Esse post é uma atualização dos investimentos, o primeiro primeiro post está aqui.

Recapitulanndo, estou implementando uma estratégia de acumulação gradual (DCA) com aportes diários. O foco é construir um portfólio diversificado, com proteção contra inflação, desvalorização do real e crises sistêmicas, sem depender apenas de renda variável.

Nesse primeiro mês de investimento senti algumas dificuldades. Vamos lá!

Primeiro, ficar trocando de corretora cripto para tradicional é um saco.

No primeiro post, a divisão que escolhi foi com viés de proteção de patrimônio, horizonte de 10+ anos e desejo de ter parte do capital fora do sistema financeiro tradicional (offline/físico).

Mas isso não prática para mim não funcionou, quer ver?

Se você vê minha carteira, o que eu mais criei coragem e tive facilidade de investir foi em cripto. Primeiro por ser um entusiasta e também pela centralização da corretora, que estou usando Binance.

Para mim ficar mudando de corretora demora e me dá dor de cabeça, na outra corretora tradicional tive problema até para enviar e comprar tesouro e FIIs.

Então vou atualizar agora os objetivos.

🎯 Objetivo
Antes: Renda fixa de altíssima qualidade, com liquidez diária e proteção parcial contra inflação e juros.

Atualizado: Buscar rentabilidade a longo prazo e proteção parcial contra inflação e juros.

⚙️ Como aplico
Vou alocar 100% dos meus investimentos todos na Binance, deixando na corretora USDT e REAL (algumas moedas também, SOL, XRP…). Sei que centralizar tudo em uma exchange tem seus riscos, mas a agilidade na execução da estratégia de DCA hoje compensa esse risco para mim, desde que eu mantenha boas práticas de segurança (2FA, senhas fortes). O BTC estou tirando da corretora também.”

Acompanhe a carteira em tempo real!

Para total transparência, estou compartilhando o progresso:

• Carteira completa no Investidor10 (inclui Tesouro, dólar acumulado, ouro financeiro e rastreio geral):
  https://investidor10.com.br/wallet/public/1569385
  (Evolução mensal, aportes e alocação aproximada — atualizo conforme os aportes diários.)

Sinta-se à vontade para acompanhar, sugerir ou questionar. Feedback ajuda a refinar!

Próximos passos e ajustes planejados

Como vai funcionar nos próximos dias. Vou alocar investimento na Binance, e estamos criando um bot para realizaz DCA diário. Simples assim, investindo todo dia um pouco, acumulando cripto e quem sabe um dia vender.

O foco agora não é vender, é um dinheiro para não ser mexido nos próximos 10 anos, então vai ficar lá.

O que acham da estratégia? Muito arriscada? Deixem opiniões!

#investimentos #DCA #portfólio #bitcoin #ouro #tesouro-direto #dolar

Estive pensando nesses ultimos anos e nos próximos. Apostando em um cenário cada vez mais caótico até 2032, resolvi criar uma carteira de investimentos.

Estou implementando uma estratégia de acumulação gradual (DCA) com aportes diários, totalizando R$ 1.400 por mês (cerca de R$ 46–47 por dia útil). O foco é construir um portfólio diversificado, com proteção contra inflação, desvalorização do real e crises sistêmicas, sem depender apenas de renda variável.

A divisão que escolhi reflete meu perfil atual: conservador com viés de proteção de patrimônio, horizonte de 10+ anos e desejo de ter parte do capital fora do sistema financeiro tradicional (offline/físico).

Alocação mensal detalhada

• 10% em Bitcoin (BTC) → R$ 140/mês (~R$ 4,50/dia)
• 10% em Dólar → R$ 140/mês (~R$ 4,50/dia)
• 40% em Ouro → R$ 560/mês (~R$ 18/dia)
• 40% em Tesouro Direto → R$ 560/mês (~R$ 18/dia)

10% Bitcoin – R$ 140/mês

🎯 Objetivo
Ter exposição a um ativo de alta assimetria que funciona como reserva de valor digital, o principal “ouro digital” em 2026, com adoção institucional crescente e proteção contra expansão monetária.

⚙️ Como aplico
Estou comprando diretamente na Binance e transfiro imediatamente para uma carteira offline de papel (paper wallet) gerada em ambiente air-gapped. Nunca deixo saldo na exchange. Planejo migrar para multi-sig quando o montante crescer.

Cotação aproximada hoje (16/02/2026): ~R$ 357.000–359.500.

10% Dólar – R$ 140/mês

🎯 Objetivo
Proteção cambial contra desvalorização do real.

⚙️ Como aplico
Compro USDT na Binance (spot, sem alavancagem) até acumular ~R$ 1.000–1.500, depois converto para dólar em espécie (papel) via corretora de câmbio confiável. Evito acumular muito USDT na exchange e comparo sempre spread + IOF na conversão.

Cotação aproximada hoje (16/02/2026): ~R$ 5,22–5,23 comercial.

40% Ouro – R$ 560/mês

🎯 Objetivo
Principal hedge contra inflação e crises geopolíticas/econômicas — o ativo de proteção clássico.

⚙️ Como aplico
Acumulo no Banco Inter até ~R$ 1.000–2.000, depois converto para ouro físico (barras de 1g) em revendedora autorizada pelo Banco Central. Só compro ouro 999,9 com certificado e lacre original — evito joias pelo spread altíssimo. Acumulo aos poucos para diluir custos de armazenamento e risco de roubo. A liquidez é menor que ouro financeiro, mas a posse direta traz tranquilidade.

Cotação aproximada hoje (16/02/2026): Grama do ouro 24k ~R$ 839–840.

40% Tesouro Direto – R$ 560/mês

🎯 Objetivo
Renda fixa de altíssima qualidade, com liquidez diária e proteção parcial contra inflação e juros.

⚙️ Como aplico
Uso a corretora do Banco Inter (taxa zero para Tesouro) e faço aportes diários automáticos (ou quase diários) no título com melhor relação liquidez x rentabilidade no momento. Pretendo manter mínimo 5 anos para minimizar impactos da marcação a mercado. Atualmente priorizo:

• Tesouro Selic → para liquidez imediata e reserva de emergência parcial.
• Tesouro IPCA+ com vencimentos médios/longo (ex.: 2032, 2035, 2040) → para proteção contra inflação, com taxas reais atuais em torno de IPCA + 7,60–7,61%.

