Blog
Vida real virando código: experimentos pra você mexer, projetos que resolvem problema de verdade e guias diretos ao ponto.
Destaque
O método que eu uso para descobrir qual tarefa repetitiva vale a pena automatizar, fazer a conta do retorno e escolher entre no-code, RPA ou software sob medida.
664 Ler agoraO método que eu uso para descobrir qual tarefa repetitiva vale a pena automatizar, fazer a conta do retorno e escolher entre no-code, RPA ou software sob medida.
RPA é um robô de software que clica nas telas no seu lugar. O que é, onde faz sentido numa PME e onde é só um remendo caro que quebra em seis meses.
Por que não existe preço de tabela para automação, o que move o orçamento de verdade e como você mesmo estima se vale a pena antes de pedir uma proposta.
A Microsoft atribuiu à Coreia do Norte um ataque de cadeia de suprimentos que contaminou mais de 140 pacotes npm do framework de IA Mastra. O truque: sequestrar a conta de um mantenedor e injetar um pacote-isca (easy-day-js, imitando o dayjs) que, no postinstall, baixava um ladrão de credenciais e carteiras. Explico como funciona — e como blindar suas dependências.
Quase todo mundo confia no 'backup automático' da hospedagem — até o dia em que o servidor cai junto com o backup. Explico a regra 3-2-1, o que realmente precisa entrar no backup (arquivos + banco), como automatizar e — o passo que quase ninguém faz — como testar a restauração antes de você precisar dela de verdade.
Eu fazia protótipos de site no WhatsApp pra pequenos negócios — e via metade sumir antes de fechar. Em vez de vender protótipo por protótipo, transformei a ideia numa ferramenta: o Vitriny, um construtor onde clínicas, salões e profissionais montam o próprio site premium em minutos, sem programar. Conto a história, mostro como funciona e te deixo a demo pra testar agora.
A CISA confirmou ataques ativos contra o plugin LiteSpeed do cPanel: com um acesso FTP ou web-shell qualquer, o atacante escala para root no servidor — e em hospedagem compartilhada isso significa alcançar os sites de todos os 'vizinhos', inclusive o seu. Explico o que é 'tenant breakout', quem está na mira e um checklist do que perguntar pra sua hospedagem (e o que blindar do seu lado).
O reCAPTCHA ajuda a barrar bots, mas destrói a conversão e incomoda o usuário real. Te mostro como proteger seus formulários usando o método Honeypot (pote de mel) e Time-trap, com código limpo de copiar e colar para o seu site.
Muita gente escolhe o modelo de IA por hábito — e paga mais do que precisa. Construí o PromptTools: você cola o prompt, ele estima os tokens, compara o custo entre 8 modelos e projeta o gasto por volume. Tudo no navegador, sem API, sem cadastro.
Senha123! tem maiúscula, número e símbolo — e quebra em segundos. O problema é que as 'dicas de senha' medem a forma, não a força real. O PassGuard calcula entropia com detecção de padrões humanos (palavra+sufixo, sequência de teclado, ano) e mostra o tempo de quebra em três velocidades de ataque.
Em junho de 2026, o Fable 5 e o Mythos 5 da Anthropic saíram do ar por exigência do governo americano. Se você constrói produtos com IA, o episódio levanta uma pergunta incômoda: o que acontece quando o modelo que você depende some? A resposta técnica é mais simples do que parece.
O Google Threat Intelligence reportou algo inédito: um grupo usou IA para descobrir e explorar uma falha zero-day em SQLite num ataque real. A IA não foi o atacante — foi o acelerador. E a janela entre uma vulnerabilidade aparecer e ser explorada encolheu. O que muda na prática?
O HTTPS protege o caminho — mas não diz ao navegador como se comportar dentro da página. Clickjacking, XSS e vazamento de Referer acontecem mesmo com o cadeado verde. Explico os 7 cabeçalhos que mais importam e dou um gerador que monta a config pronta para Apache ou Nginx.
A maioria dos sites invadidos não caiu por um gênio do mal — caiu por plugin desatualizado, senha fraca ou descuido. Reuni as ameaças que mais derrubam sites de PME e um plano em camadas pra fechar as portas, com os guias e ferramentas pra cada parte.
Já levei calote, já fiz refação infinita e já vi cliente sumir no meio do projeto — sempre que o combinado ficou 'no zap'. Construí um gerador de contrato grátis, 100% no navegador, com as 4 cláusulas que de fato protegem o pagamento do freelancer. Te explico cada uma com a dor real que ela resolve.
Vivo recebendo o mesmo desabafo de quem cuida de marketing: o link é gigante e feio, ninguém sabe quantas pessoas clicaram, a UTM é uma bagunça e o QR Code do flyer não mede nada. Juntei tudo numa ferramenta grátis — encurtar, QR Code, UTM, link na bio e os cliques de cada um.
