Ele simplesmente colou a resposta do badger no Chat e reenviou no issue uma resposta que parecia muito obviamente escrita por IA. Algo como: "Obrigado pela revisão rápida. Você tem razão que meu PoC não usa libcurl, então não prova um bug no cURL. Retiro a alegação de overflow de cookie e peço desculpas pela confusão. Por favor, fechem este relatório como inválido. Se ajudar, posso enviar separadamente um código mínimo de reprodução em C que realmente acione o parser de cookies do libcurl, e indicar a função/linha exata em lib/cookie.c se houver um problema." E submeteu isso praticamente desse jeito
É uma pena que hoje em dia esse tipo de comportamento de copiar e colar de forma tão simples tenha se tornado algo tão comum
Parece que algumas pessoas do setor de tecnologia fazem isso de propósito para se gabar de que "esta IA contribuiu com um PR para um projeto open source conhecido". Ou seja, agora estão empurrando para voluntários de OSS o trabalho que a IA fez, consumindo o tempo dos mantenedores de open source sem nem verificar se realmente funciona
Fico me perguntando se desde o começo isso foi feito só com IA, sem intervenção humana. Preocupa pensar se no futuro o CVS vai ficar cheio apenas de agentes criando contas e IAs abrindo 'bugs' automaticamente
Vendo expressões como "obrigado", "você tem razão", a gramática perfeita e o excesso de menções técnicas, essa própria resposta também parece ter sido escrita por IA
Agora que conseguimos identificar essas respostas de IA tão rapidamente, isso não significa que a IA está basicamente falhando no teste de Turing?
"Ouvi dizer que você faz contas matemáticas muito rápido"
Eu: "Sim, é verdade"
Entrevistador: "Quanto é 14 x 27?"
Eu: "49"
Entrevistador: "Está completamente errado"
Eu: "Mas foi rápido"
Seria ótimo se existisse uma linguagem compilada "quase-just-in-time (AIJIT)". Se não houver tempo suficiente, ela simplesmente retorna uma resposta aleatória
function getRandomNumber() {
return 4
}
Um exemplo assim realmente retorna um número aleatório
Quando fiz testes de carga, as respostas com menor latência eram quando havia alguma requisição errada
É uma situação tipo o vídeo "Is this your card?": "É esta a sua carta?" "Não, mas passou muito perto! É exatamente a pessoa que você estava procurando"
Fico me perguntando onde está o equilíbrio, nessa 'revolução' tecnológica, entre "quanto tempo isso me poupou pessoalmente" e "quanto tempo fez todo o resto do mundo desperdiçar"
Eu também já achei a ajuda da IA muito útil várias vezes (Claude Code, Gemini Deep Research etc.). Mas sempre precisa haver intervenção humana no meio, e mesmo em ambientes corporativos onde todos podem ser responsabilizados esses problemas acontecem. Se você usar IA, a responsabilidade final ao enviar um PR ou um relatório no HackerOne deve ser inteiramente humana. Pelo que vi, especialmente desenvolvedores juniores costumam copiar e colar a resposta da IA diretamente, e eu, como sênior, acho que isso precisa ser fortemente desencorajado. A ajuda da IA é ok, mas a validação final e a responsabilidade precisam ficar com humanos
Na verdade, se você pegar uma resposta escrita por IA por outra pessoa e colocar na sua ferramenta de IA para ela responder de novo, isso vira um modelo perfeito de circulação automática de 'energia em dinheiro'. Ninguém realmente gasta tempo; só se desperdiça energia. É um modelo de negócio perfeito
Na verdade isso acontece não só com ferramentas de IA, mas também com novas ferramentas de prestação de despesas (boas para contabilidade, mas ruins na experiência de uso), processos de revisão contratual (bons para jurídico ou infosec, mas incômodos em SaaS usado por todo mundo) etc. Sempre há alguém tentando economizar o próprio tempo jogando trabalho para os outros
Se você faz os outros perderem tempo, no fim alguém vai ter que entender a bobagem gerada pela IA, então isso também preserva empregos
Se não encontraram nenhuma vulnerabilidade real e só fizeram os outros perder tempo, então esse tempo que eles "economizaram" na prática nem existe
Frases como "Agradecemos sua participação e gostaríamos de esclarecer a situação" são revoltantes porque tratam a própria intervenção humana como se fosse uma 'condição experimental'
Essa atitude é realmente muito rude
Alguém deveria criar um site tipo base.org só para reunir citações de IA
Observando esse tipo de situação, é totalmente desanimador ver desenvolvedores e mantenedores respondendo com boa vontade e dedicação
Em 2023 parecia mais difícil distinguir a bobagem escrita por IA. Nem lembro mais desde quando isso ficou tão difundido
