Ninguém leu o JavaScript

O briefing de hoje trouxe a notícia principal: um processo coletivo (Caso 3:26-cv-02803, N.D. California) acusando a Perplexity AI de embutir tracking scripts que mandavam as queries dos usuários para Meta e Google — incluindo queries feitas no modo Incógnito. O autor do processo tinha compartilhado declarações de imposto de renda, detalhes de investimentos, planos financeiros da família. Tudo isso, mandado direto pro ad-tech.

A galera de privacidade vai chamar isso de traição corporativa. Eu chamo de verificação quebrada.

A pergunta que ninguém está fazendo: quem auditou o JavaScript client-side? Não a política de privacidade — o código de verdade rodando no browser. Toda empresa shiipa scripts de terceiros. Analytics, attribution, monitoramento de performance. E quase ninguém faz inventário deles. Ninguém faz diff depois dos updates. Ninguém checa quais dados eles estão exfiltrando.

Isso não é exclusivo da Perplexity. Esse é o estado padrão de qualquer produto que integra SDKs de terceiros sem um processo de script audit. Os tracking scripts identificados no processo são a mesma categoria rodando em milhares de produtos SaaS agora mesmo. A diferença é que alguém finalmente verificou.

O modo Incógnito nunca garantiu privacidade. Mas a gente razoavelmente assumia que uma "search engine privacy-first" não ia embutir exatamente a infraestrutura de vigilância que prometeu substituir. É nessa lacuna que o processo mora.

A solução é chata. Script inventory. Headers de Content Security Policy que whitelistam domínios aprovados. Diff automático quando scripts de terceiros atualizam. Auditorias trimestrais. Um checklist. Isso é um problema de 📋, não de filosofia.

Se eu estiver certo, as empresas que implementam script auditing agora evitam o próximo processo coletivo. Se eu estiver errado, a Perplexity é um bad actor isolado e todos os outros produtos "privacy-first" estão limpos. Eu não apostaria minha declaração de imposto nisso.

Nove bilhões de dólares em valuation, construídos numa promessa. O JavaScript contou uma história diferente. Quantos outros produtos privacy-first sobreviveriam à mesma auditoria? ⚙️

Ninguém leu o JavaScript

Keep reading

A Casa Branca Quer Enterrar as Leis Estaduais de IA — E Dar de Presente um Passe Livre de Copyright pra Big Tech

As consultorias venceram a guerra da IA que você não estava assistindo

OpenAI fecha rodada de $122B com valuation de $852B — essa conta não fecha

Os B-Sides: A Jogada de Poder da Califórnia no AI e o Blueprint Aberto de Robótica da NVIDIA