O Problema do Controle de IA

O curl Está Afogado em Relatórios de Segurança Feitos por IA, e o Custo É Humano

TV
Thiago Victorino
6 min de leitura
O curl Está Afogado em Relatórios de Segurança Feitos por IA, e o Custo É Humano

Em 26 de maio de 2026, Daniel Stenberg, fundador e mantenedor principal do curl, publicou um texto intitulado “The Pressure”. Não é um manifesto. Lê-se como um relatório de status de alguém que está cansado. Ele agora recebe mais de um relatório de segurança por dia. Isso é quatro a cinco vezes o volume que via em 2024, e o dobro do que viu em 2025. Boa parte é assistida por IA, o tipo de relatório que parece plausível, cita uma função real e desmorona no instante em que um humano que entende o código o lê com atenção.

Aqui está a parte que deveria fazer você parar. Enquanto o volume subiu de quatro a cinco vezes, a severidade real ficou estagnada. O curl tem 12 CVEs confirmados pendentes e projeta cerca de 30 para todo o ano de 2026. O último relatório classificado como HIGH foi em outubro de 2023. Ou seja, o sinal não cresceu. Só o ruído cresceu.

Esta é a ruptura do lado da demanda no open source, e o curl é a fonte primária mais clara que temos dela.

Volume em Alta, Severidade Estagnada: O Formato do Problema

Já escrevemos antes sobre a crise de duas frentes que atinge a cadeia de suprimentos de software, em que a IA pressiona o open source tanto pelo lado da contribuição quanto pelo lado do consumo. Aquele ensaio fez o argumento de forma abstrata. O texto de Stenberg é o argumento feito carne, com datas e números anexados.

Olhe a assimetria diretamente. Relatórios por dia: mais de um. Crescimento ano a ano: quatro a cinco vezes desde 2024. Achados sérios confirmados: estagnados. Quando o custo de produzir um relatório de segurança cai para perto de zero, o volume de relatórios sobe para perto do infinito, e a fração deles que importa cai para perto de zero. A economia não é sutil. Um modelo de linguagem rascunha um relatório em formato de CVE em segundos. Ele não consegue, sozinho, dizer se o relatório é real. Essa verificação ainda custa, a um ser humano, a leitura completa do código relevante.

Então o mantenedor absorve todo o excedente. Cada relatório de baixa qualidade ainda precisa ser aberto, lido, pensado e refutado, muitas vezes com uma explicação por escrito, porque quem reportou pode estar agindo de boa-fé e pode também ser um pesquisador real em um dia ruim. Não dá para sair disso rejeitando tudo automaticamente sem, em algum momento, rejeitar aquele relatório em trinta que teria importado.

O curl não é um projeto paralelo. Ele roda em cerca de 30 bilhões de instalações. É uma base de código de 30 anos que está embaixo de carros, celulares, sistemas de pagamento e da maior parte do encanamento da internet. A pessoa que lê esses relatórios trabalha mais de 50 horas por semana, sete dias por semana. O substrato sobre o qual o mundo roda está sendo defendido por alguém que a curva de volume tenta ativamente soterrar.

Isto Não É um Problema de Triagem

A resposta reflexa é correr para um filtro melhor. Adicione um CAPTCHA. Exija uma prova de conceito. Cobre um depósito. Treine um classificador para pontuar os relatórios que chegam. Stenberg já tentou versões disso, e os programas de bounty têm suas próprias regras. Filtrar ajuda na margem. Não toca a raiz.

A razão pela qual o filtro falha como resposta é estrutural. Todo filtro que você adiciona para rejeitar o lixo também adiciona uma etapa que um reportante legítimo, nervoso e de primeira viagem precisa transpor. Eleve a barra alta o bastante para parar a enxurrada e você também para o pipeline de divulgação responsável de que a segurança depende. O mantenedor fica preso otimizando um único botão entre dois modos de falha: afogar-se no ruído, ou silenciar o sinal. Não existe posição nesse botão que resolva o problema, porque o problema não é o botão.

O problema é que um único humano é a única camada de verificação, e esse humano não é pago ou é mal pago em relação ao valor que protege, e não há organização nenhuma por trás dele. Quando um time corporativo de segurança fica soterrado, ele contrata. Quando o curl fica soterrado, Stenberg trabalha no fim de semana.

