
Uma nota sobre financiamento: o CypherpunkGuide não veicula publicidade de vigilância — nada de redes de anúncios, pixels de rastreamento ou conteúdo patrocinado. O projeto se sustenta com fontes transparentes de receita: doações de leitores agora; assinatura e afiliados alinhados à linha editorial mais adiante. Respondemos aos leitores, não aos anunciantes.
Eu publico sob um pseudônimo e um retrato gerado por IA, então “basta manter o rosto fora do quadro” nunca seria toda a minha resposta para a privacidade de localização. A parte incômoda é o que está atrás do rosto. Em abril de 2025, um desenvolvedor colocou o modelo o3, da OpenAI, contra um Master do GeoGuessr — o jogo de adivinhar um lugar pela imagem do Street View — e o adversário era um dos melhores jogadores humanos do mundo. O modelo venceu: 23.179 pontos a 22.054, acertando o país nas cinco rodadas e chegando a poucas centenas de metros do ponto exato em duas delas. Nos mesmos testes, o o3 ignorou coordenadas de GPS falsas plantadas nos metadados do arquivo e deduziu a localização real só a partir dos pixels.
É nesse último detalhe que mora a história toda. Por vinte anos, o conselho padrão de privacidade em fotos foi “apague o EXIF” — remova a etiqueta de GPS oculta que o seu telefone grava no arquivo. (O EXIF são os dados que a câmera embute na foto e que podem, sim, incluir onde você estava.) Era um bom conselho contra o que hoje é a metade fácil do problema. A metade difícil é que uma máquina consegue ler os telhados, as plantas, a pintura do asfalto, o ângulo do sol e os caracteres na placa de uma loja — e dizer onde você está sem nenhum metadado. Um modelo de Stanford chamado PIGEON acerta o país de uma foto comum 91,96% das vezes e venceu um campeão mundial de GeoGuessr em seis partidas seguidas. Em um teste de 2025, um modelo Gemini de uso geral apontou a cidade certa 64,3% das vezes; os humanos avaliados no mesmo teste ficaram em 1,7%.
A pergunta aqui, então, não é “a IA consegue descobrir onde você está” — consegue —, mas o que de fato muda a sua exposição depois que ela consegue. Percorri os testes públicos de comparação e os próprios guias de campo da Bellingcat — o veículo de investigação de fontes abertas — para rastrear como um localizador vai estreitando uma foto, e depois inverti essa cadeia para transformá-la em defesa. A versão curta: a localização agora vaza em duas camadas, e cada uma tem a sua correção. A camada dos metadados você limpa. A camada visível você só consegue administrar — controlando o que entra no enquadramento e quando você publica, do mesmo jeito que um investigador de fontes abertas trabalharia o problema de trás para frente.
O que uma foto entrega, agora que a IA sabe lê-la#
A geolocalização por IA é a dedução de onde uma foto foi tirada a partir do seu conteúdo visível — prédios, vegetação, marcações no asfalto, ângulo do sol, placas —, e não de qualquer etiqueta de GPS. Essa é a virada que importa: a capacidade passou, há pouco, de “hobby de gente habilidosa” para “palpite automático, rápido e barato” — e fez essa transição derrotando jogadores especialistas, não iniciantes. Os números abaixo vêm de benchmarks revisados por pares — as avaliações padronizadas usadas para comparar modelos — e de um confronto direto muito reproduzido, não de marketing de fornecedor.
O tamanho do abismo entre máquina e humano é o que a maioria subestima. Em um benchmark acadêmico de 2025, um modelo Gemini chegou a 83,7% de acerto no nível de país e 64,3% no nível de cidade, enquanto os testadores humanos, nas mesmas imagens, fizeram 9,5% e 1,7%. Alguém que é bom nisso — um jogador ranqueado de GeoGuessr — ainda compete de igual para igual, e é exatamente por isso que os resultados alarmantes são estes: o o3 venceu um Master, e o PIGEON atropelou um campeão. O que um adversário aluga é o teto, não a média.
