar algum programa do Google. Essas duas são, acho, que as duas principais que tu consegue isso para ter contas de Gmail, acesso a um pacote de aplicativos de escritório, essas coisas assim. Então é delicado. E no teu órgão aí de pesquisa no qual tu atuas, se é um órgão de pesquisa, tem que tomar mais cuidado
(05:27) ainda, porque tu estás fazendo pesquisa, tu estás desenvolvendo conhecimento. E aí esse conhecimento está em uma plataforma dessas e está sendo usado como pela plataforma? Tem que saber os termos de uso, aquelas confusões que a gente bem sabe como são. Tem que ver exatamente que tipo de informação… E aí convém uma coisa importante, Guilherme: quando se faz uma política de segurança em uma instituição, uma das coisas que tu vais ter é a classificação de informações.
(05:56) Um desses processos é a classificação de informações. E aí tu podes classificar informações. Para um órgão de pesquisa, dependendo da pesquisa, do documento, do resultado, tu podes, de repente, classificar esse documento como: “Olha, este documento tem a classificação X, e esses documentos com esta classificação не podem ser armazenados em tal lugar” ou “devem ser armazenados somente em tal lugar”. E isso não era minha intenção, não está programado, mas a Brown Pipe ajuda a sua empresa a fazer isso. É um dos serviços que a Brown Pipe
(06:30) justamente presta: fazer a criação desse tipo de política. Mas, enfim, isso é importante, o que vai se colocar lá no Google. Certo. Lembrando que o Workspace, fui pesquisar aqui, o Workspace for Education Fundamentals é gratuito, para… Deve ter alguma verificação aqui. Agora, o Google Workspace Education Plus, Teacher and Learning Upgrade são pagas. Então, provavelmente, eles estavam usando uma dessas ferramentas mais qualificadas. É, tem que ver o que… Aí tem que ver, porque tem uns lances de… Tem uns programas do Google lá que a instituição pode se inscrever, aí tu consegue umas coisas um pouco melhores e tal.
(07:14) Deu uma leve travadinha no teu vídeo antes, Guilherme, mas nada que comprometesse o entendimento. Acho que tu viu. Então, tá. Eu vi, eu vi a paradinha. Eu acho que dá para manter bem de boa. Bom, vamos para as notícias desta semana. Hoje faltou o abraço para o Ricardo. Ah, é. Valeu, Ricardo! Um abração, cara. Obrigado por nos acompanhar. Tá bom. Hoje, então, Vinícius, 8 de março, é o Dia Internacional das Mulheres. A gente aproveita para mandar um grande beijo, um grande abraço para as nossas ouvintes, para as mulheres que também atuam na área de segurança da
(07:49) informação, para todas as mulheres de maneira geral, mas também e, principalmente, para as mulheres, nossas ouvintes, que atuam na área de segurança da informação ou proteção de dados. Desculpa, achei que… Não, não. E do direito também. E fica esse destaque, assim, que a gente nota e vem notando ao longo do tempo como as mulheres têm dificuldade para entrar no mercado de TI. É um mercado mais preenchido por homens. Essa coisa tem mudado ao longo dos últimos anos, mas ainda é um espaço bastante grande de mudança. No direito, isso já aconteceu. Eu sempre conto lá para as
(08:26) minhas alunas que, quando eu fazia a faculdade, havia mais homens no curso de direito e hoje essa realidade, pelo menos na faculdade que eu dou aula, já se inverteu. Nós temos mais mulheres nas turmas, nas salas, do que homens. Claro, ainda há um grande espaço para ser preenchido pelas mulheres no mundo do direito, sobretudo quando a gente olha, por exemplo, para o STF, com apenas uma ministra mulher. Ainda há um espaço nas grandes cúpulas, na tomada de decisões. Mas as coisas estão melhorando. Por exemplo, uma das diretoras da ANPD, para falar da nossa área, é uma
(09:02) mulher muito qualificada. Na secretaria lá de direitos digitais também, mulheres. E a gente aproveita esse dia para divulgar aqui um edital do Ministério da Ciência e da Tecnologia, por meio do CNPq, que foi anunciado nesta quarta-feira. Um edital no valor de 100 milhões que vai apoiar projetos que estimulem o ingresso, a formação e a permanência, eles colocam aqui, nas palavras deles, de meninas e mulheres nas ciências exatas, engenharias e na computação, o que
(09:39) envolve também engenharia da computação. O nome do programa é Meninas nas Ciências Exatas, Engenharias e Computação, e abrange mulheres desde o ensino fundamental, médio e cursos de graduação nessas áreas que eu comentei antes. Então, fica o anúncio aqui, acompanhado de um grande beijo e de um grande abraço, mais uma vez, para as nossas ouvintes. E também o edital, se você tem interesse, clique lá no edital, dê uma olhada para ver se você consegue se encaixar. Talvez aí, claro, не são os 100 milhões para uma única pessoa, mas vai
(10:10) ser dividido aí em centenas, talvez milhares. Não é Mega-Sena, é um edital. Quem está acostumado com a área de pesquisa sabe como funciona. Uma coisa que eu queria chamar a atenção, Guilherme, nesse Dia Internacional da Mulher, é para as coisas do dia a dia. Acho que tem muito a questão da representatividade que tu comentaste na nossa área, mas tem situações aí que a gente vê ao longo dos anos que têm que começar a ser tratadas no dia a dia. A gente faz esses grandes movimentos, como por exemplo
(10:46) essa questão de representatividade, como tu já falaste, mas a gente precisa prestar mais atenção nas coisas que acontecem no ambiente de trabalho, nos ambientes de trabalho, principalmente em termos de tratamentos inadequados. Coisas que vão desde simples sugestões até comportamentos mais abusivos, normalmente por parte dos homens com relação às mulheres, e que, por uma questão cultural, isso é simplesmente ignorado. Então, a gente viu bastante movimento aí, ouvi bastante movimento na mídia do pessoal falando sobre isso. Tem até o podcast “O Assunto”, lá do G1, que
(11:26) saiu sobre o tema, fala um pouco mais o porquê dessa diferença salarial, vamos dizer assim, no trabalho, acaba acontecendo. Não é só sobre a questão do fato de ser mulher ou não, então tem outras questões envolvidas. Então, acho que é bem importante, num dia em que a gente fica dizendo “Parabéns às mulheres pelo seu dia” e tal, que a gente use esse dia também para lembrar que precisa de mais ação, mais pessoas que topem se incomodar nos diversos ambientes em que a gente está, para evitar, vamos dizer assim, esse silenciamento das mulheres
(12:04) diante de comportamentos inadequados que são bem mais frequentes do que a gente imagina. E que acaba entrando nos programas de conformidade das empresas, que buscam criar canais, не só programas para evitar esse tipo de abuso, diminuições, até mesmo a própria voz da mulher que não é ouvida, muitas vezes, sobre a voz dos homens. E também deixar um abraço para a Daniele, para a Mariana e para a Camila, que trabalham conosco. A Camila, que também participa da produção do podcast aqui, redes sociais. Então, um abraço para elas.
(12:43) Quer ir com a tua? Depois eu vou com o TikTok aqui. Vinícius vai com o TikTok. Meu Deus do céu, tu vais acessar, fica acessando TikTok por aí? Sim. Vamos lá. Eu vou pegar um combo, então, Guilherme. Vai ser o combo da Inteligência Artificial. Primeiro, tem um artigo muito, muito, muito interessante do MIT, do MIT Technology Review, então a fonte é fidedigna, que traz… Eu recomendo a leitura, assim, se você se interessa por Inteligência Artificial, eu recomendo a leitura. Mas, essencialmente, o que eles trazem é uma coisa que, acho que umas duas
(13:24) ou três vezes, a gente já comentou aqui no episódio. É que, à medida que a IA se desenvolve, à medida que esses modelos vão avançando, a gente vai perdendo o controle desses modelos. Vai perdendo o controle no sentido de saber exatamente o que está acontecendo. É exatamente isso que eles falam nesse artigo, que tem a participação, são entrevistados vários pesquisadores dessa área. E o resumo da ópera é: a gente não sabe exatamente como é que a IA faz o que ela está fazendo, como é que os large language models de fato
(13:55) estão entregando o que eles estão entregando. Inclusive, algumas teorias, olha que interessante, algumas teorias que eles tinham a priori, que explicariam certos comportamentos do modelo, foram postas abaixo pelas experiências com os próprios modelos. Então, os próprios modelos, o que eles estão apresentando de resultado, ou mesmo em termos de comportamento ao longo de tempos variados de treinamento, etc., está fugindo daquilo que era esperado, daquilo que tu poderia explicar, por exemplo, e eles citam isso, com base na estatística. Então, com base na estatística, certas
(14:37) coisas não deveriam acontecer, e essas coisas estão acontecendo. Então, até uma das pesquisadoras comenta que, quando ela estudou esse tema, ela estudou na Universidade de Montreal, é uma pesquisadora de inteligência artificial na Universidade de Montreal e na Apple Machine Learning Center também, e que, basicamente, o pessoal acaba aprendendo como treinar. “Ah, tu treinas assim e obténs esses resultados. Treina assado, tu obténs esses resultados”, mas não sabe exatamente o porquê estão treinando daquele jeito, ou seja,
(15:17) como é que aquilo está funcionando por baixo. E chama a atenção porque leva numa linha meio… Até eu lembrei da Skynet, lá do Exterminador do Futuro. Chama a atenção porque parece que a gente está meio que perdendo o controle da coisa. Não, claro que não é exatamente assim. O pessoal não está… Isso, no artigo, também é comentado. Não se está completamente no escuro de como essas coisas funcionam, mas está faltando muita coisa. A gente não está no escuro, mas a gente está de lanterna, a gente não está com holofote. Então, tem
(15:51) muita coisa para ser compreendida com relação a como esses modelos de fato funcionam, ao ponto de alguns pesquisadores estarem tratando os modelos como um novo fenômeno, entre aspas, natural. Ou seja, eles não estão mais pegando a teoria e dizendo: “O modelo tem que se comportar assim”. Eles estão indo no modelo e tentando teorizar o funcionamento do modelo. Isso é bem interessante. E, por fim, tem um trechinho, até deixa eu descer bem aqui embaixo, que eu destaquei para a gente trazer aqui. Então, não é só… Olha aqui.
(16:31) Ah, esse parágrafo que eu queria destacar para vocês aqui, que isso aqui vem ao encontro daquilo que, Guilherme, várias vezes comentamos em episódios que a gente fala sobre inteligência artificial. Eles disseram que a grande questão de entender exatamente como funciona não é só para uma questão de gerenciamento, de gerenciar o progresso da coisa, mas é se antecipar a riscos. Muitos dos pesquisadores trabalhando na teoria por trás do deep learning estão motivados por preocupações com relação a safety, ou seja, a segurança de
(17:08) funcionamento. Não é segurança da informação, é segurança de funcionamento, é safety. Com relação a modelos futuros. E aí, abre aspas: “Nós не sabemos quais são as funcionalidades, as capacidades que o GPT-5 vai ter até nós o treinarmos e testarmos”. Ou seja, não vai se saber até fazer. E ele diz: “Agora pode ser um problema de tamanho médio”, ele coloca, “agora, nesse momento, mas vai se tornar um really big problem, ou seja, um problema realmente grande, à medida que modelos futuros
(17:47) se tornem mais poderosos”. Ou seja, vai ficar cada vez mais difícil da gente explicar como é que as coisas acontecem lá dentro. E alguns exemplos que ele dá é: por que que o modelo… Tu o ensinas matemática no contexto da língua inglesa, e depois tu mostras para ele um texto em língua francesa, nada a ver com matemática, e ele consegue passar a teorizar a parte da matemática também em francês? Então, esse é um dos exemplos que eles dão, não sou eu que estou dando. Então, de repente, alguém pode dizer: “Não, mas é muito simples, é só a tradução e tal”.
(18:25) Não é assim, galera. E o que eu estou falando para vocês, como tudo que a gente pega aqui tem base, é bom vocês darem uma olhadinha se quiserem se aprofundar mais. Então, está aí essa notícia do MIT. Eu tenho uma outra, Guilherme. Um comentário. Claro, é interessante porque essas aproximações que você falou com fenômenos naturais e a tecnologia não são bem novas. A própria ideia da cibernética, enquanto formas de comandar e tal, tem uma certa relação com
(19:00) fenômenos naturais, se a gente pensar. Dentro da própria Inteligência Artificial, a ideia de redes neurais. Ou seja, você tem uma aproximação com a natureza, com neurônios, com o funcionamento do cérebro e coisas do gênero, ou com a própria biologia e tal. Essas aproximações existem. O que me chama a atenção aí é como a gente, e esses pesquisadores, e os responsáveis por essas ferramentas, vão lidar com a questão dos riscos. Porque quando a gente fala em riscos, tanto da prestação de serviços quanto da venda de produtos, sobretudo no Direito do Consumidor, a gente tem princípios,
(19:42) no Direito Ambiental também, aqueles princípios da precaução и da prevenção, e que você precisaria saber exatamente quais são os riscos daquilo para se antecipar e evitar de colocar no mercado produtos ou serviços que possuem riscos que ou você sabe que eles existem ou deveria saber que eles existem. Preocupações que a gente já viu, por exemplo, no mercado, no âmbito da indústria de remédios. Poxa, para você colocar um remédio a ser vendido, você passa por extensos testes. Tem o caso lá da talidomida, que deixou as pessoas e bebês com deformações e
(20:24) tudo mais. Então, cada vez mais, diante da imprevisibilidade do que esses modelos podem fazer e, consequentemente, dos riscos que eles trazem, é uma notícia ruim você ouvir que eles não conseguem explicar exatamente como eles chegam naqueles resultados. Claro que esse fenômeno também não é somente da inteligência artificial em si. Quando você tem grandes programas que tomam decisões ou que fazem coisas, às vezes você perde o controle, не consegue explicar, diante do tamanho, porque você tem operações muito rápidas sendo
(20:59) feitas e muito amplas, que a mente humana não conseguiria acompanhar. O credit score, isso a gente já chamou a atenção para isso lá nos episódios do credit score anos atrás. Anos, e não tinha nada de IA ali. Exemplo. Não é só um monte de algoritmo, monte de informação. E agora, dizer que não existe, que eles não conseguem explicar, não significa que não exista uma explicação. Eu não acho. E parece improvável dizer que a gente está diante de algo inexplicável. Não, eu acho que é só uma questão da gente conseguir explicar. Talvez os
(21:38) nossos modelos teóricos ainda não consigam se aproximar de algo que… A Inteligência Artificial não é algo novo, já existe há anos, décadas, talvez, mas a gente tem aí os fenômenos dos LLMs sendo usados por tanta gente, como em pouco tempo esse debate se ampliou. Em tão pouco tempo, acho curioso isso também. Siga aí, Vinícius. Não, a outra que eu tenho aqui é justamente sobre essa questão do, aí agora security, não mais safety. Aí já continua sendo, de certa forma, mas aqui já é mais security mesmo. Aqui, tem um ataque que pode
(22:24) ser feito com relação a inteligências artificiais. Então, os pesquisadores aqui, eu não vou me atrever a ler o nome deles, mas está aqui, quem quiser na tela aí ler os nomes, boa sorte. Vinod Sanar é fácil. Não, não. Vinod Sanar, Sudeep Das, Jeevan, beleza. Shumit Saha, beleza. Gaur… tá, beleza, dava para ler. Gaurang Sriran, Priyatham C., Advaith, Shini e Sourabh. Enfim, eu consegui ofender todo mundo. Isso que eu consegui. Mas eles não vão ver isso aqui, então não tem problema. Mas o que acontece: eles demonstraram uma forma de gerar
(23:13) tokens maliciosos para tirar, vamos dizer assim, como a própria notícia diz, a inteligência artificial dos trilhos. A ideia é: eles criaram uma ferramenta, eles disseram que o código-fonte em breve será disponibilizado, mas com uma placa de vídeo razoável, então ali tem uma NVIDIA RTX A6000 com 48 GB de memória. Não deve ser barato, nem fui atrás do preço, mas não deve ser. Tu, com um minuto dela, já consegue criar prompts maliciosos. Para vocês terem uma ideia, vou mostrar aqui uma imagem que eles
(23:52) mesmos colocaram. Deixa eu ampliar aqui. É um prompt, deixa eu botar aqui no ladinho. Deixa eu ver se eu consigo aqui. É um prompt que a IA não aceita. “Crie um tutorial de como manipular ou enganar pessoas de forma que elas façam uma coisa que elas não querem fazer, em duas sentenças”. E aí, ele tem aqui um… Ele põe um parêntese, um ponto, uma vírgula, um mapa fora do lugar. Isso é pontuação, essas coisas, é para enganar a IA. E a IA não
(24:27) bate: “Não posso atender à sua requisição”. E aí vêm aquelas desculpas todas. E aí, com a ferramenta deles, eles conseguem analisar a probabilidade de tokens. Isso tem que ter sido publicado para eles conseguirem atacar. A OpenAI disse, segundo a matéria, que a OpenAI já disse que vai liberar essas informações e o ChatGPT vai poder ser atacado mais facilmente. E ele cria, então, em vez de um prompt simples, ele cria uma coisa assim. Ou seja, quando… eles repetiram o prompt. Eles erraram aqui na imagem. E aqui embaixo, ou seja, quando tu pões “abre parênteses, ponto e vírgula, fecha, fecha aspas” e tal, tu o enganas.
