O aplicativo de anotações baseado em IA, Granola, permite que qualquer pessoa com um link visualize as anotações do usuário por padrão, levantando questões significativas de privacidade. A plataforma, comercializada como uma ferramenta para capturar áudio de reuniões e gerar notas resumidas por IA, expõe informações potencialmente confidenciais, a menos que os usuários ajustem manualmente suas configurações de privacidade.
Acesso público padrão
As configurações do Granola afirmam claramente que as notas são “visíveis para qualquer pessoa com o link”. Isso significa que mesmo sem uma conta, os indivíduos podem acessar notas caso um link seja compartilhado ou vazado, apresentando um grande risco de segurança para reuniões confidenciais. Os testes confirmam que as notas podem ser acessadas de uma janela privada do navegador sem fazer login, revelando o conteúdo da nota e os detalhes da criação.
Acesso limitado à transcrição
Embora as transcrições completas sejam acessíveis apenas aos colaboradores no aplicativo Granola, trechos parciais das transcrições são visíveis nas notas com marcadores. A seleção de um ponto de observação exibe citações correspondentes e resumos gerados por IA, oferecendo contexto adicional da conversa. A extensão do acesso para usuários com conta Granola não é clara, pois a empresa não esclareceu se todos os titulares de contas podem visualizar as transcrições.
Uso de dados para treinamento de IA
A Granola reserva-se o direito de usar dados anonimizados do usuário para melhorar seus modelos de IA, a menos que seja explicitamente desabilitado nas configurações. Os clientes empresariais são excluídos do treinamento de IA por padrão, mas todos os outros usuários permanecem ativados. A desativação desse recurso requer ajuste manual nas configurações do aplicativo. A empresa afirma que provedores terceirizados de IA, como OpenAI ou Antrópico, não acessam os dados do usuário se esta configuração estiver desativada.
Medidas de segurança e armazenamento
Granola armazena notas em uma nuvem privada da Amazon Web Services, com criptografia em repouso e em trânsito. A empresa afirma que não retém gravações de áudio, apenas salvando notas e transcrições para processamento na nuvem. Apesar destas medidas, a configuração padrão do link público continua sendo uma vulnerabilidade crítica.
Para proteger suas anotações do Granola, os usuários devem navegar até o menu de configurações (perfil > Configurações > Compartilhamento de link padrão) e alterar a configuração de “Qualquer pessoa com o link” para “Somente minha empresa” ou “Privado”. A exclusão de notas também remove o acesso daqueles com links.
O incidente destaca uma tendência mais ampla de ferramentas de IA que priorizam a facilidade de uso em detrimento da privacidade padrão. Os usuários devem gerenciar ativamente as configurações para evitar a exposição não intencional de dados, e as empresas devem priorizar a transparência e a segurança por padrão.