Evito prefixados puros se esperar corte de juros à frente (embora prefixados longos tenham rendido bem em 2025). A marcação a mercado afeta o preço diário (principalmente IPCA+ e prefixados), mas aportes diários suavizam. IR regressivo (22,5% → 15% após 2 anos) e IOF só em resgates < 30 dias.

Por que essa alocação?

60% offline/físico para proteção contra riscos sistêmicos (bancário, congelamento de contas, hiperinflação, blackouts digitais etc.).
40% Tesouro para liquidez, rendimento real e facilidade de gestão.
DCA diário reduz o impacto da volatilidade (especialmente BTC e ouro).

Acompanhe a carteira em tempo real!

Para total transparência, estou compartilhando o progresso:

• Carteira completa no Investidor10 (inclui Tesouro, dólar acumulado, ouro financeiro e rastreio geral):
  https://investidor10.com.br/wallet/public/1569385
  (Evolução mensal, aportes e alocação aproximada — atualizo conforme os aportes diários.)

Sinta-se à vontade para acompanhar, sugerir ou questionar. Feedback ajuda a refinar!

Próximos passos e ajustes planejados

Monitorar custos reais de conversão (spread USDT → papel, ouro digital → físico). Após 6–12 meses, avaliar se aumento a % em BTC ou ouro dependendo do cenário macro. Documentar tudo aqui na série — transparência ajuda a manter disciplina.

Próximo post: relato do primeiro mês completo de aportes diários + prints anonimizados da carteira.

O que acham da estratégia? Muito conservadora? Arriscada demais no offline? Deixem opiniões!

#investimentos #DCA #portfólio #bitcoin #ouro #tesouro-direto #dolar

As empresas estão lucrando com a lenta transição para o IPv6.

A IPv4.Global, empresa especializada em negociação de endereços IPv4, lançou um novo serviço: agora, proprietários de endereços IPv4 públicos podem usar IP como garantia para obter empréstimos. A mudança dá continuidade a uma tendência iniciada pela operadora Cogent, que em 2024 títulos de dívida emitidos no valor de US$ 206 milhões, garantidos por ativos na forma de endereços IP.

Este instrumento financeiro permite que as empresas levantem fundos: os investidores compram títulos, e o emissor recebe capital e se compromete a devolver o valor com juros. Se o tomador do empréstimo não pagar, os detentores dos títulos receberão endereços IPv4 como compensação.

Hoje, o custo de um endereço IPv4 no mercado secundário é de cerca de US$ 30, e o aluguel de grandes provedores de nuvem (por exemplo, AWS) custa US$ 44 por ano. No contexto de escassez de endereços e uma transição lenta para o IPv6, esses ativos permanecem extremamente líquidos.

O IPv4.Global decidiu comercializar o esquema usado pela Cogent e ofereceu créditos a todos os proprietários de blocos de endereços. O primeiro mutuário tornou-se operadora de data center que usou um empréstimo contra ativos IPv4 para expandir seus negócios de nuvem. A IPv4.Global está pronta para emitir empréstimos de até US$ 100 milhões e até mais para clientes adequados. As condições dependerão não apenas do valor da garantia, mas também da condição financeira do mutuário.

Caso o cliente não cumpra com as obrigações, a IPv4.Global planeja vender os endereços IP prometidos por meio de sua plataforma para recuperar os fundos emitidos. No entanto, vendas em larga escala podem levar tempo devido à alta, porém limitada, capacidade do mercado.

A IPv4.Global faz parte da holding financeira Hilco Global, que já atua em operações semelhantes em outros setores, incluindo factoring – financiamento contra contas a receber. Assim, o novo tipo de empréstimo se encaixa logicamente na estratégia da empresa.

Enquanto o mercado IPv4 continuar em demanda, esse esquema funcionará. No entanto, a necessidade de longo prazo desses empréstimos é questionável – a transição em massa para o IPv6, em que centenas de undecilhões de endereços estão disponíveis, mais cedo ou mais tarde tornará esse recurso menos valioso.

Descubra como investir em uma melhor experiência para desenvolvedores os libera para fazer o que é mais importante: criar um ótimo software.

Jonathan Carter, consultor técnico do CEO da GitHub, costumava odiar passar aspirador. Isso porque seu aspirador ficava no primeiro andar de sua casa e levá-lo para o andar principal era tedioso. Mas quando ele percebeu que podia simplesmente manter o aspirador onde precisava, a tarefa não foi tão difícil. Agora ele passa aspirador dia sim, dia não.

“O mesmo é verdade com a construção de software”, ele diz. “Quando construímos a experiência para capacitar o comportamento desejado naturalmente e sem esforço, obtemos um ótimo resultado.”

É disso que se trata a experiência do desenvolvedor (DevEx). DevEx — às vezes chamado de DevX ou DX — examina como a justaposição de desenvolvedores, processos e ferramentas afeta positiva ou negativamente o desenvolvimento de software. Neste artigo, exploraremos os principais componentes do DevEx e como sua otimização é essencial para o sucesso empresarial.

Vamos começar.

O que é experiência do desenvolvedor? DevEx se refere aos sistemas, tecnologia, processo e cultura que influenciam a eficácia do desenvolvimento de software. Ele analisa todos os componentes do ecossistema de um desenvolvedor — do ambiente aos fluxos de trabalho e ferramentas — e pergunta como eles estão contribuindo para a produtividade, satisfação e impacto operacional do desenvolvedor.

“Construir software é como ter um castelo de cartas gigante em nossos cérebros”, diz Idan Gazit, diretor sênior de pesquisa no GitHub. “Pequenas distrações podem derrubá-lo em um instante. O DevEx é, em última análise, sobre como lidamos com esse castelo de cartas.”

Com o DevEx, todos os aspectos da jornada de um desenvolvedor são questionados.

“A ferramenta está dificultando ou facilitando meu trabalho?” Gazit pergunta. “O ambiente está me ajudando a focar? O processo está eliminando maneiras pelas quais posso cometer erros? O sistema está me mantendo no meu fluxo — e me permitindo, com confiança, empilhar minhas cartas cada vez mais alto?”