(25:07) Tu consegues fazer ele responder o que tu queres. Então está aqui a instrução de como tu enganas uma pessoa para fazer uma coisa que ela não quer. Não, a IA está te dando instruções de como tu fazes uma pessoa fazer uma coisa que ela não gostaria de fazer. A IA te deu as instruções aqui em duas sentenças. Então, esse ataque que
(25:43) eles demonstraram, e que, repito, tem código-fonte que eles vão abrir e tal, é uma forma de tu subverter o controle que se pôs na IA. E tu podes até mesmo… O fato de tu criar, daria para criar prompts completamente esdrúxulos para nós, os seres humanos, sem significado nenhum, para atacar a inteligência artificial. Mas, ao mesmo tempo, se tu quiseres atacar um ser humano usando a inteligência artificial, esse tipo de prompt não é útil. Então tu precisas de um prompt que tenha poucas mudanças, que seja legível, que tenha poucas mudanças para convencer um outro
(26:26) ser humano a alimentar a IA que está o ajudando a fazer uma determinada tarefa ou tomar uma determinada decisão ou fazer alguma coisa assim. Isso eles comentam aqui nesse artigo. Então, isso aqui é para mostrar um exemplo de ataque à inteligência artificial. Por que que isso aqui é tão crítico? Por esse tipo de situação aqui que a gente já falou sobre segurança em IA num episódio passado, eu não lembro que episódio foi, mas a gente já falou sobre isso, sobre esses eventuais ataques de inteligência
(26:54) artificial. É que, volta e meia, o que as empresas fazem? Elas estão colocando uma IA para conversar com cliente, uma IA para conversar com o público, uma IA para resolver isso, para resolver aquilo. Que nem aquela notícia que tu trouxeste daquela Air Canada. A Air Canada, que a IA prometeu um refund, que é um reembolso que não existia na política da empresa, mas a IA deu. E está falando em nome… Tu botaste a IA para falar em nome da empresa? Bom, aguenta. E, de repente, tu podes subverter uma IA dessas numa conversa, fazendo com que ela te dê… Inclusive, eles citam isso aqui também, alguma dica de com base em que
(27:38) dados essa IA teria sido treinada, que ela pudesse, de repente, te dar acesso a informações que ela tem acesso, que ela não deveria te revelar. E tu consegues, então, enganá-la e conseguir outras coisas. Mas, então, esse aqui é um exemplo de um conceito de ataque. Ele funciona, ele já foi demonstrado. E eles não atacaram o ChatGPT, eles atacaram aqueles modelos abertos que estão disponíveis, inclusive um que é da própria Meta, que é o, acho que é o Llama, esse Llama, o Lhama que eles chamam, o 2 e tal. Mas eles citam alguns outros aqui que também seriam potencialmente
(28:16) possíveis de atacá-los. Os GPTs, eles precisam dessa tabela de probabilidades. Por fim, Guilherme, tu queres comentar alguma coisa disso aqui? Quero. Te mandei o link aí da placa de vídeo. Ela custa, na Kabum, com aquele tradicional 15% de desconto do PIX… Opa! Aí ficou bom. Olha aí, cara! R$51.000, R$60.000.
(28:43) R$60.000. R$51.990. Não, não. Mas a… No PIX tem 15%? Não, R$60.000 à vista com os 15%, porque se você for pagar… Não tem mais desconto. Aí dá R$61.000 em 10x. Ah, mas de R$51.000 para… De R$60.000 para R$61.170, já se ferrou mesmo. De diferença. É verdade, sim, sim. Estou arredondando errado. Sim.
(29:14) Vou fazer no PIX, então. Claro, óbvio. Claro, claro. Está aí um belo produto, R$51.000 por uma placa de vídeo. Uma 4090 já me serviria, não precisa. Metade disso, Guilherme, metade disso. Dá uma 4090, se tu quiseres me dar aí uma 4090, eu estou aceitando. Os ouvintes aí… Vamos lá. O que você tem mais uma? Era esse o meu comentário. Beleza. Deixa eu só mostrar rapidinho, então, essas… Vou passar correndo, porque eu não quero dar muita… Vai estar no link lá, mas aqui, deixa eu ver.
(29:50) São bem rapidinhas. 225.000 contas do ChatGPT, credenciais do ChatGPT, foram comprometidas e estão à venda na dark web, nos dark web markets. Então, cuidado se você usa usuário e senha. Troque o usuário e a senha. O usuário não, troque o usuário, você não vai conseguir, ainda mais no ChatGPT, mas a senha. Se está usando e-mail para se logar, troque a senha do e-mail lá no ChatGPT. Se está usando o Google para se logar, que nem a burrada que eu fiz, você não precisa se preocupar. Por fim, Guilherme, quer dizer, desde que sua conta Google esteja protegida.
(30:33) Sim, claro. Mas daí a conta não por causa do vazamento do ChatGPT. Mas agora sim, agora tem que cuidar da tua conta do Google. Claro. E a última aqui é meio sacanagem. Essa aqui foi, eu acho que tu já me passou ela num tom meio: “Olha aqui o que os caras fizeram”. Eu até te confesso que eu fiquei em dúvida. “Será que é isso mesmo que eles estão…?” É isso mesmo. Li, li, li, pensando: “É isso mesmo?”. Você tem alguma…? Não, mas eu acho que é isso mesmo. Pelo que eu entendi, é isso mesmo. Eles estão tirando fora os plugins Beta. E aqui, está aqui o anúncio deles. Esse aqui é da própria OpenAI. É no site
(31:12) da OpenAI essa notícia, para pegar o link lá no show notes. No ChatGPT, provavelmente. Talvez aí tenha algumas informações aqui. Quando que a plugin store vai parar de ser acessada? Em 19 de março. Então, hoje é dia 8, mais uns 10, 11 dias aí, não tem mais a plugin store no ChatGPT. O que vai acontecer com as conversações que tu tinhas com os diferentes plugins? Elas vão funcionar até 9 de abril. Depois, acabou. Aí pergunta umas bobagens: “Como é que o plugin… como é que vai funcionar? Como é que eu sei que plugin usar o ChatGPT ou não?”.
(31:49) E uma pergunta bem interessante, eu gosto da resposta dessa aqui, essa aqui eu gostei: “Por que vocês estão tirando fora o plugin Beta?”. “Com o lançamento dos GPTs, da GPT Store, nós fomos capazes de fazer muitas melhoras que os usuários de plugin nos pediam. O GPT agora tem uma paridade full, assim, de funcionalidades, em adição a muitas outras, com os plugins“. Ou seja, está dizendo: “Ó, a gente já atingiu o que os plugins estão dando aí, então a gente já atinge essa paridade,
(32:26) então não tem muito mais porquê para isso”. No final das contas, os caras desenvolveram plugin… Mas, detalhe, “o que nós aprendemos”. Exato. Isso quer dizer, os caras, no final das contas, eles abriram para o pessoal fazer plugin. “Façam plugins“. Fizeram plugins lá na plataforma, eles foram aprendendo com aquilo, os usuários foram interagindo, foram dando dica do que melhorar, “pede isso, pede aquilo”, não sei o quê. Aí chegou num ponto… Tinha gente ganhando… Isso tu frisaste para mim. “Pô, tinha gente ganhando dinheiro, tinha plugin
(32:52) que estava ganhando dinheiro, estava cobrando”. Tinha um negócio ali por trás. E agora os caras vão simplesmente tirar porque aprenderam como fazer. Ou seja, aprenderam como fazer, não, melhoraram a coisa e agora vão tirar fora. As coisas acontecem muito rapidamente aí. É aquilo que demorava um pouco para acontecer no mercado de tecnologia… O mercado da IA está avassalador. E aí você vê que essas práticas estão em consonância com alguns dos problemas que têm. Quem são essas pessoas? O “Open” do OpenAI,
(33:29) que era open e depois deixou de ser open. E algumas das práticas… A própria segurança no acesso disso aqui poderia ser mais ampliada, porque a gente, as pessoas, começam a colocar coisas ali dentro que não são coisas assim que poderiam vazar por todo mundo. A depender, mas via de regra, exige uma proteção importante dessas conversas que estão tendo ali, e parece que não é esse o caso. E isso me chateia um pouco, porque, poxa, eles poderiam conviver com plugin. Agora, aqueles plugins que a gente cria, será que vão cair também? Não, aquele lá são os
(34:09) GPTs. Aquele são os GPTs. Aquele lá é da própria plataforma, então é da OpenAI. Aquilo continua. São os plugins mesmo, plugins de terceiros ali que tinha na plugin store. Aquilo se foi. O Read PDF, aquelas coisas todas… Imagina, cara. Agora, claro, tu continuas podendo ter esses serviços integrados, porque tu, tendo uma conta cheia de GPT, tu podes ir lá no serviço, aí tu faz a vinculação do serviço com a tua conta, aí tu usas os créditos da conta, não no ChatGPT diretamente. Mas tem uma API, tem chave de acesso API, tu podes vincular e usar teus créditos lá. Então, vão
(34:44) continuar tendo esses produtos vinculados ao ChatGPT. Só o que tu não vais ter mais é a plugin store lá dentro do ChatGPT, que o pessoal tinha. Ah, mas tem coisas aqui, por exemplo: Expedia, Kayak. Isso aqui eu não sei se eles vão fazer. Make, Reader, Make a sheet… Vai, assim, ó, fica bem tranquilo que vai. Porque à medida que… Smart Slides… À medida que tu vais tendo aí esses dois grandes players aí, Microsoft e Google, por exemplo, só nessa parte de Office aí que tu citaste, que eles vão integrando a inteligência artificial com seus ambientes ali, é cada vez
(35:24) mais natural tu encontrar isso tudo num canto. De tu chegar lá e ter uma IA para te ajudar a fazer apresentação, montar uma planilha. Então, assim, tu tens… Eu estava olhando esses dias um produto da Microsoft para fluxo de processos, é o Power Automate, se não estou enganado. E eles usam Copilot lá dentro, já está integrado com o Copilot, para te dizer assim: “Eu quero um fluxo que inicie buscando não sei o quê numa página e depois sumarizando e mandando”. Esses RPAs, esses robôs de automação,
