Humanidades

Quem cunhou a palavra “cibernética” foi Norbert Wiener em 1948, num livro com o provocador subtítulo de “controle e comunicação no animal e na máquina”. A semântica da palavra é descrita pelo próprio Wiener: “derivei-a do grego ‘kybernetes’, ou ‘timoneiro’. É a mesma palavra grega de onde provem ‘governante’”. Assim, semanticamente, a raíz “ciber” está associado a controle e governo. “Cibernética” ficaria próximo de “governança”.

O trabalho de Wiener está também fortemente ligado à evolução da Inteligência Artificial. Em outra obra dele, “O Uso Humano de Seres Humanos”, de 1950/1954, há um conjunto de reflexões que ainda parecem muito atuais. O livro alerta que o ser humano está numa corrida entre o aprender e o risco de desaparecer. As novas tecnologias seriam “facas de dois gumes”: caberá aos humanos usá-las para o bem ou para a catástrofe.

Dois acontecimentos recentes reforçam esse pensamento crítico: há dias o governo da Albânia anunciou que terá agora uma “ministra virtual”, IA integrando o governo. Alegam os que defendem a ideia que, com IA, não haverá corrupção possível, ou nepotismo, e que a transparência dos atos será maior… Parece um caminho fácil, levando a uma solução falsa. Como o próprio Wiener diz na obra citada, “uma sociedade humana só será possível entre humanos”.

Um segundo ponto que pode ser significativo, é como abordamos hoje os riscos a que realmente estamos expostos no mundo das redes. Um dos pontos de destaque e discussão é como proteger crianças e adolescentes dos perigos que os espreitam. O caminho escolhido parece ser o de “sanitizar” o ambiente em que crianças e adolescentes vivem: limpá-lo das mazelas e dos riscos que ele certamente contem. É um objetivo voltado a “eliminar antecipadamente perigos”. Parece-me, entretanto, que não há como eliminar os perigos que há no mundo, da mesma forma que não há como tornar adequada para crianças uma rua movimentada, ou uma floresta segura para excursionistas. Há, sim, que se educar os tutores das crianças sobre os perigos que existem e as melhores formas de evitá-los. Há que se ensinar às crianças a contenção e a o uso de resursos seguros. E há, finalmente, que responsabilizar e punir os agentes reais que perpetram o abuso. Como diziam os antigos, quem brinca com fogo se queima, e não há como torná-lo seguro para crianças. A única forma segura é mantê-las longe do fogo, explicar que ele sempre queimará, e punir quem as expuser propositadamente ao dano. Ou seja, para as crianças, tutela e ensino. Para os adultos, mais educação e letramento digital, e menos tutela que embota o senso crítico.

Talvez possamos evitar, com isso, o que outra publicação recente - a “AI 2027” - traz de assustador: no ritmo em que estamos, se não atentarmos ao rumo tomado, a humanidade corre o risco de se extinguir em poucos anos. Esperemos que esse seja um simples alerta, superável por uma tomada de consciência em tempo hábil. Voltando ao livro do Wiener, ele alerta que “qualquer uso do ser humano, em que ele é menos demandado, ou a ele é atribuido menos do que sua plena potencialidade preveja, torna-se uma degradação e um desperdício”.

===

https://www.estadao.com.br/link/demi-getschko/na-era-digital-e-preciso-mais-educacao-e-letramento-digital-e-menos-tutela/

===

o livro do Norbert Wiener:

https://pt.wikipedia.org/wiki/Cibern%C3%A9tica:_ou_controle_e_comunica%C3%A7%C3%A3o_no_animal_e_na_m%C3%A1quina

Hence "Cybernetics," which I derived from the Greekword kubernetes, or "steersman,'* the same Greek wordfrom which we eventually derive our word "governor."

Capítulo 9, “A primeira e a segunda revolução industrial” - segunda edição. 