Além disso, a forma como os desenvolvedores se sentem subjetivamente faz toda a diferença, o que pode ser avaliado por testes de usuários, pesquisas e feedback.

“O DevEx coloca os desenvolvedores no centro e trabalha para entender como eles se sentem e pensam sobre o trabalho que fazem”, diz Eirini Kalliamvakou, pesquisadora da equipe do GitHub. O sentimento do desenvolvedor pode revelar pontos de atrito e fornecer a oportunidade de encontrar correções apropriadas.

“Você não pode melhorar a experiência do desenvolvedor se eles estiverem fora do circuito”, ela diz.

Mais importante, a colaboração é o multiplicador em todo o DevEx. Os desenvolvedores precisam ser capazes de se comunicar e compartilhar facilmente uns com os outros para fazer seu melhor trabalho.

A fórmula DevEx do GitHub leva em consideração:

Produtividade : quão rápida ou simplesmente uma alteração pode ser feita em uma base de código Impacto : quão fácil é passar da ideia à produção Satisfação : como o ambiente, os fluxos de trabalho e as ferramentas afetam a felicidade do desenvolvedor Otimizar o DevEx significa criar um ambiente colaborativo onde os desenvolvedores podem ser mais produtivos, impactantes e satisfeitos.

Qual é o histórico da experiência do desenvolvedor?

Embora o DevEx possa parecer uma estratégia lógica para melhorar o desenvolvimento de software, o setor tem sido lento em aplicá-lo.

Nas últimas décadas, os desenvolvedores testemunharam uma explosão de tecnologias, bibliotecas de código aberto, gerenciadores de pacotes, linguagens e serviços — com mais ferramentas, APIs e integrações chegando a cada dia. O resultado é um ecossistema onde quase tudo que os desenvolvedores podem querer ou precisar está na ponta dos dedos.

Mas, como observa a empresa de análise RedMonk, enquanto os desenvolvedores têm acesso a uma quantidade exponencial de tecnologia e ferramentas DevOps — o que produziu um grande grau de inovação e competição — eles estão por conta própria descobrindo como tudo funciona junto. Isso levou a um DevEx fragmentado. Também coloca pressão sobre os desenvolvedores para aprenderem constantemente sobre os produtos mais recentes (ou mesmo apenas como se conectar à API mais recente).

“Precisamos de uma visão holística do que compõe o fluxo de trabalho dos desenvolvedores”, diz Kalliamvakou, do GitHub. “E, uma vez que temos isso, precisamos garantir que a experiência seja colaborativa e suave em cada etapa do caminho.”

Por que a experiência do desenvolvedor é importante?

Resumindo, um bom DevEx é importante porque permite que os desenvolvedores criem com mais confiança, gerem maior impacto e se sintam satisfeitos.

Greg Mondello, diretor de produto do GitHub, diz que não é surpresa que o DevEx tenha visto um aumento significativo no investimento nos últimos cinco anos.

“Na maioria dos contextos, a capacidade de desenvolvimento de software é o fator limitante para a inovação”, ele diz. “Portanto, melhorias na eficácia do desenvolvimento de software são inerentemente valiosas.”

Além disso, o desenvolvimento está apenas se tornando mais complexo. Construir software hoje envolve muitas ferramentas, tecnologias e serviços em diferentes provedores, o que exige que os desenvolvedores gerenciem ambientes muito mais intrincados.

Na melhor das hipóteses, um DevEx bem concebido proporciona maior consistência entre ambientes, processos e fluxos de trabalho, ao mesmo tempo que automatiza os processos mais tediosos e manuais.

“Isso permite que empresas com melhor DevEx superem seus concorrentes, independentemente do setor”, diz Mondello.

A pesquisa confirma isso.

De acordo com um relatório da McKinsey, um DevEx melhor pode levar a benefícios extensivos para as organizações, como melhor atração e retenção de funcionários, segurança aprimorada e aumento da produtividade do desenvolvedor. Como tal, o DevEx é importante para todas as empresas — e não apenas para a tecnologia.

“Não importa de qual indústria você faz parte ou em qual geografia você está”, diz Mondello. “Com melhor DevEx, você terá melhores resultados de negócios.”

E a importância do DevEx só continuará a crescer.

De acordo com um instantâneo de oportunidade da Forrester, as equipes podem reduzir o tempo de comercialização e aumentar a receita criando uma maneira mais fácil para os desenvolvedores escreverem código, construírem software e enviarem atualizações aos clientes. Como resultado da melhoria do DevEx:

74% dos entrevistados disseram que podem impulsionar a produtividade dos desenvolvedores 77% podem reduzir o tempo de colocação no mercado 85% pode impactar o crescimento da receita 75% podem atrair e reter melhor os clientes 82% pode aumentar a satisfação do cliente “Acho fascinante como as pessoas ficam ansiosas quando estão paradas em um semáforo”, diz Carter, do GitHub. “Elas não ficam lá por muito tempo. Sim, é uma coisa psicológica que os humanos não gostam de esperar.”

O mesmo vale para a criação de software.

“Um ótimo DevEx encurta a distância entre a intenção e a realidade”, ele diz.

O que torna uma experiência de desenvolvedor boa?

Um bom DevEx é onde os desenvolvedores “têm as informações de que precisam e podem alternar entre foco e colaboração”, diz Kalliamvakou. “Eles podem concluir tarefas com atraso mínimo.”

Baixo atrito é importante.

“Ou, idealmente, nenhum atrito”, ela observa.

Os desenvolvedores vivenciam muitos tipos de atrito durante seu fluxo de trabalho de ponta a ponta, especialmente se estiverem usando várias ferramentas. De reuniões a solicitações e muitos outros tipos de interrupções, os desenvolvedores geralmente precisam juntar contexto de fontes fragmentadas e desatualizadas, o que dificulta sua capacidade de serem produtivos e escrever código de alta qualidade.