Os números de layoffs em tech em 2026 são reais — mais de 150 mil profissionais. Mas a narrativa de 'a IA vai substituir todo dev' é mais complicada do que parece. Minha leitura dos dados (Layoffs.fyi, CNBC, Crunchbase) e o que um desenvolvedor deveria fazer agora.
Herdei um banco de dados sem documentação nenhuma: schema bruto, sem diagrama, sem saber se tinha falhas de segurança ou problema com a LGPD. O Insight resolve isso no navegador — cole o SQL, ganhe o diagrama, a auditoria e o código de model pronto.
E-mail limita em 25MB, WeTransfer coloca anúncio e expira em 7 dias, WhatsApp comprime tudo. Fiz o AirBridge: Modo Sala (P2P direto entre dispositivos, sem passar pelo servidor) e Modo Cofre (link temporário que se autodestrói em 60 minutos). Grátis, sem cadastro.
Gerenciar achados de pentest em planilha acaba mal: sem prioridade clara, SLA ignorado, responsável sumido, relatório manual. O VulnGuard calcula severidade e prazo pelo CVSS automaticamente, mantém o workflow de triagem e gera relatório em PDF. Tem demo público, sem cadastro.
Transcrever áudio manualmente é lento, serviços que pedem upload enviam o arquivo para o servidor de alguém, e a maioria cobra. O AudioWriter roda o Whisper direto no navegador — o arquivo nunca sai do seu computador. Exporta .txt ou .srt com timestamps.
Uma falha crítica (CVSS 9.8) no plugin Everest Forms Pro deixa qualquer um rodar PHP no seu servidor — e os ataques explodiram em maio. O erro é de manual: input do usuário caindo direto num eval(). Te mostro como funciona e um checklist de 5 minutos pra blindar seu WordPress.
Vejo muita gente confusa com 'skills' de IA. Explico sem enrolação o que são, pra que servem, o que é o tal SKILL.md e como criar a sua — e no fim deixo 4 skills prontas (em português) pra você baixar e usar hoje no Claude Code.
Uma galeria viva de efeitos CSS que você clica, vê funcionando e copia o código — sem framework obrigatório. Glow, border-beam, gradiente animado, brilho de hover, texto scramble e aurora. Cada um é um div e um punhado de linhas.
Todo site no Brasil precisa de uma política de privacidade por causa da LGPD — e você não precisa de advogado caro. Te explico o que ela exige e te dou um gerador grátis que monta a sua em minutos.
Todo ano a EA roda o jogo e 'crava' o campeão da Copa — e às vezes acerta na mosca. Achei aquilo meio mágico até cair a ficha: é só estatística rodando MUITAS vezes. Montei um simulador de Monte Carlo no navegador pra você rodar milhares de Copas e ver a chance de cada seleção surgir diante dos seus olhos.
Esses dias assisti o filme Tetris e fui dormir pensando em peças caindo. No dia seguinte eu já estava escrevendo o meu — e descobri uma briga de bilhões por trás daquele jogo simples.
Quatro regrinhas, zero jogadores, e mesmo assim a tela ganha vida sozinha. Passei uma noite inteira só olhando colônias nascerem e morrerem — e te conto por que isso me fascina tanto.
Pedi pra uma IA resumir um e-mail e o e-mail tinha um recado escondido pro robô — que ele obedeceu. Montei um 'agente de suporte' falso, com cupom secreto, pra você bancar o atacante e sentir por que esse furo é estrutural.
De manhã o ruído da cafeteira me fez pensar: e se cada som do dia fosse uma nota? Descobri que o navegador já é um estúdio — sem instalar nada, sem Tone.js — e te ensino a fazer som do nada com osciladores.
Um agente autônomo entrou em loop chamando ferramenta cara e virou um DoS financeiro contra mim mesmo. Te mostro o disjuntor clássico que todo sistema sério usa — visualizado como um balde de fichas pingando.
Abri a fatura da API de IA, levei um susto e percebi que quase ninguém entende o que é um 'token' — a unidade que você paga. Cola um texto qualquer e veja, ao vivo, o modelo picar suas palavras em pedaços coloridos.
Passei horas filtrando um log na unha até uma linha de regex resolver em segundos. Parece feitiço, mas tem lógica — e te deixo um playground com presets brasileiros (CEP, telefone, CPF) pra você testar agora.
Já fiz site 'bonito' impossível de ler no celular sob o sol — e confesso o erro. Contraste não é gosto, é matemática: te mostro a fórmula WCAG num checador ao vivo que acende AA/AAA em verde ou vermelho.
Desenhando labirinto à mão num caderno eu sempre criava becos ou caminhos óbvios. O computador garante exatamente um caminho entre dois pontos — e te mostro o algoritmo derrubando paredes passo a passo, ao vivo.
Abri o logo de um projeto no editor vetorial e mexi nas 'alcinhas' que controlam as curvas: como meia dúzia de pontos viram uma curva perfeita? Te deixo um brinquedo pra arrastar os pontos e ver a mágica de De Casteljau acontecer.
Nada encontrado. Tente outra busca.