
75 Milhões de Músicas Falsas Foram Apagadas do Spotify. O Problema de Verdade São as que Escaparam.
Alguns meses atrás, participei de uma reunião com um distribuidor de música que me disse algo que reconfigurou minha forma de pensar sobre toda a indústria do áudio. Ele abriu um painel que mostrava o pipeline diário de ingestão de conteúdo. "Está vendo isso?", ele disse, rolando por um feed de novos uploads. "Recebemos cerca de quatro mil faixas por dia só pela nossa plataforma. Eu diria que um terço delas foi feito por alguém que gastou menos tempo criando a faixa do que você gastou escovando os dentes hoje de manhã."
Eu ri. Ele não.
Ele não estava exagerando. Só o Spotify ingere aproximadamente 100.000 novas faixas todos os dias. Se você tentasse ouvir apenas 30 segundos de cada uma, levaria 35 dias de reprodução contínua para dar conta dos uploads de um único dia. E uma parcela cada vez maior dessa enxurrada não é música em nenhum sentido significativo — é ruído gerado por algoritmos, projetado para desviar dinheiro das pessoas que de fato criam arte.
Esse é o problema da marca d'água em áudio que passei a última etapa da minha carreira obcecado em resolver na Veriprajna. Não porque a marca d'água seja uma tecnologia atraente — não é —, mas porque todas as outras soluções em que a indústria está se apoiando têm uma falha fatal sobre a qual ninguém quer falar com honestidade.
O Roubo de US$ 3 Bilhões Escondido na Sua Playlist
Aqui está a parte que deveria te deixar com raiva, seja você um músico, um ouvinte ou apenas alguém que paga US$ 10,99 por mês por uma assinatura de streaming.
A forma como a maioria das grandes plataformas paga os artistas é chamada de modelo pro-rata. Toda a receita de assinaturas e anúncios vai para um único e gigantesco fundo. Esse fundo é dividido pelo número total de streams na plataforma. Sua taxa por stream é uma fração do todo.
Isso significa que cada stream falso não rouba apenas da plataforma — ele rouba de todo artista de verdade. Quando uma fazenda de bots gera um bilhão de reproduções em ruído branco gerado por IA, ela infla o denominador. O pagamento por stream cai para todo mundo. Seu artista independente favorito, aquele que passou seis meses escrevendo um álbum no quarto, recebe menos porque uma quadrilha de fraude em outro país subiu dez mil loops de som de chuva e apontou uma botnet para eles.
Estimativas do setor colocam o prejuízo anual em US$ 2 bilhões a US$ 3 bilhões. A Deezer relatou que 70% das reproduções em faixas geradas por IA em sua plataforma foram sinalizadas como fraudulentas. O Spotify teve que expurgar mais de 75 milhões de faixas apenas em 2024 e 2025 — um número que rivaliza com o tamanho de todo o catálogo histórico da música gravada.
Cada stream fraudulento não é apenas um roubo de uma plataforma. É um imposto sobre cada artista legítimo, pago invisivelmente por meio de um fundo de royalties cada vez menor.
Lembro da noite em que aqueles números de expurgo do Spotify vieram à tona. Eu estava na minha mesa, e minha primeira reação foi de alívio — finalmente as plataformas estão levando isso a sério. Minha segunda reação, cerca de dez minutos depois, foi de pavor. Porque 75 milhões é o número que elas pegaram. E quanto às que escaparam?
Por Que a Impressão Digital de Áudio Falha Contra a Música Gerada por IA?

Essa é a pergunta que me levou a começar a construir o que estamos construindo. E a resposta é enganosamente simples quando você a enxerga.
O principal sistema de defesa da indústria musical é a impressão digital de áudio — a tecnologia por trás do Shazam, do Content ID do YouTube e da maioria das plataformas de gestão de direitos. A impressão digital funciona extraindo uma assinatura perceptual de um trecho de áudio e comparando-a com um enorme banco de dados de gravações conhecidas.
Aqui está o problema: a IA generativa não copia. Ela sintetiza.