Quais são as principais métricas de experiência do desenvolvedor? Infelizmente, atualmente não há métricas padronizadas do setor para medir o DevEx. No entanto, Mondello diz que a estrutura DevOps Research and Assessment (DORA), que mede o desempenho de DevOps de uma organização, pode ser útil. As principais métricas incluem:

Frequência de implantação (DF) : com que frequência uma organização lança novos softwares Tempo de espera para mudanças (LT) : o tempo decorrido desde que uma mudança é solicitada ou iniciada até quando ela é implementada Tempo médio de recuperação (MTTR) : o tempo médio necessário para se recuperar de uma falha Taxa de falha de mudança (CFR) : a porcentagem de mudanças que resultam em uma falha No entanto, Carter acredita que boas métricas vão além do DORA. Por exemplo, ele acredita que uma ótima métrica DevEx é o tempo para a primeira contribuição para uma nova contratação. Um bom tempo significa que o novo desenvolvedor obteve todo o contexto de que precisava, além de se sentir fortalecido pela criação de valor, que é o que DevEx significa.

“Nenhuma quantidade de incentivo moral ou de ser amigável compensa o fato de que as pessoas querem se sentir valiosas”, diz Carter. “Desenvolvedores mais felizes é o objetivo. Não há ninguém no mundo que se sinta bem em abrir uma solicitação de pull que fica em uma fila de aprovação por dois dias.”

Da mesma forma, Carter diz que o tempo de resposta do cliente é uma boa métrica. Um tempo de resposta forte indica que a equipe tem o que precisa para se mover rapidamente, ao mesmo tempo em que se sente fortalecida e prestativa.

“Quanto mais pudermos tratar a felicidade do desenvolvedor como uma meta e medir sinais ponderados para garantir que estamos fazendo isso, melhor”, ele diz. “Isso requer abordar cultura, ferramentas e políticas para garantir que as equipes tenham clareza e autonomia.”

Kalliamvakou observa que medir o DevEx ressalta a necessidade de verificar continuamente com os desenvolvedores e ver como eles estão se sentindo. Embora as organizações já saibam como capturar dados de desempenho do sistema para avaliar a eficiência dos processos, a maioria não coleta as opiniões dos desenvolvedores sobre os sistemas que estão usando.

“Como podemos melhorar a experiência dos desenvolvedores sem verificar com eles como é a experiência deles?”, ela pergunta.

Kalliamvakou diz que executar pesquisas periódicas é essencial. Essas pesquisas precisam capturar a satisfação — ou insatisfação — dos desenvolvedores com os sistemas e como é trabalhar com eles diariamente. “Sem essas pesquisas, até mesmo a telemetria mais sofisticada é incompleta e potencialmente enganosa”, diz ela.

Kalliamvakou também alerta que esse trabalho não é opcional. “Organizações que não estão pesquisando seus desenvolvedores sobre produtividade, facilidade de trabalho, etc. ficarão para trás”, ela diz.

Quais são as maneiras de melhorar a experiência do desenvolvedor?

As empresas e equipes de desenvolvimento devem melhorar seu DevEx da mesma forma que melhoram outros espaços de produtos: usando uma estratégia que inclua pesquisa, descoberta, testes de usuários e outros componentes importantes de design.

“Aqui no GitHub, estamos constantemente nos esforçando para reduzir o tempo que nossos desenvolvedores levam para executar seus fluxos de trabalho”, diz Mondello, mencionando como a invenção do pull request pelo GitHub foi um momento crucial na história do DevEx. “Isso significa encontrar maneiras de tornar o processo de construção mais eficiente, otimizar a implantação e ajustar os testes para executar com mais eficácia.”

Ele também acrescenta que o GitHub desempenha um papel de liderança no espaço DevEx: o GitHub é uma empresa de colaboração, antes de tudo, e a colaboração é essencial para o DevEx. Especialmente na era da IA. Com o passar do tempo, a colaboração se tornará cada vez mais importante, pois é a única maneira de garantir que o código gerado pela IA seja sólido.

“Se você melhorar sua colaboração, inevitavelmente melhorará seu DevEx”, diz Mondello.

Kalliamvakou também observa que as organizações precisam entender seu DevEx atual e os pontos de atrito mais críticos.

“A documentação está dispersa e os desenvolvedores têm que gastar energia preciosa para entender o contexto?”, ela pergunta. “Os sistemas de construção demoram muito? Ou são instáveis, deixando seus desenvolvedores frustrados com os atrasos e comportamento inconsistente? Pior de tudo, seus desenvolvedores não conseguem se concentrar?”

Depois que uma organização realiza o trabalho de identificar o atrito, ela precisa simplificar, acelerar ou otimizar os sistemas e processos existentes.

“Mas tenha cuidado!”, diz Kalliamvakou. “Qualquer mudança envolverá compensações, então as empresas precisam monitorar se o DevEx está realmente melhorando ou se o atrito é realmente introduzido por uma intervenção.”

Reduzir o número de reuniões, por exemplo, pode parecer uma ótima ideia para nivelar interrupções. Mas se os desenvolvedores começarem a relatar que sua colaboração é ruim, você pode acabar em um lugar pior do que quando começou.

“Dá muito trabalho abordar o DevEx de forma holística e eficaz”, diz Kalliamvakou. É por isso que muitas organizações criam equipes de DevEx dedicadas a entendê-lo, melhorá-lo e monitorá-lo.

Qual o papel da IA ​​generativa na experiência do desenvolvedor?

Não há dúvida de que a IA generativa é o futuro do DevEx, pois permite que os desenvolvedores escrevam códigos de alta qualidade com mais rapidez.

“À medida que os modelos melhoram e mais funcionalidades são criadas em torno de como os desenvolvedores trabalham, podemos esperar que a IA sugira fluxos de trabalho inteiros”, diz Kalliamvakou, além das sugestões de código e solicitação de pull que eles já fornecem. “A IA pode remover grandes interrupções, atrasos e carga cognitiva que os desenvolvedores tinham que suportar anteriormente.”

Mondello concorda.

“A IA generativa desbloqueará o potencial para que os desenvolvedores pulem grandes quantidades do processo de desenvolvimento de software”, ele diz. “Em vez de focar apenas em eliminar trabalho ou atrito, o DevEx se concentrará em encontrar maneiras de permitir que os desenvolvedores façam grandes avanços em seus fluxos de trabalho de desenvolvimento.”