| Sistema | Nível de país | Nível de cidade | Observação |
|---|---|---|---|
| PIGEON (Stanford, 2024) | 91,96% | erro mediano ~44 km | Venceu um campeão de GeoGuessr por 6 a 0 |
| Gemini (benchmark de 2025) | 83,7% | 64,3% | Mesmo benchmark, humanos: 9,5% / 1,7% |
| GPT-4o (benchmark de 2025) | 74,0% | 63,3% | Modelo voltado ao consumidor, comparado ao mesmo grupo de humanos |
| o3 (2025, confronto direto) | todas as 5 rodadas | a poucas centenas de m ×2 | Venceu um Master humano; ignorou EXIF falso |
Duas ressalvas mantêm esta conversa honesta. Primeiro, a precisão é desigual: os modelos se saem muito melhor na América do Norte e na Europa Ocidental do que em regiões sub-representadas, então “a IA não sabe onde fica a minha cidade” às vezes é verdade e nunca é algo em que se apoiar. Segundo, as ferramentas especializadas vão além dos chatbots genéricos. O GeoSpy, um sistema comercial da Graylark Technologies, foi treinado em dezenas de milhões de imagens de nível de rua; a empresa afirma alcançar precisão nesse nível quando a entrada é boa. A própria trajetória do GeoSpy é um aviso: depois do lançamento, usuários publicaram vídeos pedindo que ele localizasse mulheres específicas, e a empresa tirou o acesso público e restringiu a ferramenta a clientes de segurança pública, corporativos e governamentais. A capacidade é real o bastante para que os próprios criadores decidissem que não dava para deixá-la nas mãos do público.
Como um investigador localiza uma foto — e por que isso ajuda você#
Um investigador de fontes abertas não precisa de IA para localizar uma foto; a disciplina da geolocalização — confirmar onde uma imagem foi feita a partir de evidências visíveis — é uma década mais velha que os modelos. Entender o método deles importa porque uma boa defesa é o método deles ao contrário: as pistas que eles caçam são exatamente as que você quer manter fora do seu enquadramento. A Bellingcat, o veículo investigativo que formalizou boa parte dessa prática, ensina isso como uma lista de camadas.
As camadas se empilham do grosseiro ao fino. A cronolocalização usa as sombras: o comprimento e a direção de uma sombra, cruzados com os dados de uma calculadora de posição do sol para uma data provável, estreitam tanto a hora do dia quanto a latitude. A arquitetura e a infraestrutura estreitam o país — o desenho dos postes, o formato dos semáforos, o estilo de meios-fios e balizadores variam de país para país, e bancos de dados de referência catalogam essas diferenças. A vegetação distingue climas e regiões. As placas e a escrita muitas vezes entregam de bandeja uma cidade ou uma rua específica. E os reflexos — a vitrine de uma loja, o retrovisor de um carro, óculos escuros — podem revelar aquilo para onde a câmera não estava apontada. A confirmação da rota do comboio do MH17 pela Bellingcat — o rastreamento do veículo que transportava o míssil que derrubou um avião de passageiros sobre a Ucrânia em 2014 — foi montada exatamente com esse tipo de empilhamento: análise de sombras somada à identificação de pontos de referência, fixada a um trecho exato de estrada.
O que a IA mudou não foi o método, e sim o custo. Um investigador humano gasta horas por imagem; um modelo roda a mesma inferência em segundos, por centavos, e pode ser apontado para milhares de imagens de uma vez. A lição defensiva é precisa e até um pouco libertadora: você não precisa derrotar um gênio, precisa apenas remover as pistas que se acumulam. Cada camada que você nega — sem placas, sem uma linha do horizonte característica, sem superfície refletora, sem uma sombra desobstruída — é uma camada que o localizador, humano ou máquina, deixa de ter à disposição.
As duas camadas do vazamento de localização#
Aqui está a ideia que reorganiza todo o resto, e que a maioria dos guias embaralha: uma foto vaza localização em duas camadas independentes, e só uma delas é um problema resolvido. Confundir as duas é o que faz a frase “eu apaguei os metadados” dar às pessoas uma confiança que elas não conquistaram.
A Camada 1 são os metadados — o bloco EXIF que a sua câmera grava no arquivo, incluindo, se os serviços de localização estavam ligados, as coordenadas de GPS exatas. Essa camada é solucionável. O dado é discreto, fica em um lugar conhecido do arquivo, e você pode removê-lo por completo antes de a foto sair do seu aparelho. Apague-o e aquela coordenada simplesmente deixa de existir.
