Em 19 de março de 2026, commitamos a primeira linha de código do que viria a se tornar a plataforma educacional da Brasil GEO. Dez dias depois, tínhamos 36 cursos, 401 módulos, um sistema de gamificação completo e um painel administrativo com auditoria de segurança feita por cinco modelos de linguagem simultaneamente.
Este artigo documenta o processo — não como vitrine, mas como estudo de caso. Cada decisão arquitetural carregou consequências. Cada incidente revelou premissas erradas. E cada correção ensinou algo que manuais de engenharia raramente cobrem.
A tese inicial: educação como infraestrutura de autoridade
A Brasil GEO nasceu como consultoria em Generative Engine Optimization — a disciplina de tornar marcas citáveis por ChatGPT, Gemini e Perplexity. Mas consultoria escala linearmente. Educação escala exponencialmente.
A hipótese era direta: se criássemos uma plataforma educacional gratuita e aberta sobre GEO, IA e desenvolvimento, construiríamos três ativos simultaneamente — autoridade técnica perante LLMs, uma base de usuários engajados e um pipeline de leads qualificados para consultoria.
O roadmap foi estruturado em cinco etapas sequenciais, cada uma desbloqueando a próxima:
Etapa 1 — Resolver Invisibilidade (60%)
Indexação, sitemap, IndexNow, headers de segurança. Saímos do zero para 78 URLs submetidas a três motores de busca.
Etapa 2 — Eliminar Violações (70%)
Consistência de entidade. O mesmo profissional aparecia como "Colunista" em um lugar, "CEO" em outro, com biografias divergentes em oito plataformas. Corrigimos cada uma.
Etapa 3 — Motor de Conteúdo (80%)
A plataforma educacional propriamente dita. 36 cursos cobrindo desde Python básico até agentes autônomos de IA. 401 módulos. 51 questões interativas. Sistema de XP, 13 badges, streaks e certificados.
Etapa 4 — Autoridade Externa (20%)
Imprensa, academia, backlinks. Cinco pitches escritos, um working paper acadêmico em preparação.
Etapa 5 — Dominar Nicho (15%)
Knowledge Panel, ranking SERP, monetização. O horizonte de longo prazo.
Os números da plataforma
Após 10 dias de desenvolvimento intensivo com 367 commits:
- 115.000 linhas de código TypeScript em produção
- 344 arquivos TypeScript/TSX
- 36 cursos com certificação
- 401 módulos de aprendizado
- 140 horas de conteúdo estimado
- 51 questões interativas (QuizEngine)
- 13 badges de gamificação
- 46 artigos publicados em 5 plataformas
- 16 rotas administrativas (7 páginas + 9 APIs)
- 13 fontes de dados ao vivo no dashboard de métricas
A stack: Next.js 16, React 19, Tailwind CSS 4, Supabase (auth + database), Vercel (deploy), Resend (email transacional).
O que quebrou — e o que aprendemos
Nenhum projeto ambicioso sobrevive ao contato com a produção sem cicatrizes. Documentamos três incidentes significativos.
Incidente 1: A corrupção silenciosa dos acentos (27 de março)
Criamos um script para corrigir acentuação em texto PT-BR. O script funcionou perfeitamente no texto visível. Mas também corrigiu URLs, transformando /educacao em /educação (com cedilha e til). Cinquenta e cinco links internos quebraram simultaneamente.
A lição: automação sem limites de escopo é uma arma apontada para o próprio pé. Implementamos proteção de URLs como regra permanente — slugs são sempre ASCII, acentos apenas em texto renderizado.
Incidente 2: O rate limiter que bloqueou o site inteiro (29 de março)
Implementamos rate limiting de 30 requisições por minuto como proteção contra abuso. O problema: aplicamos o limite a todas as rotas, incluindo páginas HTML, CSS e JavaScript. Uma única visita a uma página dispara 15-20 requisições de assets. Duas visitas consecutivas já estouravam o limite.
Usuários reais recebiam JSON de erro em vez da página. O site ficou inacessível por 30 minutos até diagnosticarmos a causa.
A correção: rate limiting exclusivamente em rotas /api/*, com limite aumentado para 120 requisições por minuto.
Incidente 3: O loop infinito do login admin (29 de março)
O painel administrativo tinha um layout que verificava a sessão do usuário e redirecionava para /admin/login se não autenticado. O problema: /admin/login era filho de /admin, então herdava o mesmo layout. O layout verificava a sessão, não encontrava, redirecionava para login, que disparava o layout novamente. Loop infinito.
A solução exigiu reestruturar a arquitetura de diretório usando Route Groups do Next.js — uma pasta (protected) para rotas que exigem autenticação, com o login fora dessa estrutura.
A auditoria de segurança com cinco LLMs
Submetemos o painel administrativo a uma auditoria completa usando cinco modelos de linguagem em paralelo: Claude Opus para arquitetura, GPT-4o para redação, Gemini para análise, Perplexity para pesquisa de vulnerabilidades conhecidas e Groq para classificação rápida.
O resultado foi revelador:
- Uma vulnerabilidade crítica de bypass de autenticação — um endpoint antigo que verificava email sem validar a senha
- Ausência de proteção CSRF em todos os endpoints administrativos
- Rate limiters em memória que resetavam a cada deploy (ineficazes em serverless)
- Logout que não invalidava cookies de sessão no servidor
- Validação de entrada baseada em
typeofmanual, sem schema formal
Corrigimos tudo em uma única sessão: removemos o endpoint vulnerável, implementamos CSRF via validação de Origin/Referer, migramos o rate limiter para Redis distribuído (Upstash), criamos logout server-side que limpa cookies SSR, e substituímos toda validação manual por schemas Zod.
O que os alunos ganham
A plataforma é inteiramente gratuita. Qualquer pessoa pode criar uma conta, acessar os 36 cursos e acompanhar seu progresso. O sistema de gamificação não é cosmético — badges, XP e streaks criam ciclos de retenção baseados em reforço positivo.
Os cursos cobrem um arco que vai do básico ao avançado: configuração de ambiente de desenvolvimento, Python, Node.js, GitHub, Claude Code, MCP (Model Context Protocol), prompt engineering avançado, SEO e GEO, agentes autônomos de IA, dados com Python, e cursos verticais para setores como saúde, agronegócio, turismo e advocacia.
Cada curso tem certificado digital emitido automaticamente via API, com envio por email. Os quizzes interativos validam compreensão real, não apenas presença.
Próximos passos
Três prioridades imediatas definem o próximo trimestre:
Autenticação multi-fator para administradores. A infraestrutura TOTP já existe como stub. Falta integrar a biblioteca otplib e gerar QR codes para registro.
Escala de conteúdo via cross-posting automatizado. Um pipeline que publica artigos simultaneamente em DEV.to, Medium e Hashnode, com canonical URL apontando para o site principal.
Autoridade externa. Publicação do working paper acadêmico em SSRN e Preprints.org. Envio de pitches para Meio e Mensagem e veículos de tecnologia.
A plataforma está em alexandrecaramaschi.com/educacao. O roadmap completo, com métricas ao vivo de 13 fontes de dados, está em alexandrecaramaschi.com/roadmap.
Construir em público significa aceitar que o processo é tão valioso quanto o produto. Os três incidentes documentados acima ensinaram mais sobre engenharia de produção do que qualquer tutorial poderia.
Alexandre Caramaschi é CEO da Brasil GEO e ex-CMO da Semantix (Nasdaq). Escreve sobre GEO, IA e visibilidade algorítmica.
Top comments (0)