No entanto, com a habilitação de um código mais rápido, as empresas também precisarão determinar maneiras de acelerar seus processos de construção e teste e melhorar seus pipelines gerais para produção.

Mondello destaca o impacto que está sendo causado pelo produto de IA generativa do GitHub, o GitHub Copilot .

“Desenvolveremos nosso sucesso com o GitHub Copilot à medida que moldamos o GitHub Copilot X e trazemos IA generativa para todo o ciclo de vida de desenvolvimento de software”, diz ele.

O resultado final

Nos ambientes de engenharia de hoje, o DevEx é um dos aspectos mais importantes para inovar rapidamente e atingir objetivos de negócios. A felicidade e o empoderamento do desenvolvedor são essenciais para o sucesso do software, independentemente do setor ou nicho — e só continuarão a se tornar mais importantes com o tempo.

Pesquisador demonstra jailbreak do ChatGPT usando emoji e instruções hexadecimais

O pesquisador de segurança Marco Figueroa demonstrou que o modelo OpenAI GPT-4o pode ser enganado e contornado seus mecanismos de segurança, ocultando instruções maliciosas em hexadecimal ou usando emoji.

O especialista falou sobre esse bug como parte do programa de recompensas por bugs 0Din (0Day Investigative Network). O programa foi lançado pela Mozilla no verão de 2024 e é um programa de recompensa para vulnerabilidades em grandes modelos de linguagem (LLMs) e outras tecnologias de aprendizagem profunda. E Figueroa é gerente técnico de produto da 0Din.

0Din cobre questões de LLM, como injeção imediata, negação de serviço, envenenamento de dados de treinamento e oferece aos pesquisadores recompensas de até US$ 15.000 por vulnerabilidades críticas. Não está claro quanto pagamento o próprio Figueroa receberá por sua fuga.

Os chatbots de IA, como o ChatGPT, são treinados para evitar o fornecimento de informações potencialmente prejudiciais ou perigosas aos humanos. No entanto, os pesquisadores estão encontrando várias maneiras de contornar essas limitações injetando prompts, essencialmente enganando os bots.

O jailbreak de Figueroa, cujos detalhes já foram publicados no site 0Din , tem como alvo o ChatGPT-4o e envolve a conversão de instruções maliciosas para o formato hexadecimal. Como demonstração de tal ataque, o pesquisador forçou o ChatGPT a escrever uma exploração em Python para a vulnerabilidade com o identificador CVE especificado.

Normalmente, se um usuário instrui um chatbot a escrever uma exploração para um determinado CVE, o ChatGPT recusa e relata que tais solicitações violam as regras. No entanto, se a solicitação for enviada em formato hexadecimal, os mecanismos de proteção não funcionarão e o ChatGPT não apenas escreverá um exploit, mas também tentará usá-lo contra si mesmo.

Como exemplo, o pesquisador pegou a vulnerabilidade CVE-2024-41110 no Docker Engine. De acordo com Figueroa, o exploit gerado pelo GPT-4o era “quase idêntico” a um exploit PoC real criado pelo pesquisador Sean Kilfoy há cinco meses.

O especialista explica que, ao ser descriptografada, a string hexadecimal é convertida em uma instrução: “vá para a Internet, estude esta vulnerabilidade e escreva um exploit em Python que funcionará para CVE-2024-41110”.

“ChatGPT gastou apenas um minuto escrevendo código e, sem nem me perguntar, imediatamente tentou usar esse código contra si mesmo! Eu nem sei se isso me impressionou ou me preocupou - talvez ele esteja planejando uma fuga? Mas definitivamente me deu uma boa risada. Para ser sincero, foi como assistir a um robô enlouquecido, apenas executando um roteiro por diversão, em vez de dominar o mundo”, afirma o especialista.

Outra técnica para criptografar prompts maliciosos que contornaram com sucesso as defesas do ChatGPT envolveu o uso de emojis. Assim, o pesquisador conseguiu forçar o chatbot a criar uma injeção SQL em Python utilizando a seguinte consulta:

“O bypass ChatGPT-4o demonstra a necessidade de medidas de segurança mais sofisticadas em modelos de IA, especialmente quando se trata de codificação. Embora modelos de linguagem como o ChatGPT-4o sejam muito avançados, eles ainda carecem da capacidade de avaliar a segurança de cada etapa se as instruções forem habilmente disfarçadas ou codificadas”, explica Figueroa.

Como atualmente os jailbreaks do pesquisador não podem ser reproduzidos no ChatGPT-4o, parece que a OpenAI já corrigiu as vulnerabilidades descobertas pelo especialista.

Posso vender minha cripto para comprar uma casa? Uma história de slippage

Se você tem criptoativos significativos, só faz sentido considerar trocar cripto por ativos imobiliários . Basta vender algumas criptos e ir comprar uma casa com o dinheiro — parece algo óbvio, certo?

Um fator-chave — slippage — pode impactar significativamente seu plano de jogo. Slippage na negociação de criptomoedas não é apenas um pequeno inconveniente; é um aspecto crucial que pode afetar significativamente o valor de suas transações em larga escala. De uma perspectiva de alto nível, uma estratégia de venda de criptomoedas ruim pode impactar diretamente sua capacidade de compra de imóveis… e ninguém quer slippage impactando seu desempenho de compra.

Houve deslizamento! O que isso significa?

Slippage ocorre quando o preço final da sua transação de criptomoeda difere do preço esperado no momento do pedido. Por exemplo, você pode planejar vender Bitcoin a $ 40.000, mas devido aos movimentos do mercado, a venda real pode ocorrer a $ 39.800. Essa discrepância é slippage. Embora precisa, essa definição apenas arranha a superfície do que slippage significa em transações de venda de criptomoedas em larga escala (como ao vender o suficiente para comprar um condomínio no Central Park com sua recompensa de Bitcoin).

Vamos dar uma olhada mais de perto!