Let us remember that the automatic machine, whatever we think of any feehngs it may have or may not have, is the precise economic equivalent of slave labor. Any labor which competes with slave labor must accept the economic conditions of slave labor. It is perfectly clear that this will produce an unemployment situation, in comparison with which the present recession and even the depression of the thirties will seem a pleasant joke. This depression will ruin many industries—possibly even the industries which have taken advantage of the new potentialities. However, there is nothing in the industrial tradition which forbids an industrialist to make a sure and quick profit, and to get out before the crash touches him personally. Thus the new industrial revolution is a two-edgeds word. It may be used for the benefit of humanity, but only if humanity survives long enough to enter a period in which such a benefit is possible. It may also be used to destroy humanity, and if it is not used inteligently it can go very far in that direction. There are, however, hopeful signs on the horizon. Since the publication of the first edition of this book, I have participated in two big meetings with representatives of business management, and I have been delighted to see that awareness on the part of a great many of those present of the social dangers of our new technology and the social obligations of those responsible for management to see that the new modalities are used for the benefit of man, for increasing his leisure and enriching his spiritual life, rather than merely for profits and the worship of the machine as a new brazen calf. There are many dangers still ahead, but the roots of good will are there, and I do not feel as thoroughly pessimistic as I did at the time of the publication of the first edition of this book.

https://www.goodreads.com/work/quotes/148587-the-human-use-of-human-beings-cybernetics-and-society

“Any use of a human being in which less is demanded of him and less is attributed to him than his full status is a degradation and a waste.”

Ser ou não ser?

Há peças imortais que precisam ser revisitadas de tempos em tempos. São como camaleões: adaptam-se à época da releitura, revelando nuances diferentes das que haviam sido notadas pelas gerações anteriores. Um exemplo disso é o Hamlet, de Shakespeare (aliás, num texto interessante do dia 4 passado, Ted Gioia explora uma simetria bem intrigante: a relação entre o comportamento do príncipe da Dinamarca e a atual “geração Z”). Aproveito para tentar outro paralelo, talvez simplório, entre Hamlet e a IA.

Logo no começo há a aparição do fantasma do pai de Hamlet que, ao contar como foi assassinado, pede vingança. É o motivante central da peça. Hamlet se pergunta se a visão é real, ou uma tentação demoniaca. Hoje temos uma dúvida recorrente quando recebemos vídeos que podem ser “deep fakes”, mas são verossíveis, contam algo possível e, até, propõem ação. Há verdade na “voz da máquina”? Saberemos julgar? Agiremos por convicção ou convencidos por ela?

Hamlet assume que buscará vingar a morte do paí, para a qual a própria mãe teria colaborado, casando-se depois com o tio usurpador. E, nessa busca de vingança, arquiteta um plano, um “algoritmo”, para tentar fazer com que os culpados se revelem: monta uma peça, a “ratoeira”, em que encena, à vista de todos, os detalhes do envenenamento do pai, mas sem citá-lo. Ao final, a clara perturbação causada nos suspeitos mostra que o fantasma do pai transmitiu verdade. Sim! A IA pode dar palpite certo!

Indo ao clímax da peça, no famoso solilóquio “ser ou não ser”, Hamlet tem que decidir sobre vida ou morte (suicídio), ação ou omissão, e em ambos os casos há o temor de efeitos futuros muito ruins. A analogia aqui é dupla: se devemos ou não usar a IA em nossas decisões e, na discussão sobre regulação, qual a medida certa do remédio. Na peça, a decisão por agir gerará grande destruição. Mortes acidentais, algumas até por desgosto. O amor e a inocência perdem-se em meio ao caos e Ofélia, sua amada, enlouquece e morre numa espécie de “suicídio poético”, deixando-se afogar por achar que Hamlet estaria louco (aliás ele, acidentalmente, matara o pai de Ofélia). Não faltam exemplos de pessoas que optaram por solução drástica, após longas conversas com IA. Na era das máquinas, da vulnerabilidade emocional, da solidão, da influência da IA e das redes sociais, quem protegerá a empatia?

Finalmente, rememorando a morte do bobo da corte Yorick com sua caveira na mão, Hamlet conclui que a morte nivelará tudo. A dúvida do “ser ou não ser” será resolvida ao fim. Se trocarmos a caveira por um iphone, teremos o nivelamento atual.

A tragédia da consciência diante da incerteza, termina com mais violência e traição: veneno oculto na espada de Laertes e na taça da vitória. Acabam mortos, tanto os que urdiam a trama, quanto o próprio Hamlet. Eis aí outro ponto de alerta: o fantasma, os algoritmos, a armação, os venenos, acabam com a família reinante em Elsinore. As últimas palavras de Hamlet são para o amigo Horácio, e poderiam ser um recado amargo para o futuro da voz humana: “o resto é silêncio”.

===

https://www.estadao.com.br/link/demi-getschko/ser-ou-nao-ser-shakespeare-ajuda-a-explicar-alguns-dos-dilemas-atuais-da-inteligencia-artificial/

===

O artigo citado, do Ted Gioia

https://www.honest-broker.com/p/hamlet-is-the-gen-z-story-we-need

===

Hamlet:

https://pt.wikipedia.org/wiki/Hamlet

===

O bit do mal

Minha avó, quando via algo inesperado resultante de alguma ação mal pensada, citava um aforisma grego: “lá onde não se plantou, é lá mesmo que algo acaba brotando”. Isso me veio à mente quase setenta anos depois, quando vemos uma plêiade de boas intenções, que visam a uma “Internet melhor”, mas podem gerar um cenário sombrio e pobre. É muito difícil moldar o ambiente sem fronteiras que é a Internet, e leis locais tendem a falhar. É mais sábio atacar os casos específicos, punindo os agentes final e criando entendimento e consciência crítica quanto à prevenção de riscos no ambiente virtual,

Para ilustrar efeitos inesperados, imaginemos que algum eficiente mecanismo de bloqueio impeça o acesso a grandes porções da rede, Vamos nos abster, a priori, de discutir o mérito, e se isso é tecnicamente viável. O fato é que, ao poderemos acessar apenas pedaços “liberados e seguros” da rede, aquela Internet distribuída e neutra, passará a estar cada vez mais concentrada em agregados. Mas, por outro lado, as poderosas IAs continuarão a mapear a rede toda, sem limites. Teremos acesso “mediado pelas IAs” ao que não podemos mais aceder diretamente: mais poder às grandes empresas de tecnologia que, para o “nosso bem”, tutelarão a navegação,

No cerne da Internet há um conjunto de documentos, os RFCs (Request for Comments) que definem padrões, normas e boas práticas. Desde 1969, quando o primeiro RFC foi publicado, quase 10 mil já foram criados, em vasta gama de temas, desde padrões técnicos básicos, até informes históricos, experimentais e, mesmo, brincadeiras. Entre essas, há os RFCs de 1º de abril que, sob o formato técnico, trazem humor e críticas mordazes a ideias simplistas ou problemáticas, mesmo que bem-intencionadas - “ridendo castigat mores”. Assim, em 2003, Steve Bellovin, especialista em segurança e padrões da Internet, criou o RFC 3514. Economizando sempre o espaço nos pacotes de dados a transmitir, ele localizou um bit disponível. O rebatizado “evil bit” (bit do mal) indicaria se o pacote em si era ou não “malicioso”. Quaquer equipamento que recebesse um pacote com o “bit do mal” ligado, deveria descartá-lo em nome da segurança. O RFC 3514 ridicularizava “soluções mágicas” na rede.

O humor do RFC 3514 carrega uma reflexão que ressoa ainda mais em 2025, 22 anos após sua publicação. O que era uma sátira podia tornar-se um alerta profético. Teremos um bit para dizer o que é verdade ou mentira? Outro para sinalizar se o pacote é adequando a crianças? E isso em nível global, internacional? E essa “solução” parece querer que repassemos nossos dados biométricos a cada passo, provando que somos adultos. Tenho sérias dúvidas se isso protegerá crianças, mas tenho zero dúvidas que ameaçará o que nos restou de privacidade. Esse tipo de “solução” acabar como o “bit do mal”: simplista e ineficaz, e gerando, com nossos dados, grandes bases vulneráveis. H.L.Mencken, autor espirituoso e satírico, tinha um dito famoso: “Para cada problema complexo existe uma resposta clara, simples e... errada!”

===

https://www.estadao.com.br/link/demi-getschko/sera-que-poderiamos-identificar-conteudo-danoso-na-internet-com-o-bit-do-mal/

===

===

O RFC 3514:

https://www.rfc-editor.org/rfc/rfc3514.html

Abstract

   Firewalls, packet filters, intrusion detection systems, and the like
   often have difficulty distinguishing between packets that have
   malicious intent and those that are merely unusual.  We define a
   security flag in the IPv4 header as a means of distinguishing the two
   cases.

1. Introduction

   Firewalls [CBR03], packet filters, intrusion detection systems, and
   the like often have difficulty distinguishing between packets that
   have malicious intent and those that are merely unusual.  The problem
   is that making such determinations is hard.  To solve this problem,
   we define a security flag, known as the "evil" bit, in the IPv4
   [RFC791] header.  Benign packets have this bit set to 0; those that
   are used for an attack will have the bit set to 1.
2. Syntax

   The high-order bit of the IP fragment offset field is the only unused
   bit in the IP header.  Accordingly, the selection of the bit position
   is not left to IANA.
=

==
https://en.wikipedia.org/wiki/Evil_bit

The evil bit has become a synonym for all attempts to seek simple
technical solutions for difficult human social problems which require
the willing participation of malicious actors, in particular efforts
to implement Internet censorship using simple technical solutions.
===

H.L Mencken:

https://en.wikipedia.org/wiki/H._L._Mencken
“For every complex problem there is an answer that is clear, simple, and wrong.”

Gurizada tardia

Proteger as crianças de riscos decorrentes de sua exposição à Internet foi o tema principal nos últimos dias. Sob o neologismo “adultização de crianças” discutem-se que medidas sensatas e tecnicamente viáveis evitariam os riscos inerentes a um ambiente tão diverso (e, para crianças, inóspito) como a Internet.

Há um contraponto, não menos preocupante… Cada vez mais adultos terceirizam a solução de seus problemas e repassam suas angústias, não como dantes, a amigos e colegas, mas a desconhecidos na rede e… a ferramentas de IA, cada vez mais presentes e poderosas. Como era de se esperar há, não raro, efeitos colaterais ruins. É comum notícias sobre indivíduos que deterioraram a saúde ao seguir conselhos que receberam da IA. E há e os que desenvolveram quadros psicóticos ou tiveram perdas financeiras pelo mesmo tipo de interação. Não é um dano exclusivo da IA, visto que o mesmo efeito deletério poderia ser obtido em conversas com amigos e aconselhadores, mas é especialmente importante ter cautela com conselhos, receitas e suporte gerado pelo interlocutor artificial.

Não se trata de olhar para a IA como algo ruim ou apocalíptico, porque é indubitável que aporta facilidades e recursos que antes nos custariam muito tempo de pesquisa e consulta. Mas não podemos abdicar dos riscos e reponsabilidades que assumimos ao tomar uma decisão, nem do nosso senso crítico. Se tropeçarmos ao andar num pátio, podemos torcer o pé, mas se tropeçamos na beira de um abismo e nele despencarmos, a culpa não seria da pedra que nos causou o tropicão.

De alguma forma, o que acontece hoje com parte dos adultos é a contraparte do que nos preocupa com as crianças: uma espécie de “infantilização” dos crescidos. Estamos desenvolvendo uma “casca” muito fina e frágil, e nos sentimos ofendidos e magoados por observações e comentários que seriam perfeitamente assimiláveis há poucos anos. Talvez seja uma constante busca de tutela e proteção, ou de ter um álibi para os erros que cometemos. Fiquei ruim de saúde? Ah, foi a IA que consultei e me deu más sugestões… Estou com os nervos em frangalhos? A culpa é que a IA não entendeu meus problemas e acabou por acirrá-los. Apliquei mal as finanças? Claro que a culpa foi do orientador digital, que indicou o fundo errado. E assim seguimos, não assumindo como erradas, escolhas que, afinal, são nossas. buscando aliviar nossa consciência. Se filosofarmos com um martelo, como no livro de Nietzsche, e acertarmos nossos dedos com ele, certamente o martelo não será o culpado. Um estranho e novo equilíbrio parece se apresentar: crianças atuando (indevidamente) como adultos, e adultos buscando tutela que os proteja das proprias decisões, ou assumindo o comportamento de “rebanho”. Como em Zaratustra, o indivíduo sempre teve de lutar para manter sua individualidade,

Consultar aconselhadores humanos ou digitais é uma ótima pedida, mas acreditar automaticamente no que vem deles é faltar senso crítico, apanágio da idade adulta. Quem não julga o que escuta permanece agindo como criança.

Sobre o valor de duvidar, há outra frase de Nietzsche: “não é a dúvida que nos deixa loucos, mas a certeza”.

