- Segurança do Magical
O Magical: Text Expander & Autofill é uma ferramenta incrível, verificando os site deles possui certificação SOC 2 Type II e conformidade com HIPAA (normas rígidas de dados de saúde nos EUA).
Onde os dados ficam? Os atalhos são expandidos localmente na sua máquina (funciona até offline). Mas, é cloud-first: seus prompts e atalhos são sincronizados nos servidores deles para fins de backup e colaboração em equipe.
Embora eles garantam criptografia (AES-256 em repouso e TLS 1.2 em trânsito) e declarem que não registram suas teclas (keylogging), a extensão possui permissões amplas no Chrome para ler dados de sites para fazer o "Autofill".
Concluo que para prompts gerais, o risco é baixo. Mas a própria documentação deles avisa: não armazene dados sensíveis (chaves de API, senhas ou dados de clientes) na plataforma. Além disso, extensões de terceiros sempre carregam o risco de ataques à cadeia de suprimentos (supply chain attacks), onde uma atualização futura maliciosa pode comprometer o código.
Seria ótimo se armazenase localmente.
- Alternativas
Abordagens que tiram o foco do servidor de terceiros ou rodem direto no sistema operacional,algumas opções:
Espanso (Open-Source / Totalmente Local): O Espanso roda direto no nível do sistema operacional (Windows, Mac, Linux), e não como extensão de navegador. Ele armazena os atalhos em arquivos .yml locais. É extremamente rápido, seguro e privado. Não vi se tem os mesmo poderes, mas parece muito legal.
TextExpander ou Alfred (com Snippets): Se estiver no ecossistema macOS/Windows, gerenciam os dados no sistema como um todo, blindando seus dados do ecossistema do navegador.Pode ser uma alternativa.
Outras seria contruir um keyloger em python com armazenamento local, mas seria muito mais simples, vou pensar nisso seriamente como exercício.