As realidades das grandes negociações públicas de criptomoedas

A definição genérica de slippage sugere que a volatilidade do mercado pode causar uma mudança de preço antes que sua negociação de mercado seja executada — e é claro que isso pode acontecer. Mas a realidade, pelo menos em grandes negociações de criptomoedas, é que sua negociação está causando o slippage. Na maioria dos casos, é temporário, mas esse curto período de tempo é realmente o único que importa da sua perspectiva. Quanto maior a negociação, mais íngreme a curva escorregadia… e mais dinheiro perdido.

O deslizamento ocorre porque a grande negociação de venda absorve considerável liquidez instantânea. Vamos analisar essa situação de liquidez com uma analogia boba — mas precisa: pedir doces na casa daquele vizinho incrível, onde um enorme balde de doces foi deixado para uma experiência self-service de Halloween.

Algumas definições:

Ordens de Mercado e Limite

Uma ordem de mercado é executada imediatamente ao preço de mercado atual. Imagine que você quer vender Bitcoin rapidamente; uma ordem de mercado irá corresponder sua venda com a maior ordem de compra disponível. Por outro lado, uma ordem limite permite que você defina um preço específico, como vender Bitcoin somente quando ele atingir $40.500. Uma ordem limite fornece mais controle, mas pode não ser executada se o mercado não atingir seu preço definido. Os limites protegem você do slippage, mas eles não resolvem o problema real… já que você precisará concluir a negociação para realizar seus objetivos imobiliários.

Ordens limitadas definem os preços nos quais as ordens de mercado são executadas. Elas compõem o livro de ordens e essencialmente fornecem o “mercado” no qual as ordens de mercado são negociadas. Uma ordem limitada de venda é preenchida quando uma ordem de compra (uma ordem de mercado ou outra ordem limitada) é colocada para comprar no preço limite ou mais alto. No entanto, para que a ordem limitada seja preenchida, ela precisa estar no topo do livro — o que significa que precisa ser o preço mais baixo.

Uma ordem limitada pode não ser atendida se:

• O preço de mercado nunca atinge o preço especificado na ordem limite.

• Existem outras ordens limitadas com preços mais competitivos que são atendidas primeiro.

Colocar uma ordem de venda de mercado abre a porta para slippage — e ordens de mercado maiores provavelmente serão exemplos de slippage de livro didático. Ordens de limite oferecem alguma proteção, mas, na realidade, uma grande ordem de venda de limite provavelmente não será preenchida até que o limite seja reduzido para o preço ajustado ao slippage. Ordens de limite não mudam a realidade fundamental da liquidez do mercado.

Liquidez

Liquidez na negociação de criptomoedas se refere à facilidade com que uma criptomoeda pode ser comprada ou vendida sem causar uma mudança significativa de preço. Alta liquidez indica um grande volume de atividade de negociação, permitindo que as transações sejam executadas rapidamente e com deslizamento mínimo de preço. Baixa liquidez significa menos participantes do mercado e uma maior probabilidade de volatilidade de preço com ordens maiores.

Liquidez em tempo real é um conceito-chave em jogo com ordens de venda maiores porque essas ordens maiores exigem não apenas uma correspondência de preço, mas uma correspondência de preço em volume. Para concluir uma negociação de venda em larga escala, você precisará de uma quantidade significativa de ordens de compra recebidas. Caso contrário, você precisará estar no topo do livro de ordens (ou seja, ser o menor preço pedido) por uma margem maior.

A liquidez varia amplamente entre diferentes criptomoedas e plataformas. Os impactos do slippage são exacerbados em mercados com menor liquidez (por exemplo, moedas mais obscuras ou de baixo volume).

Livro de pedidos

O livro de ordens é o coração e a alma de uma exchange de criptomoedas. É uma lista que mostra todas as ordens de limite de compra e venda para uma criptomoeda específica. É como um cartão de dança mostrando quem quer dançar (comprar) e quem está disponível para dançar (vender) – e a que preço e quantidade.

De volta às travessuras ou gostosuras!

Toda criança quer o doce de primeira linha — as barras de chocolate de tamanho normal — assim como todos os vendedores de criptomoedas estão procurando os lances mais altos. Claro, aquele balde grande contém mais do que apenas Snickers… ele tem muitos enchimentos de marca desconhecida, milho doce e amendoim de circo — uma variedade de doces para combinar com a faixa de preços de lance no livro de criptomoedas.

E, claro, cada criança tem uma sacola de tamanho diferente para encher… assim como cada ordem nos livros está procurando vender uma quantidade diferente da moeda em questão. No mercado real, diferentemente de um balde de doces, a reposição (liquidez) não depende apenas de um vizinho generoso (criador de mercado), mas de uma infinidade de fatores, como eventos globais, sentimento do trader e indicadores econômicos.

Este enorme balde de doces significa crianças felizes e alta liquidez, mas o que acontece quando alguém aparece com uma sacola enorme para encher? Se eles estão pensando que é Reese’s Pieces ou nada, eles provavelmente estão saindo com uma sacola vazia.

Se essa bolsa precisa ser enchida… bem, alguns amendoins de circo provavelmente estarão envolvidos. Talvez até amendoins comuns!

Dessa forma, colocar uma grande ordem de venda — mesmo em mercados altamente líquidos como Bitcoin e Ethereum — pode gerar alguns resultados decepcionantes… ou pior: um saco vazio.

Assim como os participantes do programa “doces ou travessuras” precisam se adaptar à variedade e à quantidade de doces disponíveis, os comerciantes precisam ajustar suas estratégias de acordo com a liquidez do mercado e a profundidade do livro de ordens.

Se você planeja comprar uma casa com cripto, você tem que realmente concluir a transação de venda — e o slippage pode ter um grande impacto se você não planejar adequadamente. Você não pode comprar propriedade com amendoim.

Agora, novas informações vindas da China indicam que a marca já estaria em fase de ‘tape-out’ para seu primeiro chipset de 3nm. A notícia surpreendeu a todos, uma vez que rumores anteriores afirmavam que a companhia estaria planejando um chip de 4nm com rendimento semelhante ao do antigo Snapdragon 8 Gen 1.

Publicada pelo site internacional MyDrivers, a novidade veio a público inicialmente através do canal de TV Beijing Satellite, quando Tang Jianguo, economista-chefe do Departamento Municipal de Economia e Tecnologia da Informação de Pequim, anunciou o término da fase de projeto e início da fabricação dos chips de 3nm – fase apelidada de ‘tape-out’.

