Você mantém suas mensagens criptografadas e sua área de trabalho privada. Esse é o combinado — Signal pra conversar, tela bloqueada pra todo o resto. Dois muros, duas portas, ambas fechadas.

Mas e se uma empresa pedisse as chaves das duas portas ao mesmo tempo?

Ontem, a gente cobriu como a xAI lançou dois produtos contraditórios na mesma semana — Grok Computer (uma IA que assiste sua tela) e XChat (um mensageiro que promete que ninguém assiste nada). Mesma empresa. Mesma semana. Comportamento totalmente normal.

Desde então, a coisa piorou. Consideravelmente.

A Porta dos Fundos Que Você Deveria Ignorar

O discurso de privacidade do XChat parece blindado: criptografia ponta a ponta (só remetente e destinatário leem as mensagens), mensagens que desaparecem, bloqueio de capturas de tela. Sólido, né? Aí o ByteIota reportou em 18 de abril o que acontece quando você realmente usa o app. O XChat tem um recurso chamado "Ask Grok" — você pressiona qualquer mensagem, toca no botão, e sua mensagem criptografada voa pros servidores do Grok em texto puro. Sem criptografia. Sem aviso. Só texto cru, entregue diretamente pra mesma empresa que também tá assistindo sua área de trabalho pelo Grok Computer.

É como instalar uma porta de cofre de banco e cortar uma portinha de gato bem no meio. Claro, a porta tecnicamente ainda está lá.

As Chaves Estão Dentro da Casa

O X armazena suas chaves de criptografia usando o protocolo Juicebox, dividindo-as em três partes. As três partes ficam nos servidores do próprio X. Em 18 de abril, o professor de criptografia Matthew Green chamou isso de "uma vulnerabilidade do tipo game-over." Sem forward secrecy — o que significa que mesmo que você pare de usar o XChat amanhã, um comprometimento futuro das chaves desbloqueia todas as mensagens que você já enviou. Não algumas mensagens. Todas.

E o rótulo de privacidade da App Store? Segundo uma análise da KuCoin publicada em 18 de abril, o XChat coleta quatro categorias de dados pessoais: localização, dados de contato, histórico de buscas e conteúdo do usuário. Pra um app que se vende como "Sem Anúncios, Sem Rastreadores" pros 550 milhões de usuários do X. Você quase admiraria a audácia se não fossem seus dados em jogo.

Musk prometeu antes do lançamento de 18 de abril abrir o código-fonte e realizar auditorias de segurança independentes. Até 19 de abril de 2026: nenhum repositório no GitHub. Nenhum relatório de auditoria. Nenhuma revisão de terceiros. Só a promessa, pairando no ar como aquele comentário TODO de 2019 que ninguém nunca atribuiu.

"Irresponsável" Não É Editorial — É Citação

Enquanto isso, o Grok Computer — o agente de desktop que captura vídeo em tempo real da sua tela, abre apps, preenche formulários, clica botões — a xAI lançou sem absolutamente nenhuma documentação de segurança publicada. Sem model card, que é um relatório padrão detalhando o que uma IA pode fazer, quais riscos a equipe testou e quais proteções existem. Pra contextualizar: a Anthropic publicou um model card detalhado pro recurso Computer Use deles. A OpenAI publicou um pro Operator. A xAI publicou... um tweet.

Em 17 de abril, o pesquisador da Anthropic Samuel Marks chamou o lançamento de "irresponsável" e um desvio das "melhores práticas da indústria." Quando um pesquisador de um laboratório concorrente de IA se preocupa publicamente com os seus usuários, registrado em nome e sobrenome, isso não é rivalidade — é um sinal de socorro.

Você já conhece o histórico: todos os cofundadores originais da xAI saíram, a Apple ameaçou remover o Grok da App Store por conteúdo deepfake, e o próprio Musk admitiu que a xAI "não foi construída direito da primeira vez." Mesmo padrão, novas evidências.

A Equação da Confiança

Então aqui está o que você realmente está escolhendo. Grok Computer: acesso total à área de trabalho, zero avaliações de segurança publicadas, uma empresa que não conseguiu manter sua própria equipe fundadora unida. XChat: "criptografia" que manda texto puro pro Grok no instante que você toca um botão, armazena suas chaves na infraestrutura do próprio X, e contradiz seus próprios rótulos da App Store em todas as quatro categorias de dados que alega não coletar.

Dois produtos. Mesma empresa. Mesmo déficit de confiança.

Na economia da confiança em IA, a xAI continua emitindo cheques em duas contas opostas. Uma diz "Eu vou ver tudo." A outra diz "Ninguém vai ver nada." Nenhuma tem saldo — e o banco acabou de perder todos os caixas.