O grupo de extorsão Lapsus$ publicou em 4 de abril de 2026 um arquivo de quatro terabytes com dados biométricos de mais de 40.000 colaboradores da Mercor, uma plataforma que recruta contratados para treinar modelos de inteligência artificial. A violação inclui gravações de voz, digitalizações de documentos e selfies de verificação, o que desencadeou cinco ações coletivas em dez dias por falta de aviso sobre o uso de impressões vocais como identificador biométrico permanente.
Clonagem vocal com quinze segundos de amostra 🎙️
O risco técnico reside no fato de que a clonagem de voz de alta qualidade precisa apenas de quinze segundos de áudio limpo para replicar uma identidade vocal. As gravações da Mercor, que duram entre dois e cinco minutos em condições ideais, fornecem material suficiente para gerar modelos de voz sintética. Isso transforma cada arquivo em um vetor de suplantação, sem que os afetados possam revogar sua impressão vocal. A biometria de voz carece de mecanismos de alteração, ao contrário de senhas ou tokens físicos, o que amplifica o dano potencial diante de extorsões ou fraudes telefônicas automatizadas.
Sua voz já não é sua, é um arquivo de treinamento 🤖
O mais curioso do caso é que os afetados trabalhavam para treinar modelos de IA, e agora são eles que servem como dataset involuntário para outro tipo de inteligência artificial. A Mercor pediu que falassem claramente para melhorar algoritmos, mas esqueceu de mencionar que sua voz nunca mais seria privada. Com quinze segundos de gravação, qualquer script de código aberto pode imitar um contratado pedindo um empréstimo. Pelo menos, se roubarem o rosto com os selfies, podem usar óculos escuros; para a voz, só resta o silêncio.