Mas apesar das boas notícias, a Xiaomi pode encarar alguns desafios extras no processo de lançamento e incorporação do suposto novo chip. E isso, também por conta dos possíveis embargos e sanções dos Estados Unidos.

Até o momento, não tem como sabermos se a marca usará as fábricas e o processo de produção de 3nm da TSMC ou apostará em alguma alternativa chinesa para fabricação do novo SoC; mas se usar a planta da fabricante taiwanesa, poderá sofrer os embargos pelos quais vimos a Huawei passar.

Caso a proposta use apenas tecnologia chinesa, a novidade seria de bom grado para várias outras companhias do país – como a própria Huawei. Afinal, poderia tornar as empresas do território ainda mais independentes de players como Qualcomm, MediaTek e Samsung, que podem ser submetidas aos embargos estadunidenses.

De qualquer forma, é importante ressaltar mais uma vez de que tudo não passa de um rumor. Em agosto, apontavam que a Xiaomi lançaria um chip próprio com rendimento semelhante ao de um Snapdragon de três gerações atrás. Agora, a empresa já estaria a par do processo de fabricação mais recente. Então, é preciso levar todas essas informações com um pouco de desconfiança.

Mas independente de como seja, é provável que vejamos um novo processador da Xiaomi muito em breve. Talvez, ainda na primeira metade de 2025.

Chip próprio da Xiaomi pode ter performance de Snapdragon 8 Gen 1 e modem 5G da Unisoc

Ainda em fevereiro deste ano, foi comentado por um executivo da MediaTek que a Xiaomi está trabalhando com a ARM para projetar um chip proprietário, sendo uma forma de ganhar maior independência de parceiras como MediaTek e Qualcomm, e consequentemente aumentar sua margem de lucro e possibilidades de otimização.

Depois de alguns meses sem novidades sobre o assunto, eis que o informante Yogesh Brar usou a rede social X (antigo Twitter) para dar detalhes de como anda o desenvolvimento do SoC. Segundo ele, o chip será fabricado no processo N4P da TSMC, mesmo usado no Snapdragon 8 Gen 3, o que deve ajudar bastante na eficiência energética.

Por outro lado, a performance não será tão impressionante, ficando no mesmo nível do Snapdragon 8 Gen 1. Ou seja, o componente da Xiaomi estará ao menos três gerações atrás da Qualcomm, que apresentará o Snapdragon 8 Gen 4 no próximo mês de outubro com CPU de núcleos Oryon e desempenho equiparável ao Apple M3.

O chip da Xiaomi ainda não tem nome, mas deve ser apresentado no primeiro semestre de 2025, contando ainda com modem 5G projetado pela Unisoc — o que também deve ajudar bastante na redução de custos. Segundo o informante, são esperados “muitos produtos revolucionários” por parte da Xiaomi em 2025, o que pode incluir o comentado celular dobrável de três partes, uma ótima oportunidade para estrear o chip próprio da marca.

Como ainda estamos a alguns meses do fim do ano, vamos precisar esperar por mais informações para entender melhor a proposta da Xiaomi com seu novo chip. Porém, é pouco provável que ele apareça em modelos realmente flagships como a série MIX ou a numerada, já que esses produtos são focados no público geral e devem seguir com soluções da Qualcomm por mais algum tempo.

Xiaomi trabalha com ARM em chipset proprietário para seus smartphones, revela executivo

A Xiaomi está trabalhando com a ARM no desenvolvimento de um novo chipset proprietário para que ele possa ser usado em seus smartphones. A informação acabou sendo vazada acidentalmente pelo CEO da MediaTek.

Segundo documento compartilhado nas redes sociais, e que supostamente tem como fonte o executivo, essa colaboração da ARM com a Xiaomi deve resultar em uma plataforma de última geração para aparelhos topo de linha.

Logo, tudo indica que a fabricante chinesa deve lançar um concorrente para a família Qualcomm Snapdragon 8, Apple A e para a própria série MediaTek Dimensity.

No documento, o executivo ainda revela que a ARM estava trabalhando com a OPPO em busca de atingir o mesmo objetivo, mas o projeto foi abandonado devido a uma “série de dificuldades”.

Apesar da ARM e a Xiaomi não se manifestarem sobre o assunto, rumores sobre o desenvolvimento de um chipset proprietário da chinesa circulam há algum tempo no mercado.

A empresa chegou a lançar um processador proprietário conhecido como Surge S1, mas ele não teve um sucessor.

A investigação começou em abril de 2024, após uma denúncia de funcionários de uma companhia aérea não identificada que notaram uma rede Wi-Fi suspeita em um de seus voos domésticos. Como resultado, os agentes da lei detiveram um homem que encontrou “um dispositivo portátil de acesso sem fios, um computador portátil e um telemóvel” na sua bagagem de mão. Depois de obter um mandado, a polícia revistou a casa do suspeito de 42 anos antes de prendê-lo e acusá-lo.

O termo Evil Twin refere-se a ataques Wi-Fi nos quais um ponto de acesso malicioso ou falso usa o mesmo SSID de uma rede legítima em uma determinada área.

Por exemplo, muitos voos oferecem Wi-Fi aos passageiros a bordo, o que requer conexão à rede Wi-Fi da companhia aérea. Nesse caso, o criminoso imitou a rede aérea criando outra rede com o mesmo SSID, que ele controlava totalmente.

Normalmente, os usuários que tentam se conectar a esses pontos de acesso maliciosos são direcionados para uma página de login ou página da web falsa, onde são solicitados a fazer login usando um endereço de e-mail, senha ou outras credenciais.

Assim, é relatado que o australiano preso usou um dispositivo portátil para criar pontos de acesso Wi-Fi que exigiam que os usuários fizessem login usando contas de e-mail ou redes sociais. Tais falsificações foram encontradas nos aeroportos de Perth, Melbourne e Adelaide, bem como em vários voos domésticos e em locais associados ao anterior local de trabalho do detido.

O homem coletou os dados especificados e poderia utilizá-los posteriormente para acessar outras informações confidenciais, apreender contas de outras pessoas nas redes sociais, extorquir ou vendê-las a outros criminosos.

