O hype desta semana é o novo modelo da Anthropic — Claude Mythos! Ele foi aperfeiçoado para código de computador. Especificamente, para encontrar brechas de segurança.
A Anthropic não disponibilizou o Mythos ao público. É poderoso demais para geral!
O hype é muito idiota e tem muita gente ingênua engolindo press releases inteiros. Mas hoje, faremos apenas uma pergunta: o Mythos faz o que promete?
Havia alguns meses que os mantenedores do GrapheneOS, uma versão alternativa e focada em segurança do Android, falavam de uma parceria com uma grande fabricante. Nesta segunda (2), no Mobile Web Congress (MWC), descobrimos quem é a parceira: a Motorola Mobility.
Se você pedir a um chatbot de IA um número aleatório de um a dez, ele geralmente escolherá o sete:
O GPT-4o-mini, Phi-4 e Gemini 2.0, em particular, parecem muito mais restritos nessa faixa, escolhendo “7” em cerca de 80% dos casos totais.
Sete é conhecido há muito tempo como o número favorito das pessoas quando perguntadas por algo que soe aleatório. De 1976:
Uma falha crítica foi descoberta no Bloco de notas (CVE-2026-20841). Aquele editor outrora simples do Windows, que só exibia texto puro, sabe? Que a Microsoft maculou com Markdown (vetor desta falha), Copilot e sei lá mais o quê? Um invasor poderia colocar um link malicioso em um arquivo Markdown que, ao ser clicado pela vítima, executaria códigos remotamente. Uma correção foi disponibilizada pela Microsoft nas atualizações de rotina, liberadas nesta terça (10).
densediscovery.comViver, em 2026, consiste em guerrear com outras pessoas em múltiplas frentes, o que se normalizou chamar de “competição”. Vale para tudo e sempre gera um efeito paradoxal: o acirramento da nossa guerra privada do dia a dia piora a vida de todo o mundo.
Na última edição da newsletter australiana Dense Discovery, Kai chamou a atenção ao livro Trapped: Life under security capitalism and how to escape it (algo como “Preso: A vida sob o capitalismo de segurança e como escapar dele”), de Setha Low e Mark Maguire.
Os autores argumentam que a “segurança se transformou de um direito inalienável em uma commodity acumulada por quem pode pagar”, estimulada por uma indústria que não para de inventar tranqueiras e softwares cada vez mais invasivos sob uma promessa que jamais é cumprida. Esse mercado macabro não gera mais segurança; gera medo:
Quanto mais você securiza sua vida, mais essas cercas, portões e guardas deixam sua vida pautada pelo medo em vez te deixar com menos medo. E assim, à medida que o medo cresce, você quer mais segurança, compra mais dispositivos, apoia todos os tipos de iniciativas de policiamento.
O paradoxo aparece quando se tira a cabeça do próprio umbigo. O aparato, ilusório em essência, no fim deixa o mundo pior para todos:
“[Isso cria] uma profecia auto-realizável de pessoas com medo querendo mais segurança e o estado e a iniciativa privado produzindo-a, apenas para tornar o mundo mais temeroso para alguns e desprotegido para outros.
Penso nisso sempre que passo por muros com cercas elétricas e arames farpados, condomínios residenciais de alto padrão, câmeras de segurança, policiamento ostensivo. O que significa que tenho pensado muito, e cada vez mais, no assunto.
malwarebytes.comO blog da Malwarebytes faz o alerta de uma nova onda de extensões de navegadores comprometidas. A técnica usada, chamada esteganografia, é engenhosa:
O uso de código malicioso em imagens é uma técnica chamada esteganografia. Extensões antigas da [campanha] GhostPoster ocultavam o código do carregador JavaScript dentro de ícones
*.png, comologo.pngem extensões do Firefox como a Free VPN Forever, usando um marcador (por exemplo, três sinais de igual) nos bytes brutos para separar os dados da imagem do carregamento [código malicioso].Variantes mais recentes mudaram para incorporar o carregamento em imagens arbitrárias dentro do pacote da extensão, depois decodificando e descriptografando-as na hora de execução. Isso dificulta bastante a detecção do código malicioso pelos pesquisadores.
Um grupo de pesquisadores encontrou 17 novas extensões contaminadas no Firefox. Elas têm nomes atraentes, como “Ads Block Ultimate” e “Youtube Download”.
É compreensível o foco de atores mal intencionados nas extensões de navegador. Elas têm acesso privilegiado ao aplicativo mais íntimo que usamos no dia a dia, atualizam automaticamente e, salvo poucas exceções, não têm marcas fortes — creio que se pesquise por extensões mais pela finalidade do que por nomes. Outro problema é o mercado de compra e venda de extensões populares, que mudam de dono sem qualquer transparência.
Uma boa maneira de mitigar danos é limitar-se às extensões endossadas pelas lojas dos navegadores. No Fiefox, elas têm um selo “Recomendado”. Na do Chrome, extensões revisadas pelo Google ganham um selo verde “Em destaque”, segundo a ajuda da loja. Nos resultados da busca, é possível filtrá-los para exibir apenas extensões em destaque.
g1.globo.comEm seu blog, a jornalista do G1 Julia Duailibi diz que a Polícia Federal usa um equipamento que quebra senha mesmo com celular desligado
, o que estaria causando pânico entre os engravatados de Brasília.
Como funciona esta maravilha tecnológica?