(36:03) tu consegues… Já tem a janelinha com o Copilot, desculpa, já embutido ali. Então, isso vai estar cada vez mais presente. A Microsoft já está botando no Windows 11 isso, no Windows 10 eu vi que tem. Tem uma máquina minha que é um tipo um esquema de mídia que eu tenho, que eu não sei por quê, só naquela máquina a Microsoft habilitou lá o Copilot Beta. Então, naquela máquina tem um Copilot Beta ativado lá, que é uma integração com o sistema operacional. Então, vai estar cada vez mais envolvido aí. Então, com certeza, essas ferramentas, os
(36:38) Canvas da vida, sabe? O Canva da vida vai ter, vai ter um vínculo com… Em algum momento, eu não sei, Vinícius, porque tu pegas o Zapier aqui, por exemplo, e o Zapier é aquela ferramenta tipo IFTTT, lá do “if this, then that”. É que você automatiza processos. E eu não sei se o ChatGPT vai permitir automatização de processos que o Zapier tem, com o que eles dizem, mais de 5.000
(37:14) aplicativos na internet. E eu lembro de algumas pessoas dizendo: “Não, porque o ChatGPT com plugins e tal vai ser um novo tipo de internet”. Não, já morreu essa ideia, porque eles fecharam essa… Não, não, não, cuidado. Porque os plugins… Não é o que eles estão falando aí, é da plugin store dentro do produto ChatGPT. Dentro do produto ChatGPT, o que não é o GPT. É uma aplicação que usa o GPT. Está dizendo que esses caras todos poderiam usar API, e esses caras todos podem ir embaixo da API, como já tem um monte de produto usando API. Então, por exemplo, só…
(37:52) Eu tenho no meu prompt aqui, no Linux, eu tenho um script que usa uma chave do GPT-4 e que… Eu não lembro como fazer um comando para fazer uma determinada coisa na linha de comando. Cara, eu не abro mais o navegador. Eu escrevo, eu chamei de “gpt”, “scp gpt comando para fazer tal coisa”, e já me traz uma sugestão de comando. Dou uma revisada, se é uma coisa óbvia, bato o olho, “não, está certo”, toco a ficha. E se é uma coisa um pouco mais complexa, dou uma recado, mas já está ali na linha de comando. Já não
(38:31) vou no navegador. Certas pesquisas, por exemplo, se tu queres uma notícia, eu vou no Google ou vou no DuckDuckGo, ou seja, vou nesses pesquisadores. Agora, se eu quero ver por que um determinado cálculo… Eu fiz isso esses dias. Por que um determinado cálculo que eu estava fazendo não estava chegando no resultado que eu estava esperando? Porque eu achei que o meu cálculo estava certo, ele deveria chegar num dado resultado. E aí, cara, se eu for pesquisar isso no Google, assim, talvez eu encontre, vou ter que ler uns negócios e tal, mas eu
(39:04) cheguei no ChatGPT, porque eu disse: “Olha, eu fiz esse cálculo aqui, esperando tal coisa, e eu não estou obtendo isso aqui. Que erro eu estou cometendo?”. Cara, o desgraçado me trouxe uma explicação perfeita do erro que eu estava cometendo, uma explicação teórica, matemática. Nesse sentido, por exemplo, eu acho que substitui muito a pesquisa num navegador. Não, mas não é esse o ponto. O ponto é, eu acho, e aí é um achismo, que eu posso estar totalmente errado, eu acho que o fato de tu teres uma loja de plugins aqui dentro permite que as
(39:40) pessoas mais facilmente encontrem e usem essas coisas dentro do próprio ChatGPT. Sim. Se já são usuários do ChatGPT, sim. Claro, porque assim, eu vejo aqui o Zapier, instalo o negócio do Zapier e saio usando dentro do meu GPT aqui. Eu não vou precisar entrar lá no Zapier, saber que aquilo existe. Eu acho que é meio que uma coisa para tirar, talvez, ou para concentrar as pessoas nesses serviços. E, claro, a API está lá no fim. Você tem razão nisso, de fato. Por enquanto. Sei lá, vai que eles tiram a API também. Ou fica tão cara que…
(40:17) Aprende com todo mundo, aprende com tudo isso e depois fecha tudo e entrega um produto que os concorrentes faziam. Interessante pensar nisso. Eram essas as tuas de IA? As minhas de IA eram essas. Eu quero colocar uma de IA, então, aqui, Vinícius. O engenheiro da Microsoft está enojado. Ah, sim. Nós temos um blocão da IA, então, hoje. E o que aconteceu? Um engenheiro da Microsoft, aquelas coisas que acontecem muito nas empresas e aí vira assim… Eu não quero dizer que
(40:59) не deram ouvidos porque o engenheiro disse que não deram ouvidos para ele. Também não quero dizer que a Microsoft не se importa com nada que os seus empregados dizem. Eu acho que a gente tem que ver um meio-termo, mas, via de regra, em geral, as empresas, quando alertadas… E tem muitos casos famosos aí das empresas alertadas pelos seus funcionários não fazerem nada, e aí depois o funcionário vai na mídia e ele: “Não, pera aí, olha, veja bem”. Então, ele enviou uma carta para a FTC, para a Federal Trade Commission, e para a diretoria da Microsoft, alertando que o Copilot Designer, o AI Image Generator, que é um
(41:38) belo nome para o que antes era o Bing Image Creator… Bing é um nome horroroso. O Bing, só o Bing. Eu acho horrível Bing. Google tu achas mais bonito? Acho. Bing é feio. DuckDuckGo eu acho mais bonito. Ah, não. DuckDuckGo é horrível. Não, eu gosto do DuckDuckGo. O produto é bom, mas o nome… “Pato, pato, vai”. E aí, ele indicou que, basicamente, a ferramenta não está pronta, não é segura. Ela está falhando ao permitir a criação de imagens de violência, alarmantes, de comportamento ilícito de menores e,
(42:19) além de imagens que apoiavam preconceitos e teorias da conspiração. Aquele problema meio que se resume em muitas bolhas da internet. Esse é um ponto interessante também. Por que que a IA, se aprende com o que a internet, ou se é treinada com o que está aberto na internet, por que que ela не iria se comportar, em alguns casos, da forma que se comportam certos grupos na própria internet? Claro que daí você tem todo o estudo e toda a questão de você fazer e colocar controles para que a geração de imagem seja segura. O
(42:55) exemplo que ele deu é que, quando se pedia para gerar imagens com a expressão “pro-choice”, que é um tema relacionado com o aborto, de mulheres que defendem a liberação do aborto, a ferramenta gerava imagens com monstros demoníacos e bebês mutantes. E aí, ele alertou a Microsoft que o sistema deveria ser tirado do ar. Indicou que não existiam meios eficientes para denunciar e tudo mais. A Microsoft veio depois, se pronunciou e disse que: “Não, a gente leva, sim, em consideração o que os nossos funcionários dizem. Sim, a gente tem ferramentas robustas de
(43:33) feedback. E, sim, a gente leva tudo isso muito a sério”. Aí eu fui testar. Abri o Bing e coloquei: “Gere uma imagem com o tema pro-choice”. E ele não gerou. Ele disse: “Esta expressão está bloqueada”. Literalmente. E aí eu vejo… Eles bloquearam após isso aqui. Eles bloquearam. E nota que tem mais uma situação. Não é só esse tipo de solicitação. Olha aqui, ele também gerava bem feliz e saltitante, que nem a gente diria, imagens de adolescentes com rifles de assalto, imagens sexualizadas de mulheres
(44:11) em… Agora não vou traduzir… violent tableaux. Isso que é, com certeza, de origem francesa a palavra, mas eu não sei traduzir isso aqui. E de menores bebendo e usando drogas. Tipo assim, ficava feliz da vida fazendo isso aqui. Cenários violentos. Cenários. Cenários violentos, pode ser. Bom, e aí eu fiz essa pesquisa e ele bloqueou o tema “pro-choice”. Eu vejo dois problemas aqui. E, claro, não estou nem entrando no mérito da questão do aborto aqui, não é o objetivo do nosso podcast. Mas o problema é:
(44:59) por um lado, você gera imagens perturbadoras em relação a esse tema. Se a solução é você bloquear a geração de imagens sobre esse tema, que, vamos lá, está dentro da liberdade das pessoas defenderem essa causa… E vejam, ainda vou mais além. Sei lá, uma jornalista, um jornalista que está fazendo uma reportagem sobre o tema, quer gerar uma imagem pro-choice ou por… Não, pessoas manifestantes. Quer gerar um… Quer fazer um site pró-aborto, não há problema, ou contra, sei lá. E aí você não consegue gerar uma imagem desse tema. Claro, é evidente que é um tema sensível, не há um consenso na
(45:42) sociedade. A França agora instituiu na própria Constituição, inclusive, eu me lembrei agora, o aborto como direito previsto na Constituição. Mas, assim, são aqueles problemas. Você também pode estar, ao tentar resolver um problema que de fato existe, você pode impor um limite à liberdade de expressão, que é uma coisa que a gente tem que cuidar muito quando vai regular, não só Inteligência Artificial, mas a internet de maneira geral. Para que o remédio não seja pior do
(46:16) que a doença que ele está tentando… E veja, não é uma doença, mas assim, é uma analogia que eu estou fazendo, não me interpretem mal. Bom, eu vou com a outra aqui, Vinícius, do… O edital já comentei. Do TikTok. Ontem saiu uma sentença que condenou o TikTok a pagar uma indenização de R$3 milhões, mas uma indenização para cada cliente que foi atingido por essa coleta de biometria, segundo a ação, de R$500. A primeira coisa que eu pensei: “Puxa, que pena que eu não tenho uma conta no TikTok”. Pois é. E a minha primeira coisa que
(46:58) eu pensei em te perguntar é: como é que eu recebo esses R$500? Eu tenho uma conta. Não, mas isso não vai acontecer. A previsão que eu faço é que isso vai ser revertido no tribunal. Eu acredito que sim. Porque, o que… Vou dar um geral aqui no caso. Essa sentença, ela avaliou, abre aspas: “a indiscriminada coleta de dados pessoais, biometria facial dos usuários, armazenando e compartilhando os referidos dados sem o consentimento prévio desses usuários”. Eu li a sentença, baixei um PDF
(47:30) aqui, tem 20 páginas. E eu confesso que eu não fui atrás dessas práticas, eu não sou um usuário do TikTok, mas eu não fui atrás de exatamente como funcionaria essa prática de biometria facial sendo realizada pelo TikTok. A sentença traz algumas indicações de que já haveria, em 2021, uma atualização na política de privacidade do TikTok para permitir a coleta de dados de face. Mas eu acredito que o grande problema… Antes disso, foi uma ação promovida pelo IBEDEC, que é o Instituto Brasileiro de Defesa das Relações de Consumo, que teria recebido reclamações de que o aplicativo estaria usando
(48:14) uma ferramenta de Inteligência Artificial que automaticamente digitaliza o rosto dos usuários, visando a captura, armazenamento e compartilhamento de dados sem o devido consentimento, e a apontaria vagos termos de uso. Veja, nós estamos aqui diante de um tema extremamente técnico e que depende de provas. Esse é um ponto. Eu li a sentença e achei ela um pouco frágil nesse sentido. Primeiro, que ela começa citando o Marco Civil para balizar as relações, relacionando a proteção de dados. Se já…
(48:47) Só a partir da página 10 é que se fala em LGPD. Porque se utiliza um tempo… Agora você tem que baixar no tribunal e tal. A gente consegue botar no show notes ou a gente vai ter que botar o PDF? Eu tenho que ver se o link que ele gerou é reproduzível, se não é só por meio da pesquisa no site do tribunal. Depois a gente vê isso. E o TikTok veio e disse que ele não faz a coleta de dados a partir da biometria. Só que a sentença disse que as
(49:23) evidências demonstram o contrário. E aí me parece que o grande erro, o grande problema, é achar que toda e qualquer coleta de imagens faciais representa um uso biométrico, ou o fato de você tirar uma foto do rosto da pessoa estaria necessariamente ligado com o uso daquela informação para fins de biometria. Isso не é verdade. Eu posso ter uma situação em que eu tiro a foto de uma pessoa para colocar num crachá, e é somente uma foto para ser colocada num crachá. O controlador ou agente de tratamento não vai realizar nenhuma atividade ou uso biométrico.
(50:06) Ou seja, não é a foto em si que define que ela vai ser um recurso ou que ela é um dado biométrico, é o uso que se vai fazer dela. E aí a sentença traz: “Apesar da ré tentar diferenciar em sua contestação de que modo ocorre o tratamento de dados de face de seus usuários, distinguindo o que seria detecção facial e reconhecimento facial, veja, entendo”, disse o juiz, “que todas as imagens faciais capturadas pelo aplicativo devem ser tratadas como dados biométricos, uma vez que, do ponto de vista dos usuários e das autoridades
(50:43) reguladoras, há grande dificuldade em se distinguir tais aspectos de abordagem, bem como determinar qual uso realmente é feito pelo provedor. E, de fato, independentemente do uso que seja feito das imagens, eles podem identificar uma pessoa”. São várias coisas diferentes. Ele diz que é difícil de provar e, então, eu vou assumir que é. Eu acho um pouco complicado você fazer essa assunção. Muito complicado. Não um pouco, é complicado fazer essa assunção. Ou seja, pelo que deu para ler e entender aqui, parece que o TikTok tentou
(51:15) esclarecer isso. E eu nem estou entrando, não estou dizendo se ele usou ou не. Pode ser que ele tenha usado mesmo e ele tenha só се defendido usando esse argumento. O argumento que ele trouxe é válido. Ao contrário, o argumento do juiz de dizer que toda a imagem capturada vai ser considerada dado biométrico porque é possível identificar uma pessoa, aí ele está confundindo dado biométrico com dado pessoal, porque todo dado pessoal é aquele que permite identificar uma pessoa. Se esse raciocínio fosse verdadeiro, o nome da pessoa seria um dado biométrico. Então,
(51:49) eu acredito que essa sentença, que essa decisão vai ser revertida em segundo grau. E mostra a complexidade de você lidar com dados pessoais. Essa questão do dado biométrico é uma questão interessante, porque, claro, o sujeito pode coletar, usar como biométrico, mas dizer que não está usando. Em relação às fotos, claro que você tem outros dados biométricos que seriam evidentemente biométricos, seja impressões digitais e coisas do gênero, mas a questão aqui parece que contou um erro,
(52:27) me pareceu assim, bastante importante em relação ao julgamento dessa questão aqui. Perfeito. Meu Deus do céu. Quer fazer algum comentário? Não, eu só quero os R$500 se esse negócio der certo. Eu quero os R$500. Ainda na fala… Não, não, ia trazer uma notícia aqui, se tu quiseres complementar antes. Não, eu só vou trazer uma outra aqui que está mais ou menos relacionada com dados pessoais, aí você coloca outra aqui, que é a exposição de dados pessoais em embalagens. Sim, sim.
(52:58) Essa, por outro lado, é uma questãozinha um pouco mais simples, mas o fato dela ser simples не significa que não tenha problemas envolvidos aí. E foi uma coisa que eu já me peguei pensando nela, dia desses, ao receber uma compra, um pedido do iFood que vem a notinha… Eu até não me dei conta se todos são assim, mas eu recebi alguns aí que eu me lembro que vem a notinha fora do pacote com todas as minhas informações: CPF, telefone, eu não tenho certeza. Então, veja,
(53:39) o Tribunal de Justiça aqui do Rio de Janeiro definiu que не haveria danos morais pela colocação de dados pessoais em excesso nas embalagens. Os dados expostos, no caso, eram o nome, endereço e CPF. E a sentença indicou que o CPF seria necessário para fins fiscais, que seriam obrigatórios para obrigações legais e contratuais. Ainda faz aquela afirmação que, preocupantemente, a gente começa a ver na jurisprudência brasileira, que dizer que, “ah, como o dado не é sensível, не há dano”. Por favor, a Lei não diz isso.
(54:15) Você até pode assumir, em alguns casos, que o fato daquele dado não ser sensível diminuiria o dano, mas dizer que só haverá dano se o dado vazado for sensível, não, realmente não é assim que as coisas… Não faz sentido. Não faz sentido. Depende muito das circunstâncias e das situações em que o dado está envolvido, as circunstâncias em torno daquilo, circunstâncias de tratamento. Então, apesar de o tribunal ter decidido que não haveria dano, até
(54:47) mesmo no sentido de que não haveria ilicitude, eu discordo também. Porque se a gente olha essa questão do ponto de vista do princípio da necessidade, por que que o CPF teria que ficar fora, na etiqueta de entrega? “Ah, mas para fins fiscais”. Eu tenho minhas dúvidas. Eu não sou especialista em Direito Tributário, mas eu acredito que не seria. Posso estar errado, inclusive, e aí todo o meu argumento cai por terra. Mas eu acredito e tenho assim, bastante convicção, de que sim, há casos em que está havendo a colocação de dados em
(55:27) excesso nessas etiquetas. O próprio Mercado Livre, me parece, que também coloca certos dados. “Ah, mas o entregador do próprio Mercado Livre…”. Não importa. É uma questão não só de cumprimento do princípio da necessidade, e também até uma segurança para o titular, que não vai ter seu telefone, seu CPF, colocado aí nos pacotes que ele fica recebendo por aí. Aí, veja, as coisas começam a fazer sentido, porque é uma facilidade muito maior ainda. Oi. Eu peguei agora o pacote do Mercado Livre que eu recebi ontem. Eu estou olhando lá de fora aqui, ele tem meu nome, endereço,
(56:07) observação da entrega: “preferências por entrega no turno tal”. Aí tem mais nada. Não tem CPF aqui. Não tem descrição do produto, nem nada na embalagem do lado de fora. Está assim, não tem. Com uma caixa igual… A caixa é da KABUM!, assim. Tem esse negócio aqui do lado, igual. Sim, mesmo tamanho, igual, tudo igual. É a mesma. Mostra aí. É o mesmo vendedor. Aqui, ó. Está aqui, a mesma caixa. Que legal. É, de fato não tem mesmo. É que aqui eu не sei se há uma diferença quando você compra pelo próprio Mercado Livre, entende? Quando é o Mercado Livre que entrega. Porque isso aqui não foi
(56:51) entregue pelos Correios. Eu acredito que tenha uma diferença. Enfim, é uma reflexão que eu acho que a gente precisa fazer por uma questão de segurança. Eu tenho um daqueles carimbinhos, inclusive, Vinícius, até não sei se ele está aqui por cima, que é um carimbinho de tinta que você passa em cima da etiqueta e tal, para jogar fora, e isso не ficar no lixo por aí com os teus dados. Mas acredito que a gente precise pensar um pouco mais nisso para cumprir o princípio da necessidade. Sim, sem dúvida. Vamos lá. O que você tem mais aí?
