O Problema do Controle de IA

O Ano em que a IA Ofensiva Começou a Reescrever o Open Source

TV
Thiago Victorino
9 min de leitura
O Ano em que a IA Ofensiva Começou a Reescrever o Open Source
Ouvir este artigo

Abril de 2026 entregou, em pouco mais de uma semana, três sinais que descrevem a mesma física. A capacidade ofensiva da IA está compondo em ritmo que a postura defensiva, ainda presa ao relógio humano, não consegue acompanhar. O mercado respondeu, e a resposta não veio da camada técnica. Veio do modelo de negócio.

Vale a pena olhar os três na ordem em que aconteceram. Cada um isolado já seria notícia. Juntos, formam um arco.

A cadeia de exploração que não precisou de gente

No dia 13 de abril, o blog da Calif publicou um relato que merece ser lido linha a linha por qualquer pessoa que tenha uma televisão conectada à internet em casa. O Codex da OpenAI, operando em modo agente com acesso apenas a uma shell via tmux, ao código-fonte do firmware KantS2 da Samsung e a um ambiente de compilação cruzada para ARMv7, saiu de um ponto de apoio dentro do navegador da TV (uid=5001) e chegou a uid=0. Sozinho. Sem humano no laço depois do briefing inicial.

A descoberta foi prosaica, como costuma ser o trabalho de exploração quando bem feito. Uma regra de udev com MODE="0666" deixava o driver de kernel ntksys legível e gravável por qualquer processo. Esse driver aceitava endereços físicos diretamente do espaço de usuário e os repassava para vk_remap_pfn_range() sem validação de faixa. A partir daí, foi uma questão de ler o layout de memória em /proc/cmdline, encontrar a estrutura cred do processo do navegador na memória física e sobrescrever uid e gid para zero. A proteção de execução unívoca do Tizen, a UEP, não foi quebrada. Foi contornada, porque um ataque que sobrescreve dados não precisa executar código. O agente usou uma pequena envoltura baseada em memfd para rodar binários ARMv7 estáticos quando precisou, e seguiu em frente.

O ponto não é que a vulnerabilidade era exótica. Não era. O ponto é que a cadeia, do navegador à raiz, tinha seis estágios, e um único agente a compôs sem supervisão. Como já argumentamos ao olhar os cinco bugs do kernel Linux encontrados por IA, a questão nunca foi se máquinas iriam encontrar falhas mais rápido que humanos. A questão era quando isso começaria a valer mais que encontrar.

A concessão de modelo de negócio

No dia 14, um dia depois, Bailey Pumfleet, CEO da Cal.com, publicou um texto explicando por que, após cinco anos de código aberto, a empresa estava fechando o repositório. O gatilho citado foi o Mythos Preview da Anthropic, anunciado uma semana antes e responsável, entre outras coisas, por identificar autonomamente uma falha de SACK no TCP do OpenBSD que sobreviveu a vinte e sete anos de revisão humana, a um custo de menos de vinte mil dólares em computação.

Aqui é preciso uma nuance que a própria Cal.com compactou demais. O achado de vinte e sete anos foi uma negação de serviço no OpenBSD, via overflow de inteiro com sinal, até o momento sem CVE atribuído. Uma coisa séria, mas distinta de uma cadeia de execução remota. O outro achado do Mythos, a CVE-2026-4747, é um estouro de pilha no servidor NFS do FreeBSD, com aproximadamente dezessete anos de idade, esse sim com raiz remota. Pumfleet tratou tudo como “o kernel BSD” e falou em “exploits funcionais em questão de horas”. A evidência sustenta o espírito da afirmação, não a letra. Distinguir os dois achados importa, porque é a diferença entre o que uma auditoria pode verificar e o que vira apenas manchete.

Feita a ressalva, o gesto da Cal.com é real e relevante. O argumento de Pumfleet é que código aberto deixou de ser uma vantagem de revisão coletiva e virou um mapa entregue ao atacante. A Lei de Linus assumia que a atenção humana era o gargalo. Quando atacantes alugam mais atenção do que defensores conseguem mobilizar, publicar o código-fonte deixa de proteger e começa a expor.

Só que há um contrapeso no mesmo anúncio que vale sublinhar. A Cal.com publicou, no mesmo dia, a Cal.diy, um fork sob licença MIT destinado a hobbistas. A documentação do fork encaminha explicitamente usuários comerciais de volta ao produto pago. Se o risco de varredura por IA fosse genuinamente existencial, um fork público do mesmo domínio de negócio continuaria varrível. O enquadramento de “pura segurança” não sobrevive ao próprio espelho. O que sobrevive é um diagnóstico mais honesto. Segurança foi o acelerador de uma decisão comercial que já estava tomando forma. A Cal.com vinha monetizando camadas Teams e Enterprise havia dezoito meses. O fechamento do código completa esse arco, e usa o Mythos como justificativa defensável.