A tecnologia da PF não permite meio-termo: ou se extrai tudo, ou nada. Segundo a apuração do blog, os peritos “baixam” o conteúdo integral do dispositivo para depois analisá-lo. Isso significa que conversas, fotos, e-mails e registros antigos, mesmo que não relacionados diretamente ao caso, estarão expostos aos investigadores. É essa devassa total em aparelhos de figuras tão conectadas que explica o clima de terror na capital.
Não explica muita coisa. Palpites?
O APOIA.se avisou, em mensagem enviada por e-mail (e só, aparentemente), o vazamento do nome completo, e-mail, endereço de entrega e identificadores internos de quem faz ou já fez apoios pela plataforma. A falha foi identificada no dia 6/1. A empresa afirmou que os dados vazados “não revelam diretamente quais campanhas você apoiou, seus interesses ou preferências”.
Tem alguém aí? 👀
Tive uma ideia para ressuscitar este podcast: comentar um ou outro link dos que publico nas listas diárias de links no blog do Manual. Será que vai funcionar? Você me diz!
***
Conheça o novo Affinity (vídeo, em inglês).
A estratégia do Canva para o Affinity: gente normal acima dos profissionais (em inglês).
***
NewPipe completa 10 anos :O (em inglês).
Download do NewPipe no GitHub ou no F-Droid (mais fácil).
yt-dlp: Um downloader de áudio/vídeo de linha de comando rico em recursos.
***
Sobre o vazamento das senhas de 183 milhões de contas do Gmail.
Na mesma linha da pauta “celulares em que o WhatsApp deixará de funcionar”, sites de notícias brasileiros parecem ter descoberto uma nova fonte de cliques perene na editoria de tecnologia: milhões de senhas vazadas do Gmail.
Há, de fato, um banco de dados do tipo rolando na internet, criado por um estudante de graduação nos Estados Unidos. Troy Hunt, que administra o Have I Benn Pwnd, um repositório de vazamentos, analisou os dados e constatou que “apenas” 8% das senhas, cerca de 14 milhões, são novas. O que é compreensível, dado que o banco foi criado agregando dados de várias fontes e vazamentos anteriores.
A principal mensagem que uma notícia dessas passa não é “sua senha do Gmail pode ter vazado”, mas sim que “as suas senhas, qualquer uma delas, pode vazar a qualquer momento”. Não para fazer terrorismo, mas sim para ajudar na conscientização de boas práticas de segurança digital.
Quais? Para esse caso, duas básicas:
É possível verificar se suas senhas vazaram jogando seu e-mail no Have I Been Pwned. Se ele aparecer, não há motivo para pânico: troque a senha e ative um segundo fator de autenticação. O Google explica como fazer isso no Gmail.
Google
via Android Developers Blog
Segurança digital é o que resulta do equilíbrio entre defesas e conveniência. De nada adianta blindar-se completamente se o acesso a seus espaços particulares é difícil; por outro lado, uma senha fácil de lembrar (123456, por exemplo) é quase o mesmo que não ter senha.
Este Manual sempre pendeu para o lado da blindagem, às vezes dificultando um bocado situações em que um desfecho ruim (invasão, perda/roubo de dados) é improvável. Em 2024, fiz uma correção de curso que prometi compartilhar. Cá está essa atualização.
Por falar em reconhecimento facial, ouvi com grande interesse o podcast O Assunto desta segunda (19), que trata do… assunto, e terminei a audição um pouco decepcionado.
A face do risco: o rosto como senha
O Assunto
Gostei da crítica que o Ronaldo Lemos, um dos entrevistados, fez à banalização do uso do rosto como senha. Quando a Natuza pediu dicas de prevenção contra golpes que exploram brechas do reconhecimento facial, a primeira que Ronaldo deu foi evitar expor seu rosto a esse sistema, o que é meio óbvio e, ao mesmo tempo, muito difícil em vários casos — um deles comentado pelo próprio Ronaldo minutos antes, que admitiu que quando precisa entrar em um prédio que exige reconhecimento facial, acaba cedendo.
As dicas de segurança do outro convidado, Álvaro Massad Martins, me pareceram meio anacrônicas, como “criar senhas com pelo menos dez caracteres” (que tal indicar gerenciadores de senhas e não se preocupar com isso?) e VPN para “navegar com segurança em redes públicas”, o que é dispensável com HTTPS onipresente e, de qualquer modo, está longe de ser uma panaceia.
Ao fim do podcast, continuei incomodado com a banalização e sem saber muito bem o que fazer. Dicas?
Notou algo diferente na imagem acima? Desde o Safari 18.4, lançado no final de março, o navegador web da Apple não exibe mais o ícone do cadeado.
Só os deuses sabem quantas vezes cliquei naquele ícone — todas elas, sem querer, o que abria um popup chato no meio da tela. Detalhes da UI que aumentam a qualidade de vida 🙏
A justificativa do WebKit se desdobra em duas: 87% de todas as conexões já são feitas pelo HTTPS, ou seja, conexões seguras são o normal; e “a presença do [ícone do] cadeado poderia estar criando uma falsa sensação de segurança, se os usuários acreditassem que ele está lá para sinalizar que o site é confiável”. Dei esse alerta no já distante ano de 2018.
O Firefox, até a versão 138, pelo menos, ainda exibe o cadeado. O Chromium, base do Chrome, escondeu o ícone do cadeado em maio de 2023.
O criador do cURL, Daniel Stenberg, subiu barreiras contra a avalanche de relatórios de segurança produzidos por ou com a ajuda de inteligência artificial generativa. Além do volume, eles são inúteis: “Ainda não vimos um único relatório de segurança válido feito com a ajuda da IA.”
A maioria dos usos inadequados de IAs já era possível antes. O que muda com a IA é a escala da coisa.