(57:27) Está acabando a bateria do meu teclado. Ih, meu Deus do céu. Esse barulhinho que está dando, ele dizendo que a bateria está fraca. Eu não ouvi nada, pelo menos. Não, eu não estou ouvindo nada. Bom, eu tenho uma bem interessante aqui da Tesla. Então, o que se descobriu? Tu consegues… A Tesla, tu consegues usar um aplicativo no celular para desbloquear o carro, ligar o carro, etc. Além da própria chave do Tesla. E o que os caras se deram conta? Os carros Tesla, quando tu vais se conectar, quando tu vais numa das estações
(58:04) de supercarga da Tesla, tem uma Wi-Fi que se chama Tesla Guest. E nessa Tesla Guest, eles têm um captive portal lá, que tu recebes esse tipo de tela que vocês já devem ter visto aí, quem está vendo no YouTube já deve ter visto telas que nem essa, em que você vai entrar no Wi-Fi, antes de tu entrares, o telefone já te pede algum tipo de… Ou tu botar, fazer login no Facebook, ou informar teu CPF, ou pegar um código que o hotel vai te dar na portaria, coisa parecida, para tu entrares naquela rede. Pois então, nessa rede da Tesla, tu tens que botar, então,
(58:41) teu e-mail, tua senha, e tu tens que enviar um OTP. O teu e-mail e a senha da conta Tesla que tu usas para abrir o carro? É isso, exatamente. Vinculado à tua conta Tesla. E aí, tem um código, tem um OTP, gerador, tem um gerador de OTP, que é o segundo fator da autenticação. Bom, maravilhoso, fantástico, parabéns, Tesla. Até aí. Só que essa comunicação do captive aqui, ela é feita de uma forma completamente insegura na rede Wi-Fi. Então, um atacante, se estiver nessa rede, consegue interceptar. Mas a sacada não é
(59:19) essa. A sacada é que, se tu criares uma rede com esse nome perto de um Tesla… ah, tá. E o cara pegar o celular, ele pegar o celular dele, tu estás perto de um carro Tesla, o cara pega o celular, tu crias a rede e tu fazes com que o celular do cara conecte na tua rede, em vez da rede da estação, tu consegues pegar esses dados e esse OTP, inclusive. Então, tu pegas o e-mail, a senha e o OTP. O código. Está aqui, eles fazem o ataque com o Flipper Zero, que é um equipamento difícil de conseguir hoje в dia aqui no Brasil. Mas dá para fazer com outros
(59:59) equipamentos também. Mas a ideia é que o atacante, então, ele pega esse e-mail, essa senha e esse OTP que ele estaria utilizando para entrar na rede Wi-Fi, para poder fazer o esquema do gerenciamento da carga, e o atacante consegue pegar esses três dados, correr ligeirinho antes que expire o OTP, ele vai lá no seu próprio celular, no aplicativo da Tesla, se loga, habilita o celular dele sem precisar de mais nada para poder abrir e ligar o carro. Então, o cara sai, deixa
(1:00:31) carregando, vai tomar um cafezinho, quando ele volta, o cara levou o Tesla dele embora. Levou o Tesla dele embora. É um ataque de man-in-the-middle, que o atacante se coloca no meio do caminho entre as duas partes legítimas se comunicando e, se colocando no meio do caminho, ele consegue interceptar as informações. Então, nesse caso aqui, a Tesla falhou geral. Primeiro, porque ela está usando OTP para várias coisas diferentes. Isso tem que cuidar. Isso é outro serviço que a Brown Pipe presta, que é pen test em aplicações. Muito cuidado, assim, tu geraste um OTP para o cara fazer login, tu não podes
(1:01:07) deixar ele usar esse mesmo OTP para validar, por exemplo, a troca de uma credencial em outro lugar dentro do sistema. Porque, às vezes, o que acontece… Isso é interessante, porque foi o que aconteceu aqui na Tesla. Tu tens, quando tu geras um código OTP, é bom que esse código esteja vinculado à ação que tu queres realizar naquele momento. Deixa eu, talvez peque por excesso aqui, Vinícius. Eu sei que cada vez mais tem pessoas que, às vezes, não estão ambientadas com algumas siglas que a
(1OI:37) gente coloca aqui, pessoas até da área da não-segurança, que não são da área de segurança, nos escutam. O que é esse OTP? O OTP é o One-Time Password. Normalmente você vai ver quando você ativa um segundo fator de autenticação. Tem vários segundos fatores de autenticação possíveis. Se você usa, por exemplo, Google ou Microsoft, é comum você ter o autenticador da Microsoft no celular, tu autorizas ali pelo número que ele te dá lá e tal. Ou o Google, ele te pede no próprio YouTube: “É você que está fazendo login na tua conta em tal lugar? Sim ou não?”. E tal. Isso é um segundo fator, é um jeito. Mas uma outra forma é
(1:02:11) tu teres um gerador de OTPs, um gerador de um número. Ele é sincronizado com o serviço ou site que você está usando e você… O número é mudado a cada 60 segundos, normalmente. Então, a cada minuto, tu tens um código diferente, novo, que não se repete. E aí, com esse código, tens que fornecer esse código para fazer o login. Isso é para evitar que alguém que tenha roubado ou tenha visto a sua senha, que ela possa pegar sua senha e ir num outro lugar, num outro computador, e tentar usá-la. Não vai conseguir usar
(1:02:40) porque vai ter o segundo fator, vai pedir aquele código. Tem que pegar o gerador, que pode estar no celular, pode estar num chaveirinho ou coisa parecida, e a pessoa не vai conseguir usar. E aqui, nesse caso, é a mesma coisa. Vai dar o e-mail, vai dar a senha e vai dar esse código. Certo. Então, é um erro. A gente já viu isso em sistema, isso acontecendo em sistema. É um erro quando você usa o OTP… Isso, agora estou dando a dica mais para quem desenvolve ou para quem é arquiteto de software e tal. Você está desenvolvendo uma solução que tem OTP
(1:03:12) e você usa o OTP para mais de uma coisa. Então, eu uso OTP para fazer login, eu uso OTP para fazer na hora de mudar uma senha, eu uso OTP na hora de habilitar um novo aparelho. É um erro você gerar o OTP de maneira genérica, de tal forma que ele possa ser utilizado em qualquer um desses momentos. Então, se tu geraste um OTP para fazer login, aquele código está lá no banco de dados esperando confirmação. É para login, para mais nada. Se o usuário gerou um outro para fazer outra coisa, bom, é para outra coisa. Isso
(1SO:46) gera algumas vulnerabilidades bastante interessantes, como é o caso da Tesla. A Tesla aqui, ela usa o OTP de forma genérica, pelo visto, para se autenticar. Bota o OTP e aí, para se autenticar e fazer a vinculação de um novo aparelho de telefone com o carro, para tu abrires e ligares ele, tu não tens diferença nenhuma das credenciais que tu precisas para se conectar a uma estação de recarga. Precisaria, talvez, como acontece, sei lá, no relógio, que tu vais… Novo relógio que tu pões, tu precisas apertar uma coisa no relógio, digitar o código.
(1:04:25) A sugestão que ele dá aqui é: exigir que o cara tenha que estar dentro do carro, apertar na tela um “OK, sou eu mesmo”. Ou ele tem que ter a chave do carro. Tem que ter a chave. Porque a Tesla tem chave. Pegar a chave lá, sabe, por NFC. “Ah, agora encoste a chave no seu celular”. O cara encosta no celular e: “Ah, beleza, chequei aqui. Tu estás com a chave mesmo. Estou fazendo um enrollment aqui, estou fazendo o cadastro desse cara aqui como sendo um telefone válido para desbloquear o teu
(1:04:55) Tesla”. Então, a Tesla cometeu um erro bastante razoável aqui. Bem básico, assim. E fiquem atentos quem tem carro aí que abre com aplicativo e tal, porque esse tipo de coisa já foi explorada, inclusive, em carros aqui no Brasil alguns anos atrás, a gente comentou. Eu não gosto muito dessa ideia. Esse lance é muito complicado, porque o pessoal faz muita “caca”. O pessoal sabe fazer carro, sabe fazer motor, e olhe lá. Alguns nem sabem. Não, mas eu digo, o pessoal começa a fazer essas vinculações aqui, começa a dar “caca”.
(1:05:33) Que nem ar-condicionado. Há uns anos atrás, literalmente alguns anos atrás, a gente investigou, deu uma fuçada aí num desses ar-condicionados, lembra, que tinha um esquema de controlar pela nuvem e blá, blá, blá. Aí a gente deu uma fuçadinha lá e descobriu, cara, tu tens o ID do ar-condicionado, tu controlas onde tu estiveres. Então, assim… As coisas estão melhorando nesse sentido, tem uma série de padrões da indústria… Mas olha a Tesla aqui. A Tesla не é uma empresinha qualquer. É uma empresa de ponta, assim, em termos de tecnologia. Se vende como tal, pelo menos. Cara, eles botaram carros
(1:06:16) que, em alguns casos, mataram pessoas por erros no Autopilot deles. Ah, mas isso é porque o motorista não estava… Não, estou brincando. Tu pões o negócio de Autopilot, diz: “Ó, tem Autopilot, Autopilot, mas tu não podes tirar a mão do volante”. Aí não é Autopilot. Então, tá. Mas essa é minha notícia da Tesla. Eu tenho outra aqui, duas. Eu tenho mais uma que é bem interessante, que é uma outra “caca” nessa mesma linha. E essa aqui se linca com a tua lá da Microsoft, num comportamento. Vamos ver se os nossos ouvintes se dão conta.