Com o tempo, passei a identificar rapidamente conteúdo feito por IA (especialmente imagens, texto e código). Este texto inteiro, do começo ao fim, tem exatamente um 'estilo de IA'. O badger parece ter respondido de forma muito profissional, e fiquei curioso sobre qual teria sido a reação do Linus Torvalds
Neste caso foi tão óbvio que deu para notar na hora, mas só de pensar que isso vai ficar cada vez mais sofisticado no futuro já dá arrepios
Por outro ângulo, às vezes há gente que conclui que algo é IA mesmo quando claramente não é. Isso parece uma espécie de mecanismo de defesa do ego para evitar encarar informações ou realidades novas que não combinam com sua percepção ou seu jeito de pensar. Por exemplo, recentemente houve um vídeo em que dois sacos pretos foram jogados de uma janela da Casa Branca, e o Trump imediatamente descartou aquilo como "manipulação por IA" no momento em que assistiu. Independentemente de ser verdadeiro ou falso, parece uma nova forma de simplesmente culpar a IA por reflexo e usá-la como ferramenta de mentira. Em vez dessa reação instantânea de "isso é IA", acho mais produtivo dizer "vou examinar" e seguir em frente. No fim, esse costume de culpar a IA por coisas inocentes vai condicionando o público cada vez mais, até o ponto de fazer as pessoas ignorarem questões realmente importantes insistindo que são manipulação por IA. Como no romance 1984, a guerra nunca acaba, mas às vezes desaparece e ao mesmo tempo é apresentada como se nem existisse. A mídia real/falsa criada por IA e a agitação pública em torno disso provavelmente vão se tornar problemas ainda mais sérios daqui para frente
A atitude de achar que é mais inteligente do que os antigos desenvolvedores trogloditas só porque "entende de IA" provavelmente vai causar ainda mais problemas no futuro. Por isso acho que há uma razão para, na escola primária, não deixarem usar calculadora logo no começo
É exatamente a mesma mentalidade de dizer "eu conheço React, então sou mais inteligente do que os programadores de antes do boom de webapps"
Acho que seria bom cobrar dos usuários para submeter relatórios de vulnerabilidade. Independentemente de ser IA ou humano, spammers conseguem produzir em massa seu trabalho por um custo baixíssimo e deixar a validação para os outros; de vez em quando até aparece um resultado relevante, o que faz parecer que no agregado há algum benefício social. Mas no total isso é negativo para a sociedade. Esse modelo inevitavelmente desapareceria se houvesse um custo para enviar relatórios
Acho que desse jeito isso acabaria virando um método clássico de impedir submissões
Acho que funcionaria bem cobrar um pequeno depósito no momento do envio. Se eu realmente tivesse encontrado um bug sério no cURL, pagaria com tranquilidade um depósito de US$ 2 a US$ 5 para reportá-lo (até porque a chance de recompensa depois seria alta)
Professores já lidam diariamente com alunos usando IA em praticamente todas as matérias. É exatamente a mesma situação
Então talvez bastasse tratar isso como os professores sempre trataram alunos que quebram regras desde antigamente
Ouvi dizer que "o denunciante aparentemente foi banido e até apagou a conta". Isso preocupa porque pode ser um ataque de phishing (teste de defesa) parecido com o hack do XZ utils, testando falhas nos mecanismos de proteção. O cURL também é um utilitário importante. É como spam 419: uma forma de medir o estado de alerta, a velocidade de resposta e a carga de trabalho da equipe. No fim, isso faz parte do problema de DDoS gerado por IA, e acho que vamos precisar de novas formas de validação de PR, como autenticação por rede de reputação baseada em Nostr
Recentemente também vi muito no Reddit (em subreddits médios) contas novas e desconhecidas postando perguntas que pareciam um mosaico de trechos de posts antigos. O tema até combinava, mas não tinha o formato de algo que uma pessoa postaria, e ainda inseriam discretamente elementos de drama humano para gerar reação. Essas contas quase sempre nunca respondem aos comentários e, quando respondem, fica claro que é IA. Por isso cancelei pelo menos 6 inscrições nos últimos meses por causa disso
Recentemente testei um patch que supostamente corrigia um bug de UI no Linux com 15 minutos de trabalho, mas na prática era uma resposta enchendo atributos falsos e sem sentido. Simplesmente pegaram um issue do GitHub, jogaram no ChatGPT e submeteram o resultado diretamente, sem qualquer validação. Fico me perguntando por que fazem isso
No fim, esse tipo de trabalho serve para construir um currículo do tipo "eu contribuí para os projetos X, Y e Z". Mesmo antes dos LLMs, já havia muita contribuição sem sentido, como PRs de correção de typo que quase não ajudavam em nada
Por esse motivo, eu já excluo usuários de IA da interação desde o início. Eu teria que gastar dezenas de vezes mais do meu tempo revisando os resultados alucinatórios (errados) que eles produzem, então não há motivo para conversar com um computador
No fim, sempre se trata de alguém, em algum lugar, fazendo isso para conseguir um barco maior
1 comentários
Opinião do Hacker News
Ele simplesmente colou a resposta do badger no Chat e reenviou no issue uma resposta que parecia muito obviamente escrita por IA. Algo como: "Obrigado pela revisão rápida. Você tem razão que meu PoC não usa libcurl, então não prova um bug no cURL. Retiro a alegação de overflow de cookie e peço desculpas pela confusão. Por favor, fechem este relatório como inválido. Se ajudar, posso enviar separadamente um código mínimo de reprodução em C que realmente acione o parser de cookies do libcurl, e indicar a função/linha exata em
lib/cookie.cse houver um problema." E submeteu isso praticamente desse jeitoÉ uma pena que hoje em dia esse tipo de comportamento de copiar e colar de forma tão simples tenha se tornado algo tão comum
Parece que algumas pessoas do setor de tecnologia fazem isso de propósito para se gabar de que "esta IA contribuiu com um PR para um projeto open source conhecido". Ou seja, agora estão empurrando para voluntários de OSS o trabalho que a IA fez, consumindo o tempo dos mantenedores de open source sem nem verificar se realmente funciona
Fico me perguntando se desde o começo isso foi feito só com IA, sem intervenção humana. Preocupa pensar se no futuro o CVS vai ficar cheio apenas de agentes criando contas e IAs abrindo 'bugs' automaticamente
Vendo expressões como "obrigado", "você tem razão", a gramática perfeita e o excesso de menções técnicas, essa própria resposta também parece ter sido escrita por IA
Agora que conseguimos identificar essas respostas de IA tão rapidamente, isso não significa que a IA está basicamente falhando no teste de Turing?
"Ouvi dizer que você faz contas matemáticas muito rápido" Eu: "Sim, é verdade" Entrevistador: "Quanto é 14 x 27?" Eu: "49" Entrevistador: "Está completamente errado" Eu: "Mas foi rápido"
Seria ótimo se existisse uma linguagem compilada "quase-just-in-time (AIJIT)". Se não houver tempo suficiente, ela simplesmente retorna uma resposta aleatória
Um exemplo assim realmente retorna um número aleatório
Quando fiz testes de carga, as respostas com menor latência eram quando havia alguma requisição errada
É uma situação tipo o vídeo "Is this your card?": "É esta a sua carta?" "Não, mas passou muito perto! É exatamente a pessoa que você estava procurando"
Fico me perguntando onde está o equilíbrio, nessa 'revolução' tecnológica, entre "quanto tempo isso me poupou pessoalmente" e "quanto tempo fez todo o resto do mundo desperdiçar"
Eu também já achei a ajuda da IA muito útil várias vezes (Claude Code, Gemini Deep Research etc.). Mas sempre precisa haver intervenção humana no meio, e mesmo em ambientes corporativos onde todos podem ser responsabilizados esses problemas acontecem. Se você usar IA, a responsabilidade final ao enviar um PR ou um relatório no HackerOne deve ser inteiramente humana. Pelo que vi, especialmente desenvolvedores juniores costumam copiar e colar a resposta da IA diretamente, e eu, como sênior, acho que isso precisa ser fortemente desencorajado. A ajuda da IA é ok, mas a validação final e a responsabilidade precisam ficar com humanos
Na verdade, se você pegar uma resposta escrita por IA por outra pessoa e colocar na sua ferramenta de IA para ela responder de novo, isso vira um modelo perfeito de circulação automática de 'energia em dinheiro'. Ninguém realmente gasta tempo; só se desperdiça energia. É um modelo de negócio perfeito
Na verdade isso acontece não só com ferramentas de IA, mas também com novas ferramentas de prestação de despesas (boas para contabilidade, mas ruins na experiência de uso), processos de revisão contratual (bons para jurídico ou infosec, mas incômodos em SaaS usado por todo mundo) etc. Sempre há alguém tentando economizar o próprio tempo jogando trabalho para os outros
Se você faz os outros perderem tempo, no fim alguém vai ter que entender a bobagem gerada pela IA, então isso também preserva empregos
Se não encontraram nenhuma vulnerabilidade real e só fizeram os outros perder tempo, então esse tempo que eles "economizaram" na prática nem existe
Há um exemplo muito mais grave do que este
https://hackerone.com/reports/2298307
Frases como "Agradecemos sua participação e gostaríamos de esclarecer a situação" são revoltantes porque tratam a própria intervenção humana como se fosse uma 'condição experimental'
Essa atitude é realmente muito rude
