Recentemente, muitas pessoas me perguntam: GitHub, relatórios de auditoria, atualizações de multi-assinatura, como os novatos podem realmente julgar se são confiáveis ou não. Acho que primeiro não devemos focar em quem está fazendo discursos (especialmente agora, com toda essa história de agentes de IA, negociações automáticas, com muitas pessoas falando de forma exagerada), mas sim verificar se o projeto deixou claro quem tem o “direito de alterar o código”: é possível fazer atualizações? Quem pode clicar no botão? Quantas pessoas precisam concordar? Se essas questões estiverem vagas, eu geralmente descarto de imediato.

Quanto ao relatório de auditoria, não basta olhar só a capa com o logotipo e a página de conclusões; escolha duas partes para verificar se realmente abordam casos de limite, como as permissões são divididas, ou se o relatório é sempre “sem problemas importantes encontrados”. Além disso, no GitHub, atualizações frequentes não garantem segurança, mas ficar inativo por muito tempo e de repente fazer mudanças grandes também é assustador. De qualquer forma, minha abordagem é: prefiro uma interação mais lenta, mas não transformar a carteira em um campo de testes.