Quando um modelo de difusão gera uma nova faixa, ele cria uma forma de onda que nunca existiu antes. Não há nenhum registro em qualquer banco de dados de impressão digital para comparar. Para o Content ID, uma faixa de spam recém-criada por IA parece exatamente igual a uma obra-prima humana recém-criada. Ambas são simplesmente "conteúdo desconhecido."
Eu chamo isso de Paradoxo da Originalidade, e é a razão pela qual não consegui dormir por cerca de uma semana depois que rodamos nossos primeiros testes. Pegamos um conjunto de faixas geradas por IA — algumas claramente derivadas de artistas existentes, outras completamente inéditas — e as passamos por pipelines padrão de impressão digital. As derivadas ocasionalmente disparavam correspondências parciais. As inéditas? Silêncio total do sistema de detecção. Nenhum alerta sequer.
Meu cofundador olhou para os resultados e disse: "Então quanto melhor a IA fica em ser original, pior fica a nossa detecção?" Sim. Exatamente. Essa é a armadilha.
A impressão digital é uma tecnologia de identificação. Ela diz o que algo é. A marca d'água é uma tecnologia de autenticação. Ela diz de onde algo veio. A indústria musical vem usando a ferramenta errada.
Escrevi sobre essa distinção — e sobre toda a arquitetura técnica por trás de por que a impressão digital deixa de funcionar — em nosso whitepaper interativo. Mas a versão curta é esta: a impressão digital é reativa. Ela precisa que o conteúdo já exista e esteja registrado. Precisávamos de algo proativo — algo que embutisse a proveniência no momento da criação.
A Fraude Ficou Mais Esperta Enquanto Não Estávamos Olhando

A outra coisa que me tirava o sono foi descobrir como as operações de fraude realmente funcionam hoje. O antigo manual era grosseiro: subir uma faixa, bombardeá-la com milhões de streams a partir de um único endereço IP, sacar o dinheiro. As plataformas pegaram isso anos atrás.
O novo manual é assustadoramente elegante. Eles o chamam de "low and slow" (baixo e lento).
Em vez de uma faixa receber um milhão de streams falsos, uma quadrilha de fraude usa IA para gerar dez mil faixas. Então uma botnet reproduz cada faixa apenas cem vezes. O pagamento agregado é o mesmo, mas nenhuma faixa isolada dispara um alerta de pico viral. A fraude se esconde na cauda longa, enterrada sob o volume imenso de dados legítimos.
E a infraestrutura por trás dessas operações atingiu nível corporativo. Estamos falando de proxies residenciais roteando tráfego por dispositivos IoT comprometidos para que cada stream pareça vir de uma casa diferente. Navegadores headless rodando scripts que imitam o comportamento humano — movimentos do mouse, pausas, pular faixas, buscas — para enganar as análises de engajamento. Playlists geradas por IA com títulos otimizados para SEO como "Chill Lo-Fi for Coding" que misturam alguns hits legítimos de grandes artistas com dezenas de faixas de spam, camuflando a fraude e às vezes até enganando o algoritmo de recomendação da plataforma para servir as faixas falsas a ouvintes reais.
Sentei com a nossa equipe uma tarde mapeando essa cadeia de ataque em um quadro branco, e alguém disse: "Isto não é pirataria musical. É fraude financeira que por acaso usa arquivos de áudio como veículo." Essa mudança de perspectiva mudou tudo para nós.
O Que Acontece Quando Você Toca uma Música em uma Caixa de Som e a Regrava?

Esse é o desafio técnico que separa a marca d'água séria de todo o resto, e é aquele pelo qual mais me orgulho de a nossa equipe ter enfrentado.
Ela é chamada de Lacuna Analógica — às vezes chamada de Buraco Analógico. Imagine uma música deepfake tocando nos alto-falantes do laptop de alguém. O som viaja pelo ar. Alguém a grava no celular. Essa gravação é enviada para uma plataforma.
