Ontem à noite, folheei o white paper do @NewtonProtocol até as 3h da manhã, e quanto mais eu lia, mais desperto ficava. O projeto quer fazer uma “camada de automação verificável”, para que agentes de IA executem ações on-chain por você, com evidências em cada etapa de que nada foi feito por conta própria. A ideia é bem ousada, mas ao desmontar, aparecem vários problemas.
A lógica central da Newton tem três camadas: o Model Registry gerencia as identidades dos agentes, o Keystore Rollup gerencia as permissões dos usuários, e a intenção de automação controla as condições de execução. Dentre essas, o Keystore é o que mais me preocupa. O white paper diz que ele é “a specialized rollup responsible for storing and updating user permissions”. No fim, se todos os agentes podem ou não mexer nos seus ativos depende dele. E essa peça roda em cima de um delegated PoS, com validadores garantindo a segurança apostando NEWT. O encadeamento parece perfeito: ambiente de execução com TEE → ZKP gera prova → Keystore guarda as autorizações → verificação on-chain.
Mas a barreira do TEE é mais fina do que eu imaginava. Eu vi o relatório da Binance Research e a frase literal é: “currently utilizes Phala's cloud environment”; ou seja, atualmente o TEE roda na nuvem da Phala. A chave privada, as chaves de sessão e as autorizações de transação ficam todas em um enclave terceirizado. No ataque TEE.Fail de 2025, pesquisadores conseguiram extrair chaves críticas a partir de Intel TDX e AMD SEV por menos de 1000 dólares. A própria Phala também admite que enclaves podem ser clonados. Um agente adulterado consegue ainda gerar um “Quote” de aparência legítima, e o contrato on-chain registra tudo como se estivesse normal.
O que mais me deixa inquieto é que, no início, a rede foi liderada por servidores TEE próprios da fundação, não por uma rede distribuída — é a fundação que decide.
Eu não estou sem fé na direção; na verdade, justamente por acreditar que quero ficar mais atento. O TEE não elimina confiança; ele apenas transfere a confiança do time do projeto para Intel e AMD. Minha estratégia é simples: manter o acompanhamento e não mexer no principal. Só vou falar quando a Newton rodar de ponta a ponta sem depender de um TEE de terceiros. #newt $NEWT
A lógica central da Newton tem três camadas: o Model Registry gerencia as identidades dos agentes, o Keystore Rollup gerencia as permissões dos usuários, e a intenção de automação controla as condições de execução. Dentre essas, o Keystore é o que mais me preocupa. O white paper diz que ele é “a specialized rollup responsible for storing and updating user permissions”. No fim, se todos os agentes podem ou não mexer nos seus ativos depende dele. E essa peça roda em cima de um delegated PoS, com validadores garantindo a segurança apostando NEWT. O encadeamento parece perfeito: ambiente de execução com TEE → ZKP gera prova → Keystore guarda as autorizações → verificação on-chain.
Mas a barreira do TEE é mais fina do que eu imaginava. Eu vi o relatório da Binance Research e a frase literal é: “currently utilizes Phala's cloud environment”; ou seja, atualmente o TEE roda na nuvem da Phala. A chave privada, as chaves de sessão e as autorizações de transação ficam todas em um enclave terceirizado. No ataque TEE.Fail de 2025, pesquisadores conseguiram extrair chaves críticas a partir de Intel TDX e AMD SEV por menos de 1000 dólares. A própria Phala também admite que enclaves podem ser clonados. Um agente adulterado consegue ainda gerar um “Quote” de aparência legítima, e o contrato on-chain registra tudo como se estivesse normal.
O que mais me deixa inquieto é que, no início, a rede foi liderada por servidores TEE próprios da fundação, não por uma rede distribuída — é a fundação que decide.
Eu não estou sem fé na direção; na verdade, justamente por acreditar que quero ficar mais atento. O TEE não elimina confiança; ele apenas transfere a confiança do time do projeto para Intel e AMD. Minha estratégia é simples: manter o acompanhamento e não mexer no principal. Só vou falar quando a Newton rodar de ponta a ponta sem depender de um TEE de terceiros. #newt $NEWT