Segurança & Privacidade

Seu código nunca sai da sua máquina.

Segurança por arquitetura, não por promessa. Cada camada projetada para proteger privacidade e resistir a ataques.

Modelo de Privacidade

Local-first por design

Código fica local

Tarefas simples rodam inteiramente na sua máquina. Seu código-fonte nunca é enviado para nenhum servidor externo. A rede só recebe prompts quando você solicita consenso distribuído explicitamente.

Identidade criptográfica

Cada nó gera um par de chaves único na primeira execução. Chave privada armazenada com acesso restrito. Identidade é criptográfica, não baseada em conta.

Feedback apenas por hash

O feedback de melhoria armazena apenas hashes dos prompts por padrão. Não seu código real. Registro completo requer opt-in explícito nas configurações.

Segurança não é uma camada adicionada depois.
Ela emerge da arquitetura.

Resistência Anti-Sybil

1 chave = 1 voz. Sempre.

Um atacante rodando 1000 processos com a mesma identidade conta como 1 voto. O custo de atacar escala linearmente com o número de identidades REAIS mantidas.

Camadas de defesa

Identidade criptográfica: Par de chaves por nó. Deduplicação por identidade do respondente.

Reputação do zero: Chaves novas começam com confiança 0.3. Precisam ganhar peso através de consenso validado.

Custo econômico: Custo de requisição > recompensa de uptime. Não é possível lucrar fazendo requisições para si mesmo.

Desafio-resposta: Tarefas periódicas com resposta conhecida verificam honestidade. Falha = decaimento de reputação.

Como foi descoberto

Durante testes, 2 workers na mesma máquina compartilharam um arquivo de identidade. A rede contou como 1 nó, rejeitando a resposta "duplicada".

O sistema se protegeu contra replay sem programação explícita. A segurança emergiu da arquitetura.

"O bug virou feature. A falha virou defesa."

Verificação de Consenso

Penalização estatística

A diferença entre divergência honesta (0.90+) e output desonesto (<0.50) é grande o suficiente para detecção confiável sem falsos positivos.

Gatilhos de penalização:
taxa_acordo < 50% em 100 tarefas → investigação
score_semântico < 0.70 em tarefa única → quarentena
score_semântico < 0.80 média em 24h → stake em risco
timeout > 5 tarefas consecutivas → ban temporário

Nós honestos

Taxa de acordo: 60-80%
Score semântico: >0.90
Divergência natural de hardware é esperada e tolerada.

Nós maliciosos

Taxa de acordo: <20%
Score semântico: <0.50
Não conseguem se esconder atrás de "divergência natural". A diferença é grande demais.

Segurança de Execução

Execução isolada (sandbox)

A camada de execução roda código gerado por IA para verificar corretude. Esse código nunca é confiável.

Timeout de 5s

Encerramento forçado após 5 segundos

Blocklist de imports

os, subprocess, shutil, eval, exec bloqueados

Isolamento de filesystem

Somente leitura via sandbox

Sem rede

Rede desabilitada impede exfiltração

Auditoria de Segurança

12 achados. Todos resolvidos.

Análise estática completa de todos os módulos Rust + TypeScript. Sprint 8 dedicada inteiramente a hardening de segurança.

3
Crítico (P0)
4
Alto (P1)
4
Médio (P2)
12/12
Resolvidos
Execution sandbox (timeout + blocklist + bwrap)
Chat endpoint uses consensus when peers ≥ 2
Feedback privacy (hash-only by default)
Unified identity system (single format)
DAG thread-safe (Mutex + sequential processing)
Finality check O(n) with cache (was O(n²))
Logarithmic reward (1B supply cap)
Private key chmod 600
Anti-replay guard (TTL + dedup + cleanup)
Inline endpoint fix (was hardcoded wrong port)
UX progress notification on startup
Dead code removal (sys_info_ram)

Confiança é verificada.
Nunca assumida.

Protocolo

Prova de Inferência (PoI)

Em vez de resolver puzzles de hash (PoW) ou apostar capital (PoS), nós provam contribuição processando tarefas reais de IA e tendo outputs validados pela rede.

Fluxo de validação:
1. Usuário envia consulta → Coordenador
2. Coordenador gera seed determinístico + seleciona 3 nós
3. Nó mais rápido responde IMEDIATAMENTE (otimista)
4. Todos os nós processam com parâmetros idênticos
5. Coordenador valida: byte → semântico → execução
6. 2/3 concordam → aceito, nós recompensados
7. Divergência → quarentena, stake em risco
Cada unidade de energia gasta na rede produz computação real de IA. Sem ciclos desperdiçados. Sem puzzles de hash. Sem escassez artificial.
Modelo de Ameaças

Vetores de ataque e camadas de defesa

Nós falsos (Sybil) Identidade criptográfica + reputação do zero Ataques de replay TTL + nonce + guarda de deduplicação Injeção de código (RCE) Sandbox + blocklist + sem rede Spam de consenso Economia de créditos (custo > recompensa) Nós preguiçosos (output lixo) Penalização estatística (score < 0.50) Fork de DAG (escritas concorrentes) Mutex + processamento sequencial Envenenamento de modelo Validação por consenso + tarefas canário Roubo de identidade Acesso restrito + armazenamento local exclusivo

O sistema começou a apresentar
comportamentos emergentes.

Descobertas Emergentes

Propriedades que não projetamos. Elas apareceram.

As melhores propriedades de segurança emergiram da arquitetura, não de programação explícita.

Resistência Sybil por deduplicação

A guarda de replay virou defesa anti-Sybil. Mesma chave = mesmo nó = um voto. O bug virou feature.

Fingerprint de hardware por divergência

CPUs diferentes produzem assinaturas matemáticas diferentes. A divergência virou identidade. Nós maliciosos não conseguem imitar o padrão.

Hierarquia natural por quórum antecipado

Nós rápidos dominam consenso. Nós lentos viram auditores. Ninguém programou papéis. Eles emergiram.

Tolerância a falhas por heterogeneidade

Um nó degradou de 80s para 507s. A rede não quebrou. O quórum o excluiu. Auto-reparação sem intervenção.

Restrições Intencionais

Limitações intencionais. Não são bugs.

Alguns limites existem por escolha. Eles definem o que o protocolo é e o que ele se recusa a se tornar.

Local-first sempre

Tarefas simples nunca saem da sua máquina. A rede é opt-in, não padrão. Privacidade é estrutural.

Modelos pequenos por design

0.5B–7B. Roda em hardware comum. Sem H100 necessário. Acessibilidade acima de performance bruta.

Semântico acima de byte-perfect

Aceitamos diversidade de hardware como feature. CPUs diferentes produzem bytes diferentes, mas lógica equivalente. O protocolo valida significado, não bits.

Sem tokens. Sem especulação.

AGIChoir é infraestrutura gratuita. Sem créditos, sem tokens, sem escassez artificial. Contribuição é voluntária, acesso é ilimitado.

Posicionamento

O que o AGIChoir NÃO é

Não é isso

Não é pump de cripto ou token especulativo

Não substitui OpenAI nem compete em escala

Não é hype de AGI ou marketing de singularidade

Não é computação anônima para malware

Não é wrapper de API de terceiros

Isso sim

Protocolo de inferência distribuída verificável

Infraestrutura de IA mantida pela comunidade

Privacidade local-first com rede quando necessário

Protocolo guiado por pesquisa e experimentos documentados

Construído sobre padrões abertos e protocolos verificáveis