Durante essa jornada, o sinal de áudio é destruído de maneiras quase comicamente hostis à preservação de dados. O som reflete em paredes, pisos e móveis — o microfone recebe o sinal direto mais milhares de reflexões ligeiramente atrasadas. Alto-falantes baratos cortam tudo abaixo de 300 Hz e acima de 15 kHz. O dispositivo de gravação não sabe onde a marca d'água "começa", então o sinal inteiro fica dessincronizado.
A maioria dos sistemas de marca d'água que sobrevivem à compressão MP3 — a lacuna digital — morre instantaneamente na lacuna analógica. E, ainda assim, a lacuna analógica é exatamente o cenário que mais importa para detectar deepfakes compartilhados em redes sociais, tocados no rádio ou capturados durante chamadas ao vivo.
Passamos semanas fracassando nisso antes de encontrar a abordagem que funcionou. O avanço foi perceber que não deveríamos comparar o sinal recebido a uma referência externa de forma alguma. Em vez disso, embutimos um padrão repetido dentro do próprio sinal e usamos autocorrelação — o sinal se compara a si mesmo.
Eis por que isso é engenhoso: quando o áudio viaja por uma sala reverberante, o sinal inteiro é distorcido da mesma forma. O Bloco A e o Bloco B da nossa marca d'água repetida são ambos borrados pela mesma acústica do ambiente. A relação entre eles sobrevive mesmo quando o sinal absoluto é destruído. O detector procura um pico periódico na autocorrelação em um intervalo conhecido, e esse pico confirma a presença da marca d'água sem nunca precisar saber como soava o áudio original.
Houve um momento no laboratório — e uso "laboratório" de forma solta, era na verdade só uma sala de reuniões com um laptop e uma caixa de som Bluetooth que compramos numa loja de conveniência — em que tocamos uma faixa com marca d'água naquela caixa de som horrível, gravamos no celular do outro lado da sala e rodamos o detector. Quando o resultado voltou positivo, meu engenheiro olhou para mim e disse, bem baixinho: "Isso não deveria ter funcionado." Mas funcionou. E foi aí que eu soube que tínhamos algo.
Os Atacantes Não Podem Simplesmente Remover a Marca d'Água?
Essa é a primeira objeção que todo mundo levanta, e é a correta.
Atacantes sofisticados com certeza tentarão usar IA para encontrar e remover marcas d'água. Seríamos ingênuos em pensar o contrário. É por isso que o nosso pipeline de treinamento não se defende apenas contra uma lista fixa de ataques conhecidos como "adicionar ruído" ou "comprimir para MP3". Usamos um framework de treinamento adversarial — essencialmente, treinamos uma rede atacante ao lado do nosso sistema de marca d'água. O atacante tenta destruir a marca d'água mantendo o áudio audível. O codificador se adapta para sobreviver ao ataque. Eles jogam esse jogo minimax por milhares de iterações até que a marca d'água sobreviva a ataques que sequer existiam quando o treinamento começou.
O resultado: nosso sistema alcança uma precisão de atribuição acima de 98% mesmo sob edição agressiva — alongamento temporal, mudança de tom, recorte. Mesmo que um fraudador reduza um trecho de 30 segundos para 10 segundos, o detector acumula evidência estatística suficiente do fragmento para decodificar a assinatura de proveniência.
Para o detalhamento técnico completo da incorporação por espectro espalhado, da decomposição SVD e dos protocolos de resistência adversarial, veja nosso artigo de pesquisa. Mas o insight principal não é sobre nenhuma técnica isolada — é que a marca d'água vive na estrutura do áudio, não em sua superfície. Você pode lixar a superfície com jato de areia. A estrutura permanece.
O Rótulo Nutricional do Som
Uma marca d'água por si só é um link. Ela diz "este áudio foi marcado". Mas marcado por quem? Com que propósito? Para construir um ecossistema de confiança de verdade, você precisa conectar esse sinal acústico a uma identidade verificável.
É aqui que nos integramos ao C2PA — a Coalition for Content Provenance and Authenticity (Coalizão para Proveniência e Autenticidade de Conteúdo) — um padrão aberto que funciona como um rótulo nutricional para conteúdo digital. Ele registra criptograficamente quem criou um ativo, como ele foi criado (humano ou IA) e quais edições foram feitas.