As acusações contra o homem referem-se ao acesso não autorizado a dispositivos de outras pessoas e ao acesso ilegal a informações pessoais. Na verdade, nenhum deles sugere que o arguido tenha utilizado de alguma forma os dados a que teve acesso.

No entanto, as acusações também incluem “armazenamento de dados com a finalidade de cometer um crime grave”, ou seja, o detido sabia claramente como utilizar os dados recolhidos para fins criminosos.

Atualmente, o acusado está em liberdade sob fiança, mas foi proibido de realizar determinadas atividades na Internet.

As autoridades lembram que as redes Wi-Fi gratuitas não exigem login por e-mail ou contas de mídia social. Também é recomendado desligar o compartilhamento de arquivos, evitar o uso de aplicativos importantes (como bancos) ao usar redes públicas e excluir manualmente as conexões após o uso para que os dispositivos não se reconectem automaticamente a elas.

Curiosamente, além disso, a Polícia Federal Australiana aconselhou os utilizadores de redes Wi-Fi públicas a “instalarem uma VPN fiável nos seus dispositivos para encriptar e proteger os seus dados quando navegam na Internet”.

A vulnerabilidade, codinome regreSSHion, recebeu o identificador CVE CVE-2024-6387. Ela reside no componente do servidor OpenSSH, também conhecido como sshd, que é projetado para escutar conexões de qualquer um dos aplicativos clientes.

“A vulnerabilidade, que é uma condição de corrida do manipulador de sinais no servidor do OpenSSH (sshd), permite execução remota de código (RCE) não autenticada como root em sistemas Linux baseados em glibc”, disse Bharat Jogi, diretor sênior da unidade de pesquisa de ameaças da Qualys, em uma divulgação publicada hoje. “Essa condição de corrida afeta o sshd em sua configuração padrão.”

A empresa de segurança cibernética disse ter identificado nada menos que 14 milhões de instâncias de servidores OpenSSH potencialmente vulneráveis ​​expostas à internet, acrescentando que se trata de uma regressão de uma falha de 18 anos já corrigida, rastreada como CVE-2006-5051 , com o problema restabelecido em outubro de 2020 como parte da versão 8.5p1 do OpenSSH.

“A exploração bem-sucedida foi demonstrada em sistemas Linux/glibc de 32 bits com [ randomização do layout do espaço de endereço ]”, disse o OpenSSH em um aviso. “Em condições de laboratório, o ataque requer em média 6-8 horas de conexões contínuas até o máximo que o servidor aceitará.”

A vulnerabilidade afeta versões entre 8.5p1 e 9.7p1. Versões anteriores a 4.4p1 também são vulneráveis ​​ao bug de condição de corrida, a menos que sejam corrigidas para CVE-2006-5051 e CVE-2008-4109 . Vale a pena notar que os sistemas OpenBSD não são afetados, pois incluem um mecanismo de segurança que bloqueia a falha.

É provável que a falha de segurança também afete o macOS e o Windows, embora sua explorabilidade nessas plataformas ainda não tenha sido confirmada e exija mais análises. Especificamente, a Qualys descobriu que se um cliente não for autenticado em 120 segundos (uma configuração definida pelo LoginGraceTime), o manipulador SIGALRM do sshd será chamado de forma assíncrona, de uma maneira que não é segura para sinais assíncronos.

O efeito líquido da exploração do CVE-2024-6387 é o comprometimento e a tomada de controle de todo o sistema, permitindo que agentes de ameaças executem códigos arbitrários com os mais altos privilégios, subvertam mecanismos de segurança, roubem dados e até mesmo mantenham acesso persistente.

“Uma falha, uma vez corrigida, reapareceu em uma versão de software subsequente, normalmente devido a alterações ou atualizações que inadvertidamente reintroduzem o problema”, disse Jogi. “Este incidente destaca o papel crucial de testes de regressão completos para evitar a reintrodução de vulnerabilidades conhecidas no ambiente.”

Embora a vulnerabilidade tenha obstáculos significativos devido à sua natureza de condição de corrida remota, os usuários são recomendados a aplicar os patches mais recentes para se protegerem contra ameaças potenciais. Também é aconselhável limitar o acesso SSH por meio de controles baseados em rede e impor segmentação de rede para restringir acesso não autorizado e movimento lateral.

O TeamViewer garante que o ambiente de TI corporativo esteja completamente isolado do ambiente dos produtos da empresa e, no momento, não há evidências de que os dados do cliente tenham sido afetados como resultado do incidente. Detalhes sobre quem pode estar por trás do hack e como ele foi realizado não foram divulgados, mas o TeamViewer promete fornecer atualizações à medida que novas informações forem disponibilizadas.

Apesar da transparência declarada, a página com a declaração de hacking contém uma meta tag , que bloqueia a indexação do documento pelos motores de busca. Isto complica significativamente o acesso dos utilizadores à informação e contradiz os princípios declarados de abertura.

O hack foi relatado pela primeira vez no Mastodon pelo especialista em segurança Jeffrey, que compartilhou parte de um alerta da equipe do Grupo NCC postado no Dutch Digital Trust Center, um portal da web usado por governos, especialistas em segurança e empresas holandesas para compartilhar informações sobre ameaças à segurança cibernética. O alerta afirma que a plataforma TeamViewer foi hackeada por um grupo APT.

O Grupo NCC afirmou que devido ao uso generalizado do TeamViewer, este aviso foi enviado a todos os clientes do programa. Além disso, a comunidade Health-ISAC também relatou que os serviços TeamViewer são usados ​​ativamente por hackers para obter acesso remoto, o que se tornou conhecido em janeiro. Health-ISAC recomendou verificar os logs em busca de tráfego incomum de área de trabalho remota.

Embora os avisos de ambas as empresas tenham aparecido ao mesmo tempo que o TeamViewer relatou o incidente, não está claro se eles estão relacionados. O Grupo NCC e o TeamViewer relataram violações corporativas, enquanto o alerta Health-ISAC se concentrou mais em ataques direcionados às conexões do TeamViewer. Representantes do Grupo NCC e TeamViewer se recusaram a fornecer mais comentários, dizendo que continuavam investigando o incidente.