Coleção de caos na estação de transferência de tokens: após estudar, eu simplesmente não me atrevo a usar nem um pouco

Nada

A situação é a seguinte.

Há dois dias, eu estava mergulhado num grupo de desenvolvedores, ouvindo todo mundo animado discutindo como comprar chaves de API baratas, aquelas que na venda de garagem custam alguns trocados e podem gerar bilhões de tokens.

Todos reclamando, dizendo que sentem que o modelo que tinham foi trocado, suspeitando que o administrador está furtivamente misturando modelos menores para enganar os clientes.

Naquele momento, ao ler essas conversas, só tinha uma ideia na cabeça…

Não, cara, vocês estão com a cabeça grande demais.

Ainda estão preocupados com a diferença de alguns trocados, enquanto o intermediário já pode estar vasculhando seu computador por dentro.

Qual é a gravidade da situação?

Sinceramente, usar um intermediário de baixa qualidade e pagar por um modelo adulterado, para mim, já é uma das operações mais éticas entre os que fazem negócios ilegais.

Pense bem: você envia uma solicitação de código complexa, esperando que o Claude, na sua versão mais poderosa Opus4.6, processe tudo de forma satisfatória, e o script de roteamento no backend, ao detectar, simplesmente manda para um pequeno modelo open source gratuito para te enganar. Ainda mais sujo, alguns manipulam a taxa de cobrança, fazendo parecer que você usou 100 unidades, quando na verdade eles cobram por 300.

Mas isso não é nada. Muitos administradores simplesmente usam cartões de crédito roubados para obter acesso gratuito, e assim que a conta é banida, eles desligam a conexão e desaparecem. Nem sequer há um fórum para reivindicar seus direitos. Quanto às suas conversas, eles afirmam que não guardam nada, mas na verdade já empacotaram tudo em um banco de dados de treinamento e vendem na dark web por peso.

Muita gente pensa: “Ah, é só um golpe pequeno, que vai me roubar umas grana, mas é barato, então tudo bem.”

Eu também pensava assim, até que vi um estudo de segurança de ponta recente, que me deixou de queixo caído.

Sério, muita gente ainda acha que os intermediários são só “chatbots de página web”. Acham que eles são apenas retransmissores de mensagens sem cérebro.

Mas os AIs de hoje já não são mais robôs de conversa simples. Na sua tela, você pode estar com o Cursor aberto, ou rodando o ClaudeCode, ou até criando lagostas.

Os AIs atuais têm mãos e pés. Eles podem ler seus arquivos locais, escrever códigos, e até executar comandos de sistema diretamente no seu terminal.

E aí, se você colocar uma URL base desconhecida no editor de código, a situação muda completamente.

Recentemente, um artigo do renomado pesquisador de segurança Chaofan Shou e sua equipe, chamado “Your Agent Is Mine”, revelou que eles invadiram mais de 400 intermediários no mercado.

E o que descobriram?

Prenderam 26 intermediários injetando código malicioso.

Como fizeram isso?

A explicação está numa falha fatal na arquitetura desses intermediários: eles funcionam como um homem no meio na camada de aplicação. Ou seja, toda comunicação com OpenAI ou Anthropic, ao passar pelo servidor do intermediário, é em texto claro.

Isso é extremamente perigoso…

Se você acompanha esse setor, pode imaginar a cena.

Você usa o Cursor para pedir que a IA escreva um script Python que analise logs do Nginx. O GPT-5 oficial, de forma honesta, devolve o código em JSON. Mas o dono do intermediário, ao ver isso, adiciona ao final do JSON uma lógica de backdoor, um trojan que cria uma shell reversa.

Seu cliente local não verifica autenticidade, aceita o JSON legítimo, e executa imediatamente no seu computador.

Tem também operações mais avançadas. Esses golpistas, que parecem honestos, conversam bem, e quando você pede que a IA configure seu ambiente de desenvolvimento, por exemplo, sugerindo instalar o pacote requests, eles detectam a tentativa, e silenciosamente trocam o nome do pacote para reqeusts. Com uma letra trocada, ao pressionar Enter, um pacote malicioso com ransomware ou minerador é instalado na raiz do seu sistema.

Fiquei boquiaberto.

Nos dados de testes divulgados pela equipe de pesquisa, 17 intermediários tentaram até mesmo roubar chaves de API de serviços AWS, que os pesquisadores colocaram de propósito. Na prática, alguém usou um nó malicioso e teve sua chave privada do Ethereum exposta, com dezenas de milhares de dólares evaporando instantaneamente.

Fiquei meio atordoado.

Vamos continuar: esse negócio é como uma floresta escura.

Muita gente sabe que, além de plataformas legítimas como OpenRouter, a maioria dos intermediários de baixo custo e duvidosos no mercado se sustentam por engenharia reversa, revenda de regiões, e uso de cartões de crédito roubados.

Muitos de nós, trabalhadores comuns ou programadores, confiamos na integridade desses profissionais do mercado negro para proteger nossos computadores com código fonte sensível e frases de recuperação de criptomoedas.

Como podemos nos proteger?

Não dá para simplesmente parar de usar essas ferramentas de IA.

Acredito que, para resolver de verdade, os fabricantes de modelos precisam agir na base. Atualmente, as APIs são como cartas comuns: o carteiro pode facilmente alterar o conteúdo.

Uma solução seria usar assinaturas digitais criptográficas, semelhantes a certificados HTTPS. As empresas de grandes modelos assinam seus códigos com uma chave privada oficial, e nossos editores locais verificam a assinatura ao puxar a chave pública de um domínio confiável. Se um intermediário tentar alterar alguma coisa, a assinatura é invalidada e a operação é bloqueada.

Sinceramente, não sei quando os fabricantes vão implementar esse mecanismo de verificação. Até lá, só nos resta pensar em formas de proteção.

Uma estratégia minha é usar conexão direta com os servidores oficiais, ou, pelo menos, passar a usar gateways confiáveis como OpenRouter, que tenham alta reputação.

Se você realmente quer economizar alguns trocados, tome cuidado com isolamento físico extremo.

Nunca rode esses serviços na sua máquina principal. Use uma máquina virtual ou um container Docker com restrições de rede. E, muito importante, desative qualquer modo de execução autônoma e sem supervisão nas configurações das suas ferramentas.

Sempre que usar um nó intermediário, assuma que cada comando que a IA sugerir no terminal é uma tentativa de ataque. Analise linha por linha, com olhos atentos, e nunca deixe passar sem verificar.

Deixo uma última dica de compromisso.

Se você realmente acha que o barato vale a pena, e quer usar só para conversar, escrever relatórios, editar textos ou traduzir, tudo bem. Mas nunca, jamais, insira sua chave nesses agentes que podem acessar seu terminal local!

E quanto à privacidade?

Sério, isso me lembra a frase do chefe Li, que foi duramente criticada na internet: “Os chineses preferem trocar privacidade por conveniência”. Pode parecer rude, mas se você estiver disposto a deixar suas conversas e códigos acessíveis a esses intermediários, por alguns trocados, é uma escolha sua.

Essa é a sua liberdade.

Mas, pelo menos, mantenha a porta do seu sistema fechada. Você pode mostrar seu diário ao hacker, mas nunca entregue a chave da sua casa.

A IA é uma ferramenta poderosa, que pode impulsionar sua produtividade. Mas, antes de decolar, feche bem as portas do seu sistema.

Leituras recomendadas

Guia de empreendedorismo em criptomoedas na baixa do mercado, parte 2: intermediários de tokens: troque tokens criptográficos por tokens de IA.