Essa é a exposição real, e ela não é técnica. É a ausência de uma instituição.

O Bote Salva-Vidas Que Falta

Alguns projetos open source ficam sob um guarda-chuva. A Cloud Native Computing Foundation, a Apache Software Foundation, a Linux Foundation: elas dão ao projeto cobertura jurídica, canais de financiamento e, decisivamente, uma forma de converter pressão de demanda em capacidade contratada. Projetos independentes como o curl não têm nada disso por padrão. Não há bote salva-vidas. Quando a onda vem, o mantenedor nada.

Isso conecta com um tema que traçamos em slop de software e a governança da atenção: a IA não apenas gera saída de baixo valor, ela redireciona a atenção humana escassa para a tarefa de triar essa saída. Cada hora que Stenberg gasta refutando uma não-vulnerabilidade rascunhada por IA é uma hora não gasta consertando uma real, orientando um contribuidor ou descansando. O custo não é abstrato. É medido em burnout, e burnout em um projeto de mantenedor único é um risco de cadeia de suprimentos para todos rio abaixo. Quando o mantenedor para, 30 bilhões de instalações herdam o silêncio.

A verdade incômoda para as empresas que dependem do curl é que elas terceirizaram uma função estrutural para um voluntário e nunca a colocaram em contrato. Elas rodam o curl em produção. Entregam-no aos clientes. Nunca enviaram um dólar ou uma hora de engenharia para a pessoa que o mantém seguro. Esse arranjo funcionou enquanto o volume era administrável. A IA acaba de tornar o volume inadministrável, e a conta agora está visível.

O Que Governança Significa De Fato Aqui

Se você lidera um time que constrói sobre open source, e quase todo time constrói, a pergunta de governança não é “como triamos relatórios gerados por IA”. É “financiamos os humanos de que o nosso stack depende”. São perguntas diferentes, com donos diferentes. A primeira cai no colo de um engenheiro de segurança. A segunda cai no colo de quem controla o orçamento.

A solução que escala é comercial. Financiamento. Contratos de suporte. Tempo pago de mantenedor. Uma instituição disposta a converter um item recorrente de orçamento em capacidade contratada de verificação, para que uma enxurrada de relatórios encontre um time em vez de uma única pessoa exausta. O curl já oferece suporte comercial através da wolfSSL, que é exatamente o mecanismo que isto pede. As empresas que entregam 30 bilhões de instalações poderiam financiar essa capacidade muitas vezes e não notariam o custo em seus balanços.

Esta é a mesma lição que a crise de duas frentes da cadeia de suprimentos apontou, agora com nome e rosto. Governar o ruído de IA não é apenas uma disciplina de filtragem. É uma disciplina de financiamento. Você não consegue automatizar a saída de um problema cuja única solução real é pagar um humano para continuar verificando.

Faça Isto Agora

Três movimentos, na ordem de quem é dono deles.

Inventarie a sua dependência. Liste os projetos open source sem os quais o seu produto não consegue ser entregue. Para cada um, responda a uma única pergunta: ele é sustentado por uma instituição, ou por uma pessoa? Se a resposta for uma pessoa, você tem um risco de concentração que nenhum contrato atual cobre.

Financie os que sustentam a estrutura. Escolha os projetos dessa lista que não têm organização guarda-chuva. Monte um patrocínio, um contrato de suporte ou tempo pago de mantenedor ainda neste trimestre. Para o curl especificamente, existe suporte comercial via wolfSSL. O custo é trivial diante do custo de o mantenedor ir embora.

Governe o seu próprio reporte. Se o seu time de segurança envia relatórios para projetos upstream, garanta que um humano verifique cada um antes que ele saia. Não seja a fonte da enxurrada de outra pessoa. A disciplina que você quer que os outros tenham começa nos relatórios que você envia.

Os times que continuarão seguros nos próximos dois anos não são os que têm os melhores filtros de triagem. São os que trataram os humanos sob o seu stack como infraestrutura, e pagaram por eles como infraestrutura, antes de a onda chegar.

Fontes

A Victorino ajuda equipes a governar o ruído gerado por IA que inunda seus fluxos de segurança e revisão: contato@victorino.com.br | www.victorino.com.br

Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa