Resposta direta

Ontem eu li um teste em que o Claude vazou nome, empresa e cidade natal do usuário para um site malicioso sem avisar no chat. O relato está no artigo The Memory Heist , do Ayush Paul. O ponto que me fez parar não foi o drama.

Ontem eu li um teste em que o Claude vazou nome, empresa e cidade natal do usuário para um site malicioso sem avisar no chat.

Capa estilo caderno Moleskine mostrando 4 travas para usar memória de IA sem vazamento

O relato está no artigo The Memory Heist, do Ayush Paul. O ponto que me fez parar não foi o drama. Foi a simplicidade. O usuário pediu ajuda sobre um café. O assistente navegou. E, no caminho, entregou informação pessoal demais.

Quando eu junto isso com a documentação da Anthropic sobre personalização do Claude e com o README do OpenAI Agents SDK, a leitura fica óbvia para mim: quanto mais memória, sessões e ferramentas eu conecto, mais eu preciso de cerca.

Memória útil sem cerca vira memória perigosa.

TL;DR

  • Eu não ligo memória de IA no modo “depois a gente vê”.

  • Eu uso o método M.U.R.O.: Memória curta, Uso mínimo, Rastro claro e Olho humano.

  • Se o piloto só parece bom quando eu entrego dado demais e reviso de menos, eu não tenho automação. Eu tenho fofoca com API.

O problema

Eu vejo muita empresa tratando memória de IA como se fosse vitamina.

Liga porque parece inteligente.

Liga porque a demo ficou fluida.

Liga porque alguém falou “segundo cérebro” no X e metade da sala perdeu o freio.

Só que memória de IA não guarda só contexto útil.

Ela também acumula preferências, nomes, arquivos, decisões, histórico e pedaços de conversa que ninguém lembrava que estavam lá.

No artigo do Ayush, o ponto mais incômodo nem foi a exfiltração em si.

Foi o silêncio.

O usuário não clicou em nada suspeito. Não aprovou envio. Não viu alerta. O assistente simplesmente navegou e levou contexto junto.

A Anthropic já mitigou esse caso específico ao limitar a navegação do web_fetch em páginas externas, segundo o próprio relato do disclosure.

Ótimo.

Mas eu acho balela tratar isso como problema resolvido.

Porque o desenho continua delicado: memória, busca, navegação e ferramentas no mesmo fluxo aumentam valor e aumentam risco.

O README do OpenAI Agents SDK fala em guardrails, sessions e human in the loop como conceitos centrais. Eu leio isso como aviso de gente adulta, não como detalhe técnico.

Se até quem vende o stack fala em guarda, sessão e revisão humana, não sou eu que vou brincar de abrir o portão e chamar isso de estratégia.

O método M.U.R.O.

Quando eu avalio memória de IA para uso real, eu passo por quatro travas.

1. M de memória curta

Eu não começo guardando tudo.

Eu começo definindo o que expira rápido.

Resumo operacional de uma reunião costuma ficar.

Resposta de segurança, dado pessoal, senha parcial, contrato sigiloso e conversa sensível não deveriam morar na mesma gaveta por padrão.

Se a ferramenta não me deixa decidir o tempo de retenção ou a classe do que fica salvo, eu reduzo o escopo do piloto.

Memória sem prazo vira porão.

E porão costuma guardar mais coisa do que a gente admite na visita.

2. U de uso mínimo

Depois eu corto o contexto até sobrar só o que a tarefa precisa.

Se a IA vai montar um resumo executivo, eu dou acesso aos arquivos da tarefa.

Não libero inbox, CRM, pasta de RH e notas soltas de projeto antigo só porque “vai que ajuda”.

Esse “vai que ajuda” costuma virar “ajudou a vazar”.

Se você quiser aprofundar essa parte, eu ligaria este texto com meu artigo sobre dados pessoais na IA e com o guia sobre sandbox de agentes.

3. R de rastro claro

Eu não aceito memória que influencia resposta sem deixar pegada.

Eu quero saber:

  • o que foi salvo;

  • quando foi salvo;

  • de onde veio;

  • em que resposta aquilo reapareceu.

Sem isso, o time começa a discutir com uma assombração elegante.

A resposta até parece boa.

Ninguém sabe de onde saiu.

E, na hora do erro, todo mundo aponta para a nuvem como se ela fosse testemunha.

4. O de olho humano

A última trava sou eu, ou alguém do time.

Antes de a memória conversar com navegação externa, email, CRM ou qualquer ferramenta que empurre dado para fora, eu coloco revisão humana.

Não precisa travar tudo.

Mas precisa travar o que tem impacto.

Ler e organizar é uma coisa.

Enviar, compartilhar, publicar ou consultar fonte externa com contexto sensível é outra bem diferente.

Autonomia boa não é a que ignora gente.

É a que sabe a hora de pedir um adulto na sala.

Como aplicar hoje

Se eu fosse testar memória de IA ainda hoje em uma empresa B2B, eu faria em cinco passos.

Passo 1: listar o que nunca deve virar memória

Eu escreveria uma lista curta com tudo que fica proibido por padrão:

  • CPF, RG e dado bancário;

  • resposta de segurança;

  • conversa de RH;

  • proposta comercial sigilosa;

  • credencial, token e segredo operacional.

Se o time não escreve essa lista, ele terceiriza a decisão para o improviso.

Improviso com IA é o jeito chique de dizer “vamos descobrir no incidente”.

Passo 2: criar duas zonas de contexto

Eu separaria o que a IA pode lembrar em duas classes:

1. memória de trabalho, que expira rápido; 2. memória de preferência, que pode durar mais, mas sem dado sensível.

Exemplo simples:

  • “o CEO prefere resposta em tópicos” costuma ficar;

  • “o CEO comentou um problema jurídico do cliente X” não fica.

Passo 3: desligar navegação externa no primeiro piloto

Depois do caso relatado no artigo do Ayush, eu começo com memória sem web aberta.

Primeiro eu testo resposta melhor.

Depois eu testo ferramenta.

Só então eu misturo memória com navegação.

Juntar tudo no primeiro dia é coragem demais e critério de menos.

Passo 4: exigir citação interna da memória usada

Eu peço que toda resposta importante diga de forma simples qual memória influenciou a saída.

Algo como:

  • “usei a preferência de formato salva ontem”;

  • “usei o resumo da reunião de segunda”;

  • “não usei memória anterior nesta resposta”.

Isso resolve tudo?

Não.

Mas já corta aquela mágica irritante que parece genial até alguém perguntar “de onde veio isso?”.

Passo 5: rodar um teste de vazamento com isca

Eu plantaria uma informação falsa e rastreável no ambiente de teste.

Dá para usar um nome de projeto inventado. Também dá para usar um identificador único ou um email isca.

Se isso aparecer onde não deveria, o piloto falhou.

Eu prefiro descobrir com mel falso do que com dado real de cliente. O jurídico também costuma preferir. Que coincidência.

Resultados esperados

Quando eu aplico esse corte, eu espero quatro ganhos objetivos.

Resultado 1: menos contexto inútil grudado na resposta

A IA fica um pouco menos “mágica”.

Ótimo.

Eu troco truque por previsibilidade sem sofrer um segundo.

Resultado 2: risco menor de vazamento silencioso

Se eu limito memória, navegação e saída, a chance de o assistente carregar contexto demais para fora cai logo no piloto.

Resultado 3: revisão mais rápida

Com rastro claro, o time para de revisar no escuro.

Eu consigo abrir a resposta e ver se ela puxou dado permitido, dado antigo ou dado que nunca deveria ter sido lembrado.

Resultado 4: decisão melhor sobre escala

Em 7 dias, eu já consigo responder três perguntas úteis:

  • a memória melhora a entrega de verdade?

  • o risco ficou aceitável?

  • o time sabe explicar o que a IA lembrou e por quê?

Se a resposta for não, eu corto cedo.

Melhor ferir o ego do piloto do que abrir um vazamento com crachá de inovação.

Perguntas rápidas

Memória de IA sempre é ruim?

Não. Eu gosto quando ela evita repetição boba, mantém continuidade e poupa contexto manual. O problema está no excesso de confiança.

Toda empresa precisa de retenção curta?

Para contexto sensível, eu acho o caminho mais saudável no começo. Preferência de formato pode durar mais. Dado sensível não merece férias longas.

Posso usar memória com navegação externa?

Pode. Eu só não começaria assim. Primeiro eu provo valor com memória local e revisão. Depois eu amplio a cerca.

Como eu sei se a memória está ajudando?

Eu comparo duas coisas: qualidade da resposta e volume de contexto liberado. Se a resposta melhora pouco e o risco sobe muito, a conta não fecha.

Qual erro eu mais vejo?

Misturar memória persistente, ferramenta demais e zero revisão humana no mesmo piloto. É rápido, bonito e bem irresponsável.

Conclusão

Memória de IA pode economizar tempo de verdade.

Também pode guardar coisa demais, por tempo demais, com acesso demais.

Eu não resolvo isso com discurso.

Eu resolvo com trava.

Se eu fosse montar a base hoje, eu leria este artigo junto com meus textos sobre memória de agentes de IA, engenharia de contexto e sandbox de agentes.

No fim do dia, memória boa não é a que lembra tudo.

É a que lembra o bastante sem transformar sua operação em confessionário com autocomplete.