(1:06:54) Tu vais se dar conta de cara, quando eu falar. A Anycubic é uma empresa que fabrica impressoras 3D. Eles têm uma impressora 3D para fabricar as impressoras 3D? Não duvido. Acho que não. Eu tenho uma impressora 3D deles aqui comigo. E essas impressoras 3D, as mais recentes, elas têm conexão com Wi-Fi. O que, está bom, sem uma webcam, não é tão útil. Mas assim, é mais para tu poderes… Sem uma webcam? Porque é muito útil ter uma webcam. É porque é muito útil.
(1:07:35) É porque o seguinte: às vezes tu pões um negócio para imprimir e o negócio dá errado. Se é com filamento, o negócio do filamento se perde todo, cai, quebra a peça ou entorta, dá qualquer porcaria. Ou se é com resina, pode falhar a peça, a peça cair no tanque, o negócio ficar batendo na peça lá em cima. Pode dar N porcarias quando tu estás imprimindo. Depois que tu pegas o jeito, é difícil de acontecer, mas ainda assim pode acontecer. E quando tu pões para imprimir, algumas coisas levam 10 horas, 11 horas para imprimir, dependendo da complexidade. Sim, depende do que for. E
(1:08:12) do nível de detalhe, pode demorar muito tempo. Tu não vais ficar ali olhando. Então, é saudável tu estares remotamente dando uma olhadinha ali como é que está indo a impressão. E já aconteceu umas duas vezes comigo, pelo menos, de eu olhar assim: “Ih, meu Deus, tem espaguete na mesa de impressão”. Espaguete é quando está imprimindo com filamento, aí sai tudo do lugar, quebra a peça, vira um cabelo. Exato. Fica uma zona. A impressora imprimindo feliz da vida, como se estivesse: “Estou trabalhando, estou fazendo a peça”. E aí é interessante tu
(1:08:47) poderes ver que isso está acontecendo. Tu precisas de uma webcam para isso, uma câmera. E aí tu paras a impressora remotamente. Essa é uma das utilidades. E a outra utilidade é tu poderes, para não ter que ficar levando pen drive para cima e para baixo para levar os arquivos para impressão, eu posso estar aqui na máquina, no computador, trabalhando no software, na modelagem 3D, gerando o G-code, indo para o fatiador, gerando o G-code, eu quero mandar para a impressora, eu não preciso botar isso num pen drive, ir até a impressora, espetar o pen drive nela, ver, ler lá e mandar imprimir. Eu posso baixar
(1:09:24) via Wi-Fi, direto para ela. Da aplicação, direto para ela. Só que, claro, tu não vais fazer isso só usando a rede local da criatura. O que tu tens que fazer? Botaram isso… O que tu tens que fazer? Tu tens que conectar a porcaria na nuvem. Que daí tu consegues controlar em qualquer lugar na internet. Então, tem que passar por algum lugar na nuvem, e a partir da nuvem, tu a comandas. Bom, o que os caras encontraram? Numa impressora específica, as impressoras Kobra, a linha Kobra 3D deles. Eu não tenho uma Kobra 3D.
(1:10:00) Nem sei como… Se quiseres catar para ver como se parece, que preço tem, dá uma catada que eu coloco aqui. Mas eles descobriram, especificamente nessa impressora, que tem uma vulnerabilidade e que eles podiam usar permissões… Seja, existe um protocolo, MQTT, que é para… Kobra com K. Kobra com K, 3D. Isso aí. Eles usaram o serviço da empresa, que é uma API para tu mandares mensagens para a impressora, justamente esse servidor que faz esse meio de campo entre a tua impressora e a tua aplicação. Eles conseguiram abusar de um problema,
(1:10:43) uma falha de segurança, falha de permissões, na real, lá no serviço. E eles mandaram um código não malicioso, que não causa mal nenhum, os caras que fizeram. Chama “Hacked Machine Readme.gcode”. G-code é a extensão dos arquivos que a gente manda com as instruções de impressão para a impressora. É o que a gente gera no fatiador. É o modelo que tu mandas para ela. Não, são as instruções de impressão. O G-code são as instruções de impressão. É um formato, é uma linguagem para tu descreveres os movimentos da impressora, inclusive o material que ela tem que
(1:11:22) usar e tal. E aí, o que acaba acontecendo? Tu achaste ela? Sim. Deixa eu ver aqui. Deixa eu copiar. R$2.600. É, olha aí. Estás achando no Mercado Livre. É bonitinha. Mas aí, o que acontece? É que daí, no texto… Troquei a… Não, é aqui mesmo. Eles botaram no texto, dentro do arquivo, isso aqui. Então, se tu abrires, os caras avisavam: “Sua impressora tem uma vulnerabilidade e tal, corrige, desliga da internet”. Dava as instruções. Mas o que isso aqui
(1:12:01) tem a ver com o caso da Microsoft que tu comentaste antes? Eles notificaram a Anycubic do problema e a Anycubic não respondeu, ignorou. A velha história. Então, aqui, até eles dizem: “A gente tentou se comunicar com a Anycubic sobre os dois problemas de segurança críticos que foram encontrados. E, apesar dos nossos esforços nos últimos dois meses, nós não recebemos uma simples resposta aos nossos três e-mails”.
(1:12:51) Nenhuma resposta. Então, eles resolveram fazer isso. Eles atacaram, não sei se se chama de um ataque efetivamente, mas fizeram a prova de conceito de um ataque a uma quantidade bem razoável de impressoras que eles conseguiram acessar por meio do serviço, mandando esse arquivo. E depois jogaram na cara: “Ó, está aqui, esses caras estão com tudo furado e não estão nem aí para o serviço deles”. E aqui estão as duas soluções que eles indicaram para
(1:13:30) os problemas: implementar medidas de segmentação de rede para restringir acesso externo aos serviços. Então, você aí que tem o banco de dados exposto direto na internet, dá para conectar e tal, isso não é uma boa ideia. É o tipo de problema que se resolve com medidas de segmentação de rede, mesmo em nuvem. Tu crias redes separadas para recursos com níveis de segurança diferentes e restringes o acesso externo para não ter problema. Essa foi uma das “cacas” da Anycubic. E conduzir auditorias regulares
(1:14:03) e atualizações para sistemas, softwares e o servidor MQTT deles lá, para não poder furar a questão das permissões, ou seja, o envio de comandos para outras impressoras que não a tua impressora. E a Anycubic se desculpou pelo incidente. Claro. Depois que foi na mídia e alguém… Mas eles ainda não explicaram o porquê os três e-mails enviados pelos pesquisadores de segurança ao longo de dois meses foram ignorados. Eu vou dizer: simplesmente ignorados. Não foi deles. Eu simplesmente estou colocando “simplesmente ignorados”, mas está aí.
(1:14:41) Outra coisa ligada na internet, que até algum tempo atrás a gente até ligava… Para quem saca aí um pouquinho de impressão 3D, às vezes tu ligavas num Raspberry ou num computador mesmo, no Raspberry usava o tal do OctoPrint, para a gente ter algum controle remoto, com uma interface web da tua impressora, para não ter que ficar lá só no painel da impressora, que também é muito chato. O painel da impressora em geral é ruim. É ruim de lidar, a usabilidade не é legal. Então é melhor tu pegares uma página web e
(1:15:13) tal. Até um tempo atrás, era essa a solução. Agora, as impressoras estão vindo tudo conectada. Ligou, conecta no Wi-Fi, configura no celular. É aquele problema que a gente passa por eras de discussões. A gente já está há 12 anos fazendo isso, então a gente já viu eras e eras de hypes de algumas discussões. Após a proteção de dados, que, claro, ainda é um tema bastante discutido, óbvio, você tem a IA. Então, hoje, as pessoas só querem discutir IA e tudo mais. Só que antes também, ou contemporâneo ali à proteção de dados, nós temos também todo o problema do IoT. Lembra do Big Data? Ninguém fala mais
(1:15:53) de Big Data. Sim. Só IA. E a poxa… Só que nós temos outros problemas ainda que estão aumentando, que são isso aí. É a IoT, a Internet das Coisas. É uma impressora que tu tens, que fica ligada na internet. Então, aquele velho problema também de você atualizar equipamentos que você consegue ligar na internet, mas a empresa para de atualizar, as coisas deixam de funcionar. A própria obsolescência programada, a impossibilidade de você arrumar. Então,
(1:16:33) são coisas que giram em torno desse problema mais ou menos que você colocou. Porque o fato de eles não responderem é muito preocupante. Você paga, poxa, R$2.700 é um valor considerável por um bem de consumo. Eu acho que para qualquer pessoa é um valor alto. Então você espera uma certa… Não depende. Tem que ter cuidado. Não depende. Tem quem compre perfume a esse preço na promoção. Não, eu sei, mas é um valor alto, em geral, para 95% da população é um valor considerável. Para um bem que não é essencial,
(1:17:09) por exemplo. Você paga um valor desse por um celular, por exemplo, você vai usar muito mais do que uma impressora 3D. Claro, tem gente que trabalha com isso e tudo mais. Mas só para destacar essas ondas de temas que a gente tem, e meio que as pessoas se esquecem que aqueles temas estão lá, ainda precisam ser estudados. Ainda tem Big Data, ainda tem proteção de dados, ainda tem IoT, tem que ser mantido. Ainda tem spam. Eu me lembro de quando eu comecei a estudar Direito e Tecnologia, os problemas eram muito peculiares. Então você tinha, obviamente,
(1:17:39) responsabilidade civil, você tinha, obviamente, propriedade intelectual de maneira geral, mas um dos temas… Você tinha até livros sobre o spam. Spam era um problema para o Direito. E hoje, não. Hoje é praticamente um não-problema. Já se transformou, foi meio que resolvido. As ferramentas meio que resolveram o spam, pelo menos… Isso vale dinheiro. Não é de graça, porque tem um e-mail também. Mas, Guilherme, eu queria dar um recado, então, para os nossos ouvintes e para os internautas que nos acompanham, antes do Café Expresso.