A Camada 2 é o conteúdo — a própria cena visível. É isso que os modelos de visão (a IA que “lê” imagens) enxergam, e essa camada não dá para remover, porque ela não está presa à foto; ela é a foto. Você não consegue apagar a arquitetura sem apagar a imagem. Quando o o3 ignorou a etiqueta de GPS falsa e localizou a imagem pelos pixels, ele mostrou que a Camada 2 hoje se sustenta sozinha — um adversário que não tira nada da Camada 1 ainda tem o enquadramento visível inteiro para trabalhar.
Isso reformula a defesa inteira. A Camada 1 é um problema de limpeza: faça uma vez, de forma mecânica, sempre. A Camada 2 é um problema de composição: ela se decide quando você aperta o obturador e quando você aperta publicar, e nenhuma ferramenta posterior conserta uma linha do horizonte que você já publicou. O resto deste artigo trata as duas em separado, porque tratá-las juntas é justamente o erro.
“Mas eu apaguei os metadados” — o que isso de fato resolve#
Apagar os metadados é necessário e já não é suficiente. Fecha a Camada 1 com limpeza e não faz nada pela Camada 2 — e, mesmo dentro da Camada 1, o comportamento das plataformas em que as pessoas confiam é mais estreito do que imaginam. Duas crenças precisam ser desmontadas: a de que as redes sociais já cuidam disso por você, e a de que uma captura de tela rápida deixa a foto limpa.
A maioria das grandes plataformas de fato recodifica os envios públicos e descarta o bloco EXIF da versão que os outros usuários conseguem baixar — mas as garantias são condicionais. Serviços independentes de teste de metadados relatam, em 2026, que a exceção se repete em todos os aplicativos: os modos “enviar como documento” ou “enviar como arquivo” driblam a recodificação e preservam tudo, a um toque de distância do caminho seguro e sem nenhum aviso. E apagar a cópia pública não é o mesmo que deletar — a própria política de privacidade da Meta descreve a retenção dos dados originais da imagem nos servidores, para os fins da empresa. A tabela abaixo é uma síntese do comportamento testado e da política oficial; leia-a como “onde estão as armadilhas”, não como uma promessa sobre um envio específico.
| Caminho | EXIF público | A armadilha |
|---|---|---|
| Instagram / Facebook (post público) | Removido na cópia que dá para baixar | Original retido no servidor; envios de maior qualidade por DM podem diferir |
| X (post público) | Removido | Retenção interna; agendamento e clientes de API de terceiros não são verificados |
Reddit (nativo i.redd.it) | Removido na recodificação | Hospedagens externas de imagem (por exemplo, links do imgur) podem preservar o GPS |
| TikTok (post) | Removido | O app coleta localização por outros meios; remover ≠ não rastreado |
| WhatsApp / Signal / Telegram (modo foto) | Removido pela compressão | “Documento / enviar como arquivo” preserva o EXIF completo, sem aviso |
O mito da captura de tela merece um parágrafo à parte, porque os buscadores insistem em recomendá-la. Tirar uma captura de tela de fato gera um arquivo novo, sem a etiqueta de GPS original — é uma correção real de Camada 1. E não faz absolutamente nada pela Camada 2: a captura continua mostrando a mesma rua, a mesma linha do horizonte, a mesma placa de loja, e um modelo lê tudo isso a partir de uma captura tão bem quanto a partir do original. Uma captura de tela muda o arquivo, não o que aparece na imagem.
Um protocolo de defesa à altura do seu modelo de ameaça#
Não existe uma dose única e correta de cautela aqui — o protocolo certo depende de quem pode estar olhando e do que essa pessoa faria com um acerto. Regras absolutas do tipo “nunca poste ao ar livre” são impraticáveis e, para a maioria, desnecessárias; o caminho sensato é ajustar o esforço à ameaça — a mesma lógica de modelagem de ameaça sobre a qual se apoia o Surveillance Self-Defense da EFF (a Electronic Frontier Foundation). Os níveis abaixo escalam: todo mundo deveria fazer o básico, e cada nível mais alto soma ao anterior, em vez de substituí-lo.