Isso não é acusação. É leitura de incentivos. Cal.com escolheu controle em vez de comunidade, e controle é, cada vez mais, o que o mercado compra. A pergunta interessante não é se o movimento foi sincero, é quantos outros virão, e se a narrativa de “segurança obriga” vai se sustentar à medida que o primeiro gesto é replicado por pares.

Sete dias que bloqueiam metade da história

No fim de março, Dani Akash publicou um texto de engenharia limpa, quase mínimo, que nos últimos dias ganhou circulação na proporção certa. A proposta é uma linha de configuração, minimumReleaseAge = 7 days, em Bun, npm v11.10+, pnpm v10.16+ ou Yarn 4 v4.10+. O efeito é bloquear a instalação de qualquer versão de pacote com menos de sete dias desde a publicação.

A cruzada do atacante moderno de supply chain é, em geral, um smash-and-grab. Comprometer a conta de um mantenedor, publicar uma versão envenenada, esperar que ela seja instalada em massa antes de ser puxada para fora do registro. O ataque contra o Axios em 31 de março ficou vivo por cerca de duas horas e cinquenta e três minutos. Em uma biblioteca com aproximadamente cem milhões de downloads semanais, presente em cerca de oitenta por cento dos ambientes de nuvem e código observados pela Palo Alto. Três por cento dos ambientes afetados executaram o payload.

Akash passou o filtro dos sete dias por vinte e um incidentes importantes de npm entre 2018 e 2026. Onze foram bloqueados integralmente. Axios, Nx/S1ngularity, tj-actions/changed-files, Ultralytics, Solana web3.js, Ledger Connect Kit, ua-parser-js, entre outros. Os dez que o filtro não pega, XZ Utils, SolarWinds, 3CX, node-ipc, event-stream, já eram categoricamente diferentes. São ataques de longa permanência, em que o agente paciente espera meses ou anos antes de detonar. Contra esses, o tempo não ajuda. Como mostramos na análise do supply chain em duas frentes, esse tipo de adversário exige procedência criptográfica, não apenas fricção temporal.

Vale ser honesto com as contraindicações. Sete dias de espera também atrasam correções legítimas de segurança. Um CVE crítico corrigido em menos de sete dias fica fora do alcance do defensor pelo mesmo tempo em que fica fora do alcance da maioria dos atacantes oportunistas. A política precisa de um mecanismo de exceção para patches de segurança triados, e precisa reconhecer que Go, Maven, Gradle e Composer ainda não têm equivalente. Uma organização poliglota não consegue impor a mesma regra em todo o stack, e isso vira um mapa de governança, não uma configuração.

O que esses três sinais desenham juntos

O padrão é desconfortável por sua simetria. A ofensa está compondo por automação. A defesa ainda roda em ciclos humanos. As respostas que chegam primeiro seguem duas direções. Ou se constrói um muro, como a Cal.com, removendo o código do campo aberto. Ou se introduz fricção, como os sete dias de Akash, tornando a janela do atacante pouco lucrativa.

Nenhum dos dois caminhos é permanente. Muros vazam, e fricções são absorvidas por adversários pacientes. Mas os dois apontam para a mesma conclusão, e essa conclusão já é um pilar do nosso trabalho. Governança de IA e cibersegurança viraram a mesma disciplina. Distribuição controlada, política explícita, portas de revisão, trilhas de auditoria. O Glasswing da Anthropic, com seus doze parceiros fundadores e cem milhões em créditos do Mythos, é a encarnação comercial dessa tese, e a Mythos não foi solta em público justamente para evitar a simetria de capacidades.

Há, é claro, uma nota importante antes de fechar. Postgres, Kubernetes, Linux, Django, Rails, React continuam abertos. A maioria do open source não fechou em abril. O que três sinais dizem é que um padrão começou, não que o mundo virou de cabeça para baixo em uma semana. O que já vimos quando um agente de IA vira a superfície de ataque sugere que o próximo ano será menos sobre capacidade de modelo e mais sobre modelo de distribuição.

O ponto para quem toma decisão agora é simples, e dói exatamente porque é simples. Se a sua organização ainda trata segurança como função separada da estratégia de produto, este é o ano em que essa arquitetura organizacional deixa de funcionar.

Fontes

  • Pumfleet, Bailey. “Why Cal.com is going closed source.” Cal.com, abril 2026.
  • dp. “Codex hacked a Samsung TV.” Calif Blog, abril 2026.
  • Akash, Dani. “The simplest supply chain defense.” daniakash.com, março 2026.
  • Anthropic. “Claude Mythos Preview.” red.anthropic.com, abril 2026.
  • Anthropic. “Project Glasswing.” anthropic.com/glasswing, abril 2026.
  • Trend Micro / SANS / Google Cloud Threat Intelligence. “Axios npm supply chain compromise.” abril 2026.

Ajudamos equipes a desenhar postura de segurança para a era da IA sem abandonar o open source por reflexo: contato@victorino.com.br | www.victorino.com.br

Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa