Compartilhe esta publicação
🔓Backdoor no XZ Utils e os mistérios do caso
Como um dev ganhou confiança até introduzir código malicioso em um utilitário popular. Mais: produtividade com Rust no Google, feedback para tech leads, data center de US$ 100 bi e gafes da IA
XZ Utils é um utilitário de compressão. Talvez você já o tenha utilizado para descompactar arquivos .xz.
No fim de março, um desenvolvedor da Microsoft, Andres Freund, notou um atraso estranho no protocolo SSH no Debian (distro Linux). Ao investigar, descobriu um backdoor — código malicioso — na versão experimental do XZ.
A descoberta desencadeou uma busca por quem havia introduzido o problema. Chegou-se, então, ao nome de "Jia Tan", um desenvolvedor misterioso e com uma estratégia de "engenharia social" eficiente — já se discute se “Jia” seria um único dev ou um grupo, possivelmente financiado até por alguns países.
"Jia Tan" ou "Jia Cheong Tan" apareceu pela primeira vez no GitHub em 2021, com o username "JiaT75", contribuindo em projetos de código aberto, provavelmente para ganhar reputação e confiança.
Em janeiro de 2023, começou a ser integrado ao XZ Utils. Ao longo do ano, ganhou mais controle sobre o projeto — incentivado, inclusive, por reclamações sobre lentidão nas atualizações, o que se suspeita ter sido outro truque para acelerar a falcatrua.
Em fevereiro de 2024, ele adicionou o backdoor em uma nova versão do XZ. Por muito pouco, graças a Freund e a um bocado de sorte, o problema não se alastrou globalmente.
Além da sofisticação técnica do próprio backdoor, o que chamou atenção da comunidade de cibersegurança foram a paciência, a disciplina e o comportamento longe de suspeitas de "Jia Tan" ao executar o plano.
Se a moda pega, seria uma dor de cabeça enorme para o mundo open source, para plataformas como GitHub e, possivelmente, até a governos e à geopolítica.
Para saber mais, essa é a nota técnica oficial. A Red Hat informa que o problema afeta versões a partir de 5.6.0 do XZ Utils, principalmente no Fedora. Este GitHub e este post trazem detalhes técnicos e aqui há uma linha do tempo. Essa reportagem da Wired, por fim, aprofunda a história.
⚙️ Desenvolvedores do Google mais produtivos com Rust
O Google relatou ganhos de produtividade ao migrar projetos de C++ para Rust. Segundo o diretor de engenharia, Lars Bergstrom, as equipes que escreveram código Rust foram 2x mais produtivas em relação a C++, além de ter havido redução no uso de memória dos serviços, taxas menores de bugs e maior confiança — de até 85%! — na corretude dos códigos. É mais uma a favor de Rust, que tem ganho reputação por características como imutabilidade de dados e segurança de memória, sendo recomendada até pelo Governo dos EUA. Mais aqui sobre o fato. Aqui, um artigo sobre segurança de memória como recurso nativo de Rust.
💬 Fornecendo feedback como tech lead
Vale para líderes técnicos, mas pode servir para qualquer membro de times. Dar feedback útil e sincero, que ajude outra pessoa a entregar resultados, a se desenvolver, sem se sentir ofendida e pressionada, é uma arte. O artigo "Mastering Leadership: Why We Hesitate Giving True Feedback", do engenheiro e tech lead da Meta Raviraj Achar, fornece conselhos sobre como conversar quando um colega atrasa prazos, quando é necessário delegar tarefas, quando alguém não investiga problemas a fundo e como avaliar o desempenho de um colaborador a um superior. O segredo está em superar a hesitação natural, planejar o feedback, saber perguntar e ser honesto. Vale a leitura.
🧭 Opera permite baixar e executar LLMs open source localmente
O navegador Opera anunciou esta semana um recurso pioneiro: a possibilidade de baixar e executar LLMs de código aberto no computador — o que é um aliado à proteção e privacidade de dados. A novidade está disponível para usuários que participam das atualizações para desenvolvedor do Opera One. Serão cerca de 150 variantes de 50 famílias de LLMs, como Llama, Vicuna, Gemma, Mixtral, entre outros. Vale lembrar que esses modelos já podem ser usados e experimentados gratuitamente, sem instalação, via HuggingChat.
💵 Stargate, o data center de US$ 100 bilhões da Microsoft
São cifras de outra galáxia. US$ 100 bilhões está mais para orçamento de Departamento de Defesa. Mas é o que Microsoft e OpenAI (proprietária do ChatGPT) planejariam gastar no projeto "Stargate", um data center e supercomputador para treinar e executar modelos de IA a ser construído até 2028. É algo como 100x o custo de data centers atuais de grande porte, e deve consumir tanta energia que se cogita até uso de fontes nucleares — outro interesse crescente de empresas e investidores tech. A notícia é da The Information (paga) e foi replicada em vários portais.
🤖 Carros a um dólar e outras gafes da IA
Uma concessionária da Califórnia teve de desativar seu chatbot de IA depois que ele passou a ser influenciado por clientes a vender carros por um dólar. No Reino Unido, uma empresa teve de fazer o mesmo depois que seu bot passou a xingar clientes — problema similar a um bot do Mercado Livre, tempos atrás. Pior, uma companhia aérea teve que pagar indenização depois que seu chatbot mentiu a um cliente. Esta semana, a Amazon foi desmascarada após desativar seu "supermercados sem caixas" em que a "IA" (visão computacional) não passava de milhares de indianos revisando manualmente 700 de cada 1000 transações. E o hype da IA continua…
❓Você sabe (e está preparado para) o que é RAG?
Essa é para você pesquisar e aprender. Vale a pena devs se inteirarem da técnica, que permite agregar o uso de LLMs a bases de dados proprietários, algo cada vez mais procurado por empresas, por questões de privacidade e segurança. Na próxima edição, explicaremos a respeito.
A propósito, a resposta à pergunta da edição anterior é: BFF significa Back-end For Front-end. É um padrão de arquitetura que consiste em criar uma camada de serviços de back-end intermediária para serem consumidos por clientes (front-end) específicos. Na prática, evita a personalização de um único back-end para várias interfaces. Se tiver um tempo, aprenda mais nesse artigo da Microsoft, nessa série de quatro posts no Medium e veja esse relato de uso na Decathlon, rede de varejo esportivo.
Obrigado por ler!
Voltaremos com mais fatos, tendências e dicas na próxima sexta-feira. Curta, compartilhe, comente e participe da enquete abaixo. Obrigado por ler e por estar com Be!