A linha que separa os níveis é a consequência. Para quem compartilha por lazer, uma foto localizada é um arranhão na privacidade. Para um criador público ou uma mulher que já sofre assédio, é um passo em direção a um encontro no mundo real — e isso não é hipótese, já que a geolocalização por IA alimenta as mesmas ameaças de perseguição e de violência por parceiro íntimo (VPI) que a Privacy International, a ONG britânica de privacidade, cataloga na sua taxonomia de risco — e basta lembrar por que os criadores do GeoSpy fecharam a porta pública. Para um ativista, um jornalista ou uma sobrevivente de abuso, um único quadro geolocalizado pode ser um evento de segurança física. Localize-se primeiro nessa escada e só depois aplique a linha correspondente.
| Nível | Quem | Hábitos a acrescentar |
|---|---|---|
| Básico (todo mundo) | Quem compartilha por lazer | Apagar o EXIF localmente antes de enviar (não confie na plataforma); nunca postar casa, trabalho ou a escola do filho em tempo real; lembrar que uma captura de tela não é segura |
| Elevado | Persona pública, criadores, qualquer pessoa que sofre assédio | Adiar a publicação para que “estou aqui agora” vire “estive aqui semana passada”; limpar os fundos — janelas, reflexos, placas de carro, linhas do horizonte características; evitar lugares recorrentes, de rotina |
| Alto | Ativista, jornalista, sobrevivente de VPI, denunciante | Presumir que toda foto publicada é geolocalizável para sempre; fazer uma revisão do tipo “o que este quadro revela” antes de postar, não depois; manter um aparelho e uma conta separados que nunca carreguem imagens com localização |
Três técnicas precisam de rótulos honestos para você não confiar demais nelas. Apagar o EXIF funciona melhor quando feito localmente e de forma mecânica — a ferramenta de linha de comando ExifTool remove tudo em uma só passada (exiftool -all= photo.jpg) e, como roda na sua máquina, a foto nunca sai dela. Adiar a publicação derrota o vazamento em tempo real — um adversário que descobre onde você está agora —, mas não faz nada contra a análise retrospectiva, porque o fundo continua entregando um lugar sempre que for examinado. E desfocar o fundo é mais fraco do que parece: um desfoque leve pode ser parcialmente revertido por deblurring (a técnica que reverte o desfoque), então as opções honestas são a pixelização forte ou simplesmente não incluir aquilo no quadro. Nomeie cada técnica pela camada que ela trata e você para de confundir “fiz alguma coisa” com “estou protegido”.
Conclusão — quanto você realmente precisa fazer?#
Para a maioria das pessoas, o protocolo inteiro se reduz a dois hábitos: apagar os metadados localmente, por reflexo, e parar de postar em tempo real os lugares aos quais você sempre volta — casa, trabalho, a ida à escola. Isso fecha a Camada 1 por completo e nega à Camada 2 a sua pista mais valiosa, que é um lugar de rotina sobre o qual um adversário consegue agir. Tudo acima disso depende do modelo de ameaça, e quem precisa do nível alto costuma já saber que precisa.
A mudança de mentalidade é o que dura. A pergunta antiga — “será que lembrei de desligar a geolocalização?” — é uma pergunta de Camada 1, e a Camada 1 é quase automática quando o ExifTool vira hábito. A pergunta que protege você agora é de Camada 2: o que este quadro diz sobre onde eu estou, e eu entregaria isso a um estranho que quisesse me encontrar? Quando eu audito uma foto antes de ela sair, é a única pergunta que eu faço — porque é a única que eu já não consigo impedir que as máquinas respondam no meu lugar.
Perguntas frequentes#
Apagar os dados EXIF esconde a minha localização?#
Resolve metade do problema. Remover o EXIF apaga a coordenada de GPS exata que a sua câmera embutiu — uma correção real, que vale a pena fazer. Mas os modelos de visão modernos deduzem a localização a partir da cena visível — arquitetura, vegetação, ângulo do sol, placas — sem nenhum metadado. Em testes documentados, o o3, da OpenAI, localizou fotos mesmo depois de as etiquetas de GPS terem sido trocadas por falsas. Apague os metadados como base e depois trate o conteúdo real da imagem como a camada mais difícil, ainda sem solução.
Postar uma captura de tela em vez da foto original é seguro?#
Uma captura de tela remove o EXIF original, então fecha a camada dos metadados — mas não muda nada na imagem em si. A rua, a linha do horizonte e qualquer placa legível continuam no quadro, e uma IA as lê a partir de uma captura tão bem quanto a partir do arquivo original. Uma captura de tela muda o arquivo, não o que aparece na imagem; não é uma defesa de geolocalização.
