Cloudflare alegou ter implementado o Matrix no Cloudflare Workers, mas na prática não implementou

 (tech.lgbt)
1 pontos por GN⁺ 2026-01-28 | 1 comentários | Compartilhar no WhatsApp
  • A Cloudflare anunciou que implementou o protocolo Matrix no Cloudflare Workers, mas o código não inclui funcionalidades centrais
  • Ao longo do código há vários comentários inacabados como TODO: Check authorisation, e a verificação de assinatura e os procedimentos de autenticação estão ausentes
  • Sem implementar o algoritmo de resolução de estado, o estado mais recente é inserido diretamente no banco de dados, o que pode causar vulnerabilidades de segurança e problemas de compatibilidade
  • Após a publicação do post no blog, a Cloudflare editou a postagem e o README, adicionando um aviso de isenção de responsabilidade de que “não é para produção”
  • Na comunidade de desenvolvedores, cresceram as críticas sobre código gerado por IA e alegações técnicas enganosas, levantando dúvidas sobre a confiabilidade da Cloudflare

A alegação de implementação do Matrix pela Cloudflare e a verificação do código

  • A Cloudflare anunciou em seu blog que implementou o Matrix sobre o Cloudflare Workers, mas o código real não executa as funcionalidades essenciais
    • No código permanecem comentários inacabados como TODO: Validate PDU signature, TODO: Check authorization
    • Como as regras de autenticação da API entre servidores do Matrix não foram implementadas, até dados falsificados são aceitos
  • O algoritmo de resolução de estado (state resolution), que é central no Matrix, foi omitido, usando-se em vez disso um método simples de inserir o estado mais recente no banco de dados
    • Isso pode causar inconsistências no estado das salas e problemas de interoperabilidade, além de vulnerabilidades de segurança

Alegações técnicas incorretas e histórico de correções

  • No blog da Cloudflare, foi afirmado que o Tuwunel e seu antecessor usavam Postgres ou Redis, mas isso não é verdade
  • Depois, a postagem foi corrigida para Synapse, e o README também passou a incluir a frase “protótipo de exemplo não destinado a produção”
    • Essas alterações podem ser confirmadas no commit do GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • A versão corrigida também inclui a frase de que teve ajuda do Claude Code Opus 4.5

Reações e críticas da comunidade

  • Em plataformas como Mastodon e Lobsters, cresceram as críticas sobre código gerado por IA e divulgação técnica enganosa
    • Houve muitas observações como “removeram verificação de assinatura, hashes e autenticação” e “não é seguro, é apenas um exemplo simples”
  • Alguns usuários avaliaram a resposta da Cloudflare como uma “tentativa de encobrimento”, rastreando o histórico de exclusão de commits e de force push
  • Também surgiram reações satíricas na comunidade
    • “Como é uma arquitetura serverless, o custo escala para 0 (porque não existe)”
    • “A Cloudflare alcançou segurança perfeita simplesmente não enviando nenhuma mensagem”

Comentários adicionais de Jade e apresentação do projeto

  • Jade apresentou o homeserver Matrix Continuwuity, baseado em Rust, que está desenvolvendo
    • Ele pode rodar até mesmo em um Raspberry Pi e não depende de infraestrutura de nuvem centralizada
  • Também está previsto que faça uma apresentação na FOSDEM 2026 sobre a experiência de correção de vulnerabilidades do Matrix
    • A coapresentadora será @nex@fedi.transgender.ing, e ela também participará no estande do Matrix

Discussões posteriores e reações técnicas detalhadas

  • Vários desenvolvedores apontaram erros lógicos no código da Cloudflare (por exemplo, usar || em vez de ??), a forma de tratamento de unknown error e o uso excessivo de comentários TODO
  • Alguns mencionaram que, no commit de correção da Cloudflare, é irônico que Remove PII tenha permanecido como commit público
  • Em toda a comunidade, foram levantadas preocupações sobre a dependência excessiva de IA no desenvolvimento da Cloudflare e a falta de confiabilidade técnica

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-28
Comentários do Hacker News

  • O blog técnico de uma empresa de infraestrutura normalmente tem dois objetivos: demonstrar expertise e construir confiança
    Mas, quando começam a aparecer exageros, acaba perdendo ambos
    Não sei se a frase “nós implementamos o Matrix” era literal ou exagero de marketing, mas há um cansaço crescente no setor com textos do tipo “nós fizemos X” que, na prática, significam apenas “fizemos uma demo de parte de X”
    A solução é simples — escrever com clareza exatamente o que foi construído. Mesmo algo como “colocamos um protótipo de homeserver Matrix com limitações sobre Workers” não perderia credibilidade

    • Para ser justo, os posts técnicos da Cloudflare em geral têm conteúdo perspicaz
    • Mas, se escrevessem com essa honestidade, a diretoria ficaria irritada. Porque isso equivaleria a admitir que os LLMs ainda não chegaram ao nível prometido pelos CEOs

  • Minha interpretação é que alguém fez o texto e o repositório ao mesmo tempo com "vibe coding" e publicou no blog da Cloudflare sem revisão
    O autor não parece ser engenheiro, e aparentemente acreditou quando a IA disse “isto foi testado e está pronto para produção”
    O principal indício é que o código está num GitHub pessoal, não num repositório oficial da Cloudflare. A Cloudflare precisa reforçar seus processos de revisão para comunicações públicas

    • Se essa pessoa for funcionária da Cloudflare, preocupa pensar no que mais ela pode estar fazendo com vibe coding. Vai saber quando acontece de novo algo como “derrubar metade da internet” por “engano”, como antes
    • Pelo que ouvi, o CEO e o CTO da Cloudflare revisam pessoalmente todos os posts do blog
    • A questão não é só “dá para fazer?”, mas a estrutura de incentivos dentro da organização
      Dizem que a Cloudflare trata posts de blog como um entregável importante para todos os cargos, inclusive engenharia. Numa estrutura assim, é fácil a velocidade virar prioridade sobre a qualidade
      No fim, esse episódio vai reduzir a confiança, aumentar o processo de revisão e diminuir a velocidade de publicação. É uma evolução natural conforme a organização cresce
      O mais surpreendente é que ainda não tiraram o texto do ar e, pelo contrário, estão criando ainda mais confusão com as edições

  • Eu gostaria que a Cloudflare publicasse um post de análise de causa raiz (RCA) sobre esse caso
    Parece o tipo de coisa que daria uma leitura tão interessante quanto um relatório de incidente
    Queria entender quais processos de revisão falharam desta vez e como pretendem restaurar a credibilidade do blog

  • Fui procurar o código-fonte mencionado pela Jade, e parece que o autor percebeu esta thread
    Link do commit relacionado

    • Num novo commit, ele removeu a expressão “production grade” do README, deixou explícito que recebeu ajuda de IA e também corrigiu o alinhamento do diagrama ASCII
      Link do commit
      Sinceramente, deviam simplesmente ter apagado tanto o blog quanto o repositório
    • Só que esse commit agora foi alterado para "Clean up code comments", deixando o objetivo mais obscuro
      Commit alterado
    • Esse tipo de alteração só piora ainda mais a situação

  • Ainda não faz muitos dias desde que desmentiram a notícia falsa de que o Cursor teria criado um navegador do zero com GPT-5.2, e aí acontece isso de novo
    Histórias desse tipo exigem basicamente uma postura de ceticismo por padrão

    • Depois de eu mesmo escrever um artigo sobre o “experimento de navegador do Cursor”, tentei criar um navegador com apenas um agente
      Post no Show HN
      No fim, consegui algo num nível parecido com o que o Cursor teria feito rodando centenas de agentes por semanas, em 20 mil linhas de código
      Link do repositório
    • O problema é que nem o blog da Cloudflare nem o repositório deixavam claro que se tratava de “vibe coding”
      Basta olhar o repositório matrix-workers: o diagrama ASCII desalinhado já era uma pista, então surpreende que ninguém tenha revisado isso
    • É difícil entender como publicaram o texto sem sequer verificar se a funcionalidade realmente funcionava
    • Hoje em dia, quase todo mundo envolvido com “IA” parece golpista ou fanfarrão. Ainda não encontrei exceções
    • Muita gente investiu demais nessa “tecnologia”, então vai levar tempo até voltarmos à ética hacker de não acreditar automaticamente em tudo que as empresas anunciam

  • No topo do post original do blog, foi acrescentada a frase “fica claro que isto é uma proof of concept”, mas embaixo ainda permanecia
    “nossa equipe já está processando comunicações criptografadas reais com Matrix on Workers”
    Fica impossível saber qual das duas coisas é verdade

    • É difícil acreditar nessa afirmação de que “nossa equipe está usando Matrix on Workers”. O repositório está num GitHub pessoal e a implementação é incompleta
    • Às 11:45 houve outra edição, e agora o texto diz “estamos experimentando esta implementação e damos boas-vindas a colaboradores interessados”
      Versão arquivada
    • Se eles realmente estão usando isso internamente, seria surpreendente, porque significaria que estão rodando código incompleto e arriscado dentro da própria rede corporativa

  • É preocupante quando um grande fornecedor publica código que na prática não funciona e ainda quer vender o produto
    Quando se faz engenharia complexa parecer fácil, fica mais difícil explicar que criar software seguro leva tempo
    Esse tipo de atitude desgasta a confiança na plataforma

    • O problema é que o setor já está há tempo demais numa “corrida para o fundo do poço”
      A programação com IA só explorou essa fantasia simplificada, e no fim foi a estrutura gananciosa do mercado que produziu esse tipo de situação

  • Como a Cloudflare continua editando o texto original, este link arquivado é útil para ver a versão inicial

    • Depois que alguém citou o post no Mastodon com o emoji 🤮, removeram discretamente do blog a construção típica de LLM “not just X; Y”

  • Isso foi um episódio constrangedor tanto para a Cloudflare quanto para o autor
    É difícil acreditar que publicaram o texto sem revisão
    A Cloudflare vem acumulando erros com frequência ultimamente, e parece ter passado do auge para uma queda gradual

    • Fico me perguntando: “por que a Cloudflare está errando tanto ultimamente?”. Talvez seja por causa da nova tecnologia da moda

  • O fato de a conta que publicou o blog no Hacker News ser uma conta descartável (throwaway) sugere que o próprio autor não tinha confiança no código nem nas alegações
    Link no HN

    • Além disso, ele ainda comentou no próprio post fingindo fazer perguntas