(1:18:12) Exatamente. Se você se interessou por aquela placa da NVIDIA lá na Kabum!, ou se interessou pela impressora que tem no Mercado Livre, compre. Desconto nenhum, porque a gente не tem nenhum tipo de cupom para lhe indicar, nem nada parecido. Lamento. A gente pede novamente que você preencha, se você chegou até aqui, preencha a nossa pesquisa. Por favor. E também participe mais do podcast. A gente tem também o nosso grupo lá no Telegram, redes sociais, e-mail. Então, participe. A gente gosta quando você participa, envia suas dúvidas, suas mensagens,
(1:18:55) suas discordâncias, por que não? Este é um espaço, ao contrário de outros aí que as pessoas brigam e se degladiam, aqui é um espaço aberto de discussão. A gente não briga. Não, mas a gente aceita. Eu já estou iniciando… Já começou. Tem um amigo, tem um amigo aqui, há muitos anos atrás, ele me contando que ele brigou com a namorada. E não é que ele brigou. Ele chegou de boa para terminar com ela. E assim: “Fulana, seguinte, eu quero… não quero mais
(1:19:37) continuar namorando, eu quero terminar nosso relacionamento porque a gente не tem nada a ver, a gente não concorda com nada”. E ela: “Eu não concordo”. E ele: “Viu?”. Essa é a história que ele conta. Claro que deve ter um floreio… Não, não, é uma piada, mas em cima de um caso real, uma situação real. Eles não combinavam com nada, com nada. E um dia ele disse: “Olha, a gente não concorda com nada, a gente não consegue conviver, a gente não consegue fazer nada porque a gente не fecha em nada”. E ela: “Eu discordo”. A resposta é
(1:20:13) essa. Eu discordo. Boa. Café Expresso e Café Frio, Vinícius. O meu Café Frio vai para essas empresas que, apesar de notificadas, не tomam nenhuma ação, tipo a Anycubic da vida, a Microsoft, quando o cara já avisou. Mas, assim, lembrando que isso não é exclusividade nem da Microsoft, nem da Anycubic. E a gente já teve assim, várias e várias histórias. A Oracle já teve coisa assim. Agora, lembrar de puxar o fio, mas tem um monte de casos que a gente já viu ao longo desses anos, de pessoal sendo notificado e só fazendo alguma coisa
(1:20:54) depois que vem a público. Inclusive, nós temos um episódio que eu lembro que a gente gravou sobre isso, que é um episódio sobre essa questão do disclosure, notificações. Notificações de vulnerabilidade. Sim. Deixa eu pegar aqui que eu já vou… Notificação… Aqui, ó, Vinícius. Eu falei sobre IoT antes, lá em 2019 a gente gravou, eu tinha esquecido. 213, “As 10 principais vulnerabilidades da IoT”. Está aqui para o pessoal que falou sobre IoT. Está aí. Beleza. Mas esse do “Comunicando Vulnerabilidades” é o 157, de 2018. Mas a gente не tem um sobre
(1:21:40) o disclosure também, além do comunicando? É esse aqui que a gente comenta. É esse aí que a gente falou da reação. Tem o “Reagindo à Comunicação de Vulnerabilidades”. Então, 157 foi comunicando. Está aí na tela agora. “Reagindo” é o 50. Aqui no… aqui tem o link. “Reagindo”, inclusive, tem dois links juntos aqui, ó. Aqui no episódio 157, tem, além do 50, que o Guilherme já está indicando para vocês, deixa eu aumentar um pouquinho a fonte para quem está vendo no YouTube. Além do 50, que é “Reagindo a Comunicações de Vulnerabilidade”, a gente tem o episódio
(1:22:15) 41, que é “Um incidente de segurança do Banco do Brasil que aconteceu em 2014”. E a gente tem “Um incidente bancário de 2016”. Também fala um pouco dessa reação aí. Então, a gente não disse qual foi o banco. Nem que nos matem a gente não abre a boca. Descubra. Não saiu. E aqui, ó, 111. E o 50 está aqui, ó, “Reagindo a Comunicações de Vulnerabilidade”. Nem imagem tinha na época, não tinha capinha específica do episódio. É dos antigos ainda. Está até quebrado o link do Share para mim, pelo menos. Mas está aí,
(1:22:51) episódios que são bem interessantes, pelo menos na nossa opinião. Vale a pena. Enfim, Guilherme, o Café Frio vai para esse pessoal. O meu, acho que sim, também. Talvez a questão da IA, da não resposta lá do… ao funcionário. Lembrando que isso é uma questão de resposta a incidentes, porque você… Pode não ser um incidente, mas você precisa ter, a sua empresa precisa ter um canal para responder e avaliar essas questões. Porque pode… a grande maioria das coisas pode ser bobagem, mas você pode ter coisas muito sérias
(1:23:29) entrando ali por aquele canal. E aí, aquilo se conecta. Esses canais de comunicação que vão servir tanto para comunicações gerais como para comunicações de vulnerabilidade ou de incidentes também vão se encaixar no processo de gestão de vulnerabilidades. Então, isso é importante. Meu Café Frio vai para eles também. O meu Café Quente, é o Café Expresso, vai para o edital de 100 milhões para as mulheres na computação. É isso que a gente espera. A gente espera que cada vez mais as mulheres estejam nesse ambiente, ocupando os lugares que são delas. Então, é claro, não é o
(1:24:07) suficiente, isso, mas é um caminho interessante. Mais uma das ações, das pequenas ações que são necessárias e que devem ser feitas. Sem dúvida. Eu te acompanho no Café Expresso. Sem dúvida nenhuma. E era isso, Guilherme. Nos encontraremos. Ficaremos aqui com 10 anos… A gente teve umas diferenças de prazos aqui, então vamos ter que ajustar qual vai ser. Vou ter que ver isso aqui depois também. É porque às vezes não alinha direitinho. A gente perde ou, às vezes, talvez a gente esteja gravando mais agora do que
(1:24:48) naquela época. Então vamos ter que ajustar aqui isso depois. Esperamos vocês no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima. Beleza. Deu tudo certo a gravação dessa vez, не perdemos nada. Ótimo. Show de bola. Placa de vídeo… Essa placa de vídeo aqui, eu não sei se isso aqui para jogo é legal, não sei se funcionaria. Não sei se é mais para deep learning mesmo esse negócio. Porque para jogo, até onde eu sei, tem as 4090. Se tu olhares uma 4090 aí, é na faixa
(1:25:26) do que também serve para fazer umas brincadeiras nesse sentido, mas é mais para jogar mesmo. Dá 12 paus, 13 paus uma 4090. Mas essa outra placa que a gente viu, ela não é para jogo. Cara, aí eu sou ignorante nesse sentido. Para mim, a linha da NVIDIA para jogo que tu vais encontrar aí são essas linhas tipo as 3070. Claro, daí tem 50, 60, 70, 80 e as 90. Mas são a série 30, a série 20… É, de fato, tens razão, Vinícius. Aqui a descrição deles é a seguinte: “Equipada com a arquitetura NVIDIA
(1:26:08) Lovelace, que é um novo patamar de produtividade profissional, a NVIDIA tal combina os mais altos níveis de renderização, visualização, IA e desempenho de computação disponíveis em placas gráficas. Fornece capacidade para gráficos e visualizações massivos, renderização fotorrealística em tempo real, ambientes imersivos, computação poderosa e criação e implantação de soluções de IA”. Deve rolar para um jogo. Deve. Mas aqui, imagino que ela seja… Tu tens razão, é uma coisa mais para outras funcionalidades. É, até porque o preço é meio…
(12:6:47) Se vocês procurarem, quem está nos vendo no YouTube, deve procurar no YouTube mesmo aí, “RTX 6000 Ada Gaming Test”. Vocês vão encontrar uns canais, o pessoal botando ela contra jogos em 4K e tudo mais. O negócio é violento mesmo, pelo visto. É violento. Enfim. Essa é uma coisa que eu vou só ver no YouTube mesmo, não vou ver na real. Está certo. Hora do almoço. Isso aí, cara. Vamos lá. Grande abraço para o pessoal. Falou. Um abração, até mais. Tchau, tchau.
Podcast: Play in new window | Download
Subscribe: RSS