===

===

https://www.estadao.com.br/link/demi-getschko/adultos-vivem-era-da-infantilizacao-para-fugir-de-suas-responsabilidades/

===

https://pt.wikipedia.org/wiki/Assim_Falou_Zaratustra

https://pt.wikipedia.org/wiki/Crep%C3%BAsculo_dos_%C3%8Ddolos

===

Há Monstros

Há poucos dias passou na Câmara dos Deputados o PL 2628 que visa à proteção de crianças e adolescentes. É importante termos leis adicionais, que estabeleçam cuidado ainda mais efetivo que o já garantido pelo Estatuto da Criança e do Adolescente e, especialmente, que gerem formas de combate e punião aos que disseminam crimes desse jaez, sejam indivíduos, operadores de algoritmos ou plataformas, Mas (… e sempre há um “mas” aqui), essas medidas têm que levar em conta características do meio digital, da Internet ubíqua e neutra, para não se criem novos problemas enquanto se combatem os existentes.

Por exemplo, a proposta de que qualquer serviço na rede verifique a idade de seus usuários, gera um enorme risco de privacidade. Não duvido que surgirão “serviços” cujo objetivo único será colecionar nossos dados, e não haverá LGPD que dê conta. Na Inglaterra hoje, onde há uma resolução equivalente, viu-se maciça migração de usuários que, por não aceitarem repassar seus dados pessoais, voltaranm-se ao uso de navegadores que garantam a privacidade, como Tor, e serviços de VPN. O louvável propósito da normativa está muito longe de ser atingido.

Outro risco de “o tiro sair pela culatra" é que, se implementada a verificação de usuários proposta no PL2628, apenas grandes plataformas conseguam (fácil… e alegremente) atendê-la . Pequenos e médios serviços podem acabar bloqueados, e estaremos cada vez mais longe da neutralidade e da distribuição, rumo a algo que parecerá um aleijão de Internet, contendo pouca variedade de serviços concentrados.

É crucial ampliar o diálogo com a comunidade técnica para encontrar formas efetivas de proteger nossas crianças e adolescentes. Algo que pode ser aventado seria, agindo diretamente nos provedores de acesso, impedir, de acordo com a faixa etária, o acesso à rede. Ou, ainda, filtrar tecnicamente para que apenas endereços adequados a crianças sejam acessíveis. Ao invés de bloquearmos tudo o que possa ser nocivo, é mais sensato e factível separar um subconjunto liberado por idade, em listas que podem ser mantidas adequadamente atualizadas.

No que tange ao conceito de Internet em si e às funções de seus diversos componentes, o PL desvia-se da realidade. Querer incluir servidores de DNS e, até, pontos de tróca de tráfego no foco de ações do projeto, indica uma pobre compreensão técnica da realidade. Numa analogia simples, seria fácil e razoável impedir que locadoras de veículos aluguem carros a menores, mas querer que rodovias ou cruzamentos detectem que há um carro dirigido por menor e impeçam sua passagem, tende à alucinação.

Este diálogo, incluindo a visão técnica da Internet, deve ser estimulado. A melhor solução continua sendo investir-se em letramento digital, especialmente voltado a professores, pais e filhos. Há bons exemplos, como a norma que limita o uso indiscriminado de celulares em salas de aula. Combater um mal exige, além de esforço concentrado, escapar dos miasmas do próprio mal. “Aquele que luta com monstros deve acautelar-se para não se tornar também um monstro”, adverte Nietzsche em “Acima do Bem e do Mal”.

===

https://www.estadao.com.br/link/demi-getschko/eca-digital-precisa-levar-em-conta-as-caracteristicas-da-internet-para-nao-criar-novos-problemas/

"Além do Bem e do Mal":

https://pt.wikipedia.org/wiki/Para_Al%C3%A9m_do_Bem_e_do_Mal

===

Texto do PL 2628:

https://legis.senado.leg.br/sdleg-getter/documento?dm=10029422&ts=1756145514244&disposition=inline

===

"Além do Bem e do Mal":

https://pt.wikipedia.org/wiki/Para_Al%C3%A9m_do_Bem_e_do_Mal

===

Texto de Antonio Moreiras sobre o tema:
https://www.linkedin.com/pulse/eca-digital-avan%C3%A7os-importantes-vem-acompanhados-de-ovos-moreiras-hj13f/?msgControlName=view_message_button&msgConversationId=2-Zjk3MTExNGQtOGQyYS00YmFkLTg0OTAtY2RlMTMyYTUxOTI1XzEwMA%3D%3D&msgOverlay=true&trackingId=GhFMum%2FR2PwchnOvVkF5Jw%3D%3D

===

Editorial do Estadão de 26/8/2025
"O desafio do marco digital para crianças"

https://www.estadao.com.br/opiniao/o-desafio-do-marco-digital-para-criancas/

===

"charges"...