A vulnerabilidade das soluções baseadas apenas em metadados é óbvia: converta um WAV assinado em um MP3 genérico e o cabeçalho de metadados desaparece. Toque no rádio e ele some. Mas a nossa marca d'água sobrevive a essas transformações. Então usamos a marca d'água como um vínculo flexível (soft binding) — ela carrega um identificador único que aponta para um manifesto C2PA hospedado na nuvem. Remova os metadados, converta o formato, reproduza pelo ar e regrave. A marca d'água persiste. O detector extrai o identificador, consulta o ledger e recupera o registro completo de proveniência.
A proveniência deve viajar com o conteúdo, não ficar em um cabeçalho que é removido no momento em que alguém clica em "Exportar como MP3".
E para quem se preocupa com privacidade — um jornalista dissidente ou um artista anônimo não deveria precisar anexar seu nome legal a um arquivo só para provar que ele é real. O C2PA oferece suporte a declarações pseudônimas e divulgação seletiva. Um artista pode assinar uma faixa como "Criador Verificado nº 892", vinculada a uma credencial emitida por um terceiro confiável, sem revelar seu endereço residencial.
Por Que Não Simplesmente Contratar Mais Moderadores?
Porque é economicamente impossível. Pesquisas mostram que moderadores humanos são mais precisos ao detectar nuance e contexto, mas custam quase 40 vezes mais do que sistemas automatizados. E a audição humana está se tornando biologicamente insuficiente — distinguir um clone de voz de IA de alta qualidade de uma gravação real está se aproximando dos limites do que nossos ouvidos conseguem fazer, embora permaneça matematicamente tratável para as máquinas.
A indústria precisa da nuance do julgamento humano na escala e no custo do software. É isso que a detecção determinística de marca d'água oferece. Uma marca d'água está presente ou não está. Não há pontuação de confiança para interpretar, nenhuma curva de probabilidade que exija um revisor humano para desempatar. Isso permite ação totalmente automatizada — desmonetização, sinalização, remoção — com certeza de nível jurídico.
A Encruzilhada
Às vezes as pessoas me perguntam se acho que a IA vai destruir a indústria musical. Não acho. Acho que a indústria musical vai ficar bem — se ela parar de fingir que as ferramentas construídas para a era anterior funcionam nesta.
A impressão digital foi construída para um mundo em que o conteúdo era criado por humanos e o desafio era identificar cópias. Hoje vivemos em um mundo em que o conteúdo é criado por máquinas e o desafio é comprovar a origem. Esses são problemas fundamentalmente diferentes, e exigem uma infraestrutura fundamentalmente diferente.
O limite mínimo de 1.000 streams do Spotify para pagamento de royalties é um paliativo de política. Modelos de pagamento centrados no usuário são uma melhoria estrutural. Mas nenhum dos dois ataca a causa raiz: atualmente as plataformas não conseguem distinguir a diferença entre uma nova faixa de IA e uma nova faixa humana. Até que isso mude, toda outra correção vem depois disso.
A capacidade generativa agora é uma commodity. Qualquer um com uma GPU ou uma chave de API pode inundar o pipeline. A escassez — e, portanto, o valor — migrou para a proveniência. Não o que foi criado, mas quem o criou, como, e se é real.
O futuro da música de IA não é sobre o modelo que gera a melhor melodia. É sobre a infraestrutura que garante que essa melodia seja real, remunerada e reconhecida.
Com o EU AI Act e a regulamentação de deepfake pendente nos EUA, a marca d'água está deixando de ser opcional para se tornar obrigatória. A questão não é se a indústria vai adotar padrões de proveniência. É se ela vai adotá-los antes ou depois de os fundos de royalties terem sido drenados até a última gota.
Eu sei de qual lado dessa aposta estou construindo. Se você não consegue colocar uma marca d'água nele, não o gere. Isso não é um slogan. É a única realidade operacional que torna possível uma internet de áudio confiável.