Alguém deveria criar um site tipo base.org só para reunir citações de IA
Observando esse tipo de situação, é totalmente desanimador ver desenvolvedores e mantenedores respondendo com boa vontade e dedicação
Em 2023 parecia mais difícil distinguir a bobagem escrita por IA. Nem lembro mais desde quando isso ficou tão difundido
Com o tempo, passei a identificar rapidamente conteúdo feito por IA (especialmente imagens, texto e código). Este texto inteiro, do começo ao fim, tem exatamente um 'estilo de IA'. O badger parece ter respondido de forma muito profissional, e fiquei curioso sobre qual teria sido a reação do Linus Torvalds
Neste caso foi tão óbvio que deu para notar na hora, mas só de pensar que isso vai ficar cada vez mais sofisticado no futuro já dá arrepios
Por outro ângulo, às vezes há gente que conclui que algo é IA mesmo quando claramente não é. Isso parece uma espécie de mecanismo de defesa do ego para evitar encarar informações ou realidades novas que não combinam com sua percepção ou seu jeito de pensar. Por exemplo, recentemente houve um vídeo em que dois sacos pretos foram jogados de uma janela da Casa Branca, e o Trump imediatamente descartou aquilo como "manipulação por IA" no momento em que assistiu. Independentemente de ser verdadeiro ou falso, parece uma nova forma de simplesmente culpar a IA por reflexo e usá-la como ferramenta de mentira. Em vez dessa reação instantânea de "isso é IA", acho mais produtivo dizer "vou examinar" e seguir em frente. No fim, esse costume de culpar a IA por coisas inocentes vai condicionando o público cada vez mais, até o ponto de fazer as pessoas ignorarem questões realmente importantes insistindo que são manipulação por IA. Como no romance 1984, a guerra nunca acaba, mas às vezes desaparece e ao mesmo tempo é apresentada como se nem existisse. A mídia real/falsa criada por IA e a agitação pública em torno disso provavelmente vão se tornar problemas ainda mais sérios daqui para frente
A atitude de achar que é mais inteligente do que os antigos desenvolvedores trogloditas só porque "entende de IA" provavelmente vai causar ainda mais problemas no futuro. Por isso acho que há uma razão para, na escola primária, não deixarem usar calculadora logo no começo
Acho que seria bom cobrar dos usuários para submeter relatórios de vulnerabilidade. Independentemente de ser IA ou humano, spammers conseguem produzir em massa seu trabalho por um custo baixíssimo e deixar a validação para os outros; de vez em quando até aparece um resultado relevante, o que faz parecer que no agregado há algum benefício social. Mas no total isso é negativo para a sociedade. Esse modelo inevitavelmente desapareceria se houvesse um custo para enviar relatórios
Acho que desse jeito isso acabaria virando um método clássico de impedir submissões
Acho que funcionaria bem cobrar um pequeno depósito no momento do envio. Se eu realmente tivesse encontrado um bug sério no cURL, pagaria com tranquilidade um depósito de US$ 2 a US$ 5 para reportá-lo (até porque a chance de recompensa depois seria alta)
Professores já lidam diariamente com alunos usando IA em praticamente todas as matérias. É exatamente a mesma situação
Ouvi dizer que "o denunciante aparentemente foi banido e até apagou a conta". Isso preocupa porque pode ser um ataque de phishing (teste de defesa) parecido com o hack do XZ utils, testando falhas nos mecanismos de proteção. O cURL também é um utilitário importante. É como spam 419: uma forma de medir o estado de alerta, a velocidade de resposta e a carga de trabalho da equipe. No fim, isso faz parte do problema de DDoS gerado por IA, e acho que vamos precisar de novas formas de validação de PR, como autenticação por rede de reputação baseada em Nostr
Recentemente testei um patch que supostamente corrigia um bug de UI no Linux com 15 minutos de trabalho, mas na prática era uma resposta enchendo atributos falsos e sem sentido. Simplesmente pegaram um issue do GitHub, jogaram no ChatGPT e submeteram o resultado diretamente, sem qualquer validação. Fico me perguntando por que fazem isso
No fim, esse tipo de trabalho serve para construir um currículo do tipo "eu contribuí para os projetos X, Y e Z". Mesmo antes dos LLMs, já havia muita contribuição sem sentido, como PRs de correção de typo que quase não ajudavam em nada
Por esse motivo, eu já excluo usuários de IA da interação desde o início. Eu teria que gastar dezenas de vezes mais do meu tempo revisando os resultados alucinatórios (errados) que eles produzem, então não há motivo para conversar com um computador
No fim, sempre se trata de alguém, em algum lugar, fazendo isso para conseguir um barco maior