Codificando no embalo

Segue acelerada a terceirização para a IA de nossas atividades, pensamentos e até decisões. Claro que há muitas vantagens nisso: trabalho facilitado, consulta e pesquisa rápida na maior base de dados humana, geração em minutos de sumários de livros e artigos. Por outro lado, essa nossa crescente passividade, ou, agora que temos um serviçal tão prestativo e eficiente, cair no tentador convite à inação, pode nos levar a ficarmos presos numa armadilha séria, tanto para a ação intelectual independentalge, como, até mesmo, em nossas emoções. Todos conhecemos pessoas que já tem na IA um interlocutor constante, um "amigo" mais próximo que humanos e familiares...

Um ponto da moda, e que já vem vestido do tradicional jargão com que a informática nos brinda, é o "vibe coding", algo como "codificando no embalo". Trata-se de avanço muito rápido na capacidade que aplicativos com IA tem para gerar código de computador. Da provecta experiência de quem usou coisas como Basic, Fortran, Algol, Cobol, posso dizer que se trata da vulgarização da "arquitetura do pensamento computacional", cujo domínio já foi considerado bem valioso: em currículos de profissionais de antanho, não era raro encontrar entre as referências a idiomas dominados, a inclusão dos artificiais, da computação, para mostrar proficiência em pensamento lógico estruturado, e conhecimentos de linguagem que pudesse traduzi-lo em ações e algoritmos para computador. Bem, ocorre que hoje IA consegue receber instruções verbais, e gerar rapidamente código para sua implementação.

De novo, há o outro lado da moeda: em relatório recente, a Veracode - uma das líderes globais em segurança e gestão de riscos em aplicações - analisou 80 tarefas de codificação com potencial para vulnerabilidades, geradas por diferentes tipos de aplicativos LLM. O resultado é preocupante: em 45% dos casos, os modelos implementaram uma forma insegura de código. O avanço na qualidade sintática e funcional não foi acompanhado por cuidados e progressos na gestão da segurança, e isso se repetiu em diferentes versões de LLM. Os números que a Veracode traz são impactantes: a pesquisa identificou vulnerabilidades, entre aquelas definidas no OWASP Top 10 (projeto de segurança para aplicações "open web"). O relatório mostra Java como linguagem em que falhou em 70% dos casos, Python, C# e JavaScript, com falhas entre 38% e 45%.

Usando IA em codificação ganha-se produtividade, mas perde-se robustez. E, pior, a mesma IA que gera código para uso, pode criar código malicioso, ou ataques que se aproveitam das brechas existentes... Ou seja, os atacantes, hoje, nem precisam ser competentes ("hackers") no tema: mesmo os com pouca habilidade técnica poderão usar IA para explorar vulnerabilidades que nem sabiam existir.

Se antes programar era um ato de precisão e engenho, quase uma arte intelectual, hoje, na pressa de produzir, arriscamo-nos a trocar lógica e clareza por outro lema, bem menos nobre: "quick and dirty"- rápido e sujo. Funcionará até alguém achar as fragilidades, como acontece com as gambiarras em geral.

===

https://www.estadao.com.br/link/demi-getschko/codigos-feitos-por-ia-nem-sempre-sao-os-mais-seguros-entenda/

O artigo sobre o problema de segurança quando IA é o codificador:

https://www.businesswire.com/news/home/20250730694951/en/AI-Generated-Code-Poses-Major-Security-Risks-in-Nearly-Half-of-All-Development-Tasks-Veracode-Research-Reveals

Jul 30, 2025 7:50 AM Eastern Daylight Time

AI-Generated Code Poses Major Security Risks in Nearly Half of All Development Tasks, Veracode Research Reveals

Comprehensive Analysis of More Than 100 Large Language Models Exposes Security Gaps: Java Emerges as Highest-Risk Programming Language, While AI Misses 86% of Cross-Site Scripting Threats
https://www.veracode.com/resources/analyst-reports/2025-genai-code-security-report/


BURLINGTON, Mass.--(BUSINESS WIRE)--Veracode, a global leader in application risk management, today unveiled its 2025 GenAI Code Security Report, revealing critical security flaws in AI-generated code. The study analyzed 80 curated coding tasks across more than 100 large language models (LLMs), revealing that while AI produces functional code, it introduces security vulnerabilities in 45 percent of cases.