A IA consegue mesmo localizar uma foto melhor do que uma pessoa?#
Consegue, e contra gente habilidosa, não só iniciantes. O PIGEON, um modelo de Stanford, acerta o país de uma foto 91,96% das vezes e venceu um campeão mundial de GeoGuessr em seis partidas. Em um benchmark de 2025, um modelo Gemini chegou a 64,3% de acerto no nível de cidade, onde os testadores humanos fizeram 1,7%. A precisão é desigual conforme a região, mas o teto — o que um adversário determinado consegue alugar — é altíssimo.
Desfocar o fundo me protege?#
Só se for forte o bastante. Um desfoque leve ou uma pixelização fraca podem ser parcialmente revertidos por técnicas de deblurring, que recuperam texto e detalhes. Se um elemento do fundo puder entregar a sua localização — uma placa de rua, um prédio característico, um reflexo —, as opções confiáveis são a pixelização forte ou tirar aquilo do quadro por completo, não um desfoque suave.
Qual é o único hábito de maior valor?#
Pare de postar os seus lugares recorrentes do dia a dia — casa, trabalho, a escola do seu filho, a academia a que você vai em horário fixo —, sobretudo em tempo real. Uma foto isolada de viagem é um risco menor do que uma rotina sobre a qual um adversário consegue agir. Junte isso a apagar o EXIF localmente antes de enviar e você terá fechado a camada dos metadados e negado à camada de conteúdo a sua pista mais explorável.
| # | Fonte | URL | Arquivo |
|---|---|---|---|
| 1 | Privacy International — “Nowhere to Hide? Privacy Risks and Policy Implications of AI Geolocation” (2026) | https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocation | https://web.archive.org/web/*/https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocation |
| 2 | Haas et al. — “PIGEON: Predicting Image Geolocations” (Stanford, CVPR 2024) | https://arxiv.org/abs/2307.05845 | https://web.archive.org/web/*/https://arxiv.org/abs/2307.05845 |
| 3 | Huang et al. — “AI Sees Your Location, But With A Bias Toward The Wealthy World” (VLMs as GeoGuessr Masters, arXiv, 2025) | https://arxiv.org/abs/2502.11163 | https://web.archive.org/web/*/https://arxiv.org/abs/2502.11163 |
| 4 | Sam Patterson — “Can o3 beat a GeoGuessr Master?” (2025) | https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/ | https://web.archive.org/web/*/https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/ |
| 5 | Simon Willison — “o3 beats a GeoGuessr master” (2025) | https://simonwillison.net/2025/Apr/28/o3-geoguessr/ | https://web.archive.org/web/*/https://simonwillison.net/2025/Apr/28/o3-geoguessr/ |
| 6 | Bellingcat — “Using the Sun and the Shadows for Geolocation” (2020) | https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ | https://web.archive.org/web/*/https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ |
| 7 | TechNADU — “GeoSpy Sparks Privacy Concerns After Public Misuse” (2025) | https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/ | https://web.archive.org/web/*/https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/ |
| 8 | Electronic Frontier Foundation — Surveillance Self-Defense | https://ssd.eff.org/ | https://web.archive.org/web/*/https://ssd.eff.org/ |
| 9 | Meta — Privacy Policy (image metadata retention) | https://www.facebook.com/privacy/policy/ | https://web.archive.org/web/*/https://www.facebook.com/privacy/policy/ |
Este artigo é o complemento — focado em fotos — de uma conversa mais ampla aqui no site. A mesma inferência de máquina, aplicada ao seu texto em vez das suas imagens, está mapeada em Desanonimização por IA: como a inferência desfaz seu anonimato, e as premissas que a IA quebra em todo o seu modelo de ameaça estão descritas em OPSEC na era da IA: refaça seu modelo de ameaça. Como uma foto localizada, uma vez publicada, não tem como ser tirada do ar, a auditoria do que de fato sobrevive à exclusão está em Pegada digital: o que as redes sociais nunca apagam. Para a mesma ameaça voltada ao seu corpo, e não ao seu fundo, veja Sua voz e seu rosto viraram senhas; e, para ver como essas técnicas convergem sobre um alvo real, Como streamers são expostos: 5 casos e a defesa.


