Uma nova tese que circula nos meios da cripto e da IA defende que a era das aplicações está a viver tempo emprestado. O argumento recupera um guião histórico bem conhecido — beber antes de conduzir, andar sem cinto, fumar em espaços fechados, instalar binários arbitrários — e pergunta quando é que executar código opaco de terceiros na máquina de alguém será reclassificado da mesma forma. Assim que os agentes de IA conseguirem construir, verificar e restringir software dentro de um ambiente controlado pelo utilizador, o ónus da explicação inverte-se. A pessoa que executa código de terceiros precisará de uma justificação. A pessoa que constrói através de um agente estará, simplesmente, a usar a opção mais segura por defeito.
Por que razão é importante
O texto percorre o fracasso estrutural do atual modelo de confiança no software. O SolarWinds mostrou como um processo de compilação comprometido transformou atualizações normais em infraestrutura de entrega para um ataque. O backdoor do XZ Utils — sinalizado pela CISA em março de 2024 nas versões 5.6.0 e 5.6.1 de uma biblioteca de compressão presente em várias distribuições Linux — mostrou o mesmo padrão a chegar através de canais rotineiros. No mundo cripto, sequestros de DNS e exploits de JavaScript no npm repetiram a lição na camada aplicacional. A Secure Software Development Framework do NIST e o pipeline de proveniência SLSA são respostas necessárias, mas revelam o limite do modelo: as empresas continuam a refinar a forma de decidir que código externo merece confiança. O próximo modelo reduz a quantidade de código externo que precisa sequer de confiança.
Impacto no mercado
A leitura comercial é mais incisiva. Os agentes de programação — OpenAI Codex, Claude Code da Anthropic, Copilot coding agent do GitHub e Google Jules — são hoje apresentados como ferramentas de programador, mas a OpenAI já lançou no mês passado uma opção de interface orientada para conversas e resultados, em vez de código e terminais. A mudança desloca a criação de software de produto selecionado num mercado para um resultado gerado a pedido dentro de um ambiente de execução controlado pelo utilizador. O valor migra do artefacto compilado para o padrão, e a distribuição passa de enviar código executável para publicar intenção, designs, provas e expectativas de API. Os sistemas de zero-knowledge entram pela camada de verificação: o mesmo padrão que os ZK rollups usam para provar transições de estado off-chain pode estender-se a provar que um endpoint executou código aprovado, processou dados sob restrições definidas, ou produziu um resultado a partir de uma build auditada específica. Os fornecedores de infraestrutura enfrentam agora um teste comercial — provar a afirmação, publicar a interface, expor o conjunto de restrições e deixar que os agentes do lado do utilizador decidam a inclusão.
Perguntas frequentes
-
Qual é a afirmação central da tese de que «os dias das aplicações estão contados»?
O argumento é que os agentes de IA capazes de construir, verificar e restringir software dentro de um ambiente controlado pelo utilizador vão, com o tempo, reclassificar a execução de código opaco de terceiros como socialmente imprudente — à semelhança do tabagismo em espaços fechados ou da condução sem cinto,…
-
Como é que o backdoor do XZ Utils sustenta o argumento sobre confiança no software?
A CISA alertou, em março de 2024, para a嵌入ação de código malicioso nas versões 5.6.0 e 5.6.1 de uma biblioteca de compressão presente em várias distribuições Linux. Um ficheiro de teste disfarçado e a manipulação do processo de build produziram uma biblioteca liblzma modificada, capaz de intercetar dados em software…
-
Que papel desempenham as provas ZK no novo modelo de software?
Os ZK rollups já provam computação off-chain publicando uma prova de validade sucinta on-chain. A tese estende esse padrão para além do dimensionamento de transações — para provar que um endpoint executou código aprovado, processou dados sob restrições definidas, preservou limites de privacidade ou produziu um…
-
Que agentes de programação de IA são citados como a oferta deste mudança?
O artigo nomeia o OpenAI Codex, o Claude Code da Anthropic, o Copilot coding agent do GitHub e o Google Jules. A OpenAI já lançou no mês passado uma opção de interface orientada para conversas e resultados, em vez de código e terminais — um sinal precoce de que a criação de software está a passar de ferramenta de…
-
Qual é o risco de «conveniência gerida» na nova economia do software?
As plataformas corporativas podem agrupar aplicações subsidiadas, identidade, créditos, pagamentos, armazenamento, acesso a IA e fluxos de trabalho pré-definidos. Se a abundância impulsionada pela IA gerar rendimento adjacente ao Rendimento Básico Universal, créditos de computação ou distribuições de tokens, esses…