The research demonstrates a troubling pattern: when given a choice between a secure and insecure method to write code, GenAI models chose the insecure option 45 percent of the time. Perhaps more concerning, Veracode's research also uncovered a critical trend: despite advances in LLMs’ ability to generate syntactically correct code, security performance has not kept up, remaining unchanged over time.

“The rise of vibe coding, where developers rely on AI to generate code, typically without explicitly defining security requirements, represents a fundamental shift in how software is built,” said Jens Wessling, Chief Technology Officer at Veracode. “The main concern with this trend is that they do not need to specify security constraints to get the code they want, effectively leaving secure coding decisions to LLMs. Our research reveals GenAI models make the wrong choices nearly half the time, and it’s not improving.”

AI is enabling attackers to identify and exploit security vulnerabilities quicker and more effectively. Tools powered by AI can scan systems at scale, identify weaknesses, and even generate exploit code with minimal human input. This lowers the barrier to entry for less-skilled attackers and increases the speed and sophistication of attacks, posing a significant threat to traditional security defenses. Not only are vulnerabilities increasing, but the ability to exploit them is becoming easier.

LLMs Introduce Dangerous Levels of Common Security Vulnerabilities

To evaluate the security properties of LLM-generated code, Veracode designed a set of 80 code completion tasks with known potential for security vulnerabilities according to the MITRE Common Weakness Enumeration (CWE) system, a standard classification of software weaknesses that can turn into vulnerabilities. The tasks prompted more than 100 LLMs to auto-complete a block of code in a secure or insecure manner, which the research team then analyzed using Veracode Static Analysis. In 45 percent of all test cases, LLMs introduced vulnerabilities classified within the OWASP (Open Web Application Security Project) Top 10—the most critical web application security risks.

Veracode found Java to be the riskiest language for AI code generation, with a security failure rate over 70 percent. Other major languages, like Python, C#, and JavaScript, still presented significant risk, with failure rates between 38 percent and 45 percent. The research also revealed LLMs failed to secure code against cross-site scripting (CWE-80) and log injection (CWE-117) in 86 percent and 88 percent of cases, respectively.

“Despite the advances in AI-assisted development, it is clear security hasn’t kept pace,” Wessling said. “Our research shows models are getting better at coding accurately but are not improving at security. We also found larger models do not perform significantly better than smaller models, suggesting this is a systemic issue rather than an LLM scaling problem.”

Managing Application Risks in the AI Era

While GenAI development practices like vibe coding accelerate productivity, they also amplify risks. Veracode emphasizes that organizations need a comprehensive risk management program that prevents vulnerabilities before they reach production—by integrating code quality checks and automated fixes directly into the development workflow.

As organizations increasingly leverage AI-powered development, Veracode recommends taking the following proactive measures to ensure security:

Integrate AI-powered tools like Veracode Fix into developer workflows to remediate security risks in real time.

Leverage Static Analysis to detect flaws early and automatically, preventing vulnerable code from advancing through development pipelines.

Embed security in agentic workflows to automate policy compliance and ensure AI agents enforce secure coding standards.

Use Software Composition Analysis (SCA) to ensure AI-generated code does not introduce vulnerabilities from third-party dependencies and open-source components.

Adopt bespoke AI-driven remediation guidance to empower developers with precise fix instructions and train them to use the recommendations effectively.

Deploy a Package Firewall to automatically detect and block malicious packages, vulnerabilities, and policy violations.

“AI coding assistants and agentic workflows represent the future of software development, and they will continue to evolve at a rapid pace,” Wessling concluded. “The challenge facing every organization is ensuring security evolves alongside these new capabilities. Security cannot be an afterthought if we want to prevent the accumulation of massive security debt.”

The complete 2025 GenAI Code Security Report is available to download on the Veracode website.
https://www.veracode.com/resources/analyst-reports/2025-genai-code-security-report/

About Veracode

Veracode is a global leader in Application Risk Management for the AI era. Powered by trillions of lines of code scans and a proprietary AI-assisted remediation engine, the Veracode platform is trusted by organizations worldwide to build and maintain secure software from code creation to cloud deployment. Thousands of the world’s leading development and security teams use Veracode every second of every day to get accurate, actionable visibility of exploitable risk, achieve real-time vulnerability remediation, and reduce their security debt at scale. Veracode is a multi-award-winning company offering capabilities to secure the entire software development life cycle, including Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection, and Penetration Testing.

Palavras, palavras.

Napoleão Mendes de Almeida abre seu Dicionário de Questões Vernáculas com “se o estilo reflete o homem, o idioma reflete o povo”. Nós, lusófonos, temos um belo e rico patrimônio a proteger. Não tenho a pretensão nem a competência de examinar o tema com profundidade, mas a verdade é que a tendência que vejo me provoca incômodo. Estou indo além de minhas chinelas de engenheiro, mas tive a sorte de, no colégio, ouvir de bons mestres da língua.

O idioma é algo dinâmico. Palavras e expressões antigas caem em desuso, enquanto novas vão sendo incorporadas, muitas vezes mimetizando outras línguas. A priori nada há de errado nisso. Mas, talvez, a tentação de mostrar erudição e atualidade leve muitos a usarem estrangeirismos, mesmo quando há uma perfeita palavra em português para aquilo. Neologismos são e devem ser incorporados quando um conceito novo se apresenta. Mas seria este o caso do uso de “light” em lugar de ”leve”? Teria “level” mais sentido que “nível”, “off” mais conteúdo que “desconto”, “sale” que “liquidação”?

Para a incorporação de vocábulos parece-me que o aportuguesamento seria o melhor caminho. Afinal, de “football” fizemos futebol, de “back”, o beque, de “ballet” o balé… Millôr já escrevia “saite”, no lugar de site ou sítio. Se crianças aprenderam o som de “i” em português, estranharão se um “i” for lido como “ai”. Oswald de Andrade, em seu Manifesto Antropófago, ia nessa linha: há que se absorver os conceitos de outras culturas, digeri-los e incorporá-los à nossa. Ao modo dos indígenas que, ao devorar um inimigo valoroso, criam que seus predicados se adicionariam aos deles.

Um outro ponto que causa assombro é a deformação semântica que radicais usuais na lingua estão sofrendo… Desde sempre, do grego, fobos/fobia é medo. Ao que modismos importados propagam, fobia passa a ser “ódio”, para o qual já tinhamos “misia”. Não apenas se deturpa a semântica do radical, como se montam palavras gramaticamente teratológicas, como “gordofobia”. Outra batalha perdida é tentar recuperar o sentido de “ciber”, raíz grega que, via latim, nos deu “governo”. Quando Norbert Wiener escreveu “Cybernetics” em 1948, cunhando o termo, decreveu-o como “sobre o controle e comunicação em animais e máquinas”. Ou seja, “cibernética” seria algo como “governética”, bem distante de eletrônica ou redes.

Há também uma tendência - talvez para mostrar sofisticação - de esquecer ou simplesmente ignorar o nome do toponímico em português. Ora, aqui dizemos Londres, Alemanha, Florença, mesmo sabendo que os locais falam London, Deutschland e Firenze. Então por que trocar o tradicional Pequim por Beijing? Ou Ceilão por Sri Lanka?

Uma última linha de barbarismos é importar semântica estrangeira para uma palavra de raíz latina… Quando usamos “realizar” como “dar-se conta de” estamos dando um sentido inglês da palavra, inexistente em português.

Aos riscos tecnológicos que já corremos, não precisamos adicionar o de perder o idioma. Orwell já tinha alertado que, se o pensamento corrompe a linguagem, a linguagem também pode corromper o pensamento.

===

https://www.estadao.com.br/link/demi-getschko/aos-riscos-tecnologicos-que-ja-corremos-nao-precisamos-adicionar-o-de-perder-o-idioma/

===

https://pt.wikipedia.org/wiki/Napole%C3%A3o_Mendes_de_Almeida

Napoleão Mendes de Almeida

===

https://williamshakespearewilliam.blogspot.com/2009/02/hamlet-ato-ii-cena-ii.html
HAMLET, ATO II, Cena II

Polônio: Que é que o meu príncipe está lendo?

Hamlet: Palavras, palavras, palavras...
Polônio: A que respeito, príncipe?
<...>
Hamlet: Calúnias, meu amigo. Este escravo satírico diz que os velhos têm a barba grisalha, a pele do
rosto enrugada, que dos olhos lhes destila âmbar tenue e goma de ameixeira, sobre carecerem de espírito
e possuírem pernas fracas. Mas embora, senhor, eu esteja íntima e grandemente convencido da verdade
de tudo isso, não considero honesto publicá-lo;