Fãs entusiastas do embargo de chips enfrentam proibição de modelos

Autor: Su Yang, Tencent Technology

Desde a máquina de litografia EUV, passando por máquinas avançadas de litografia DUV, até o chip H100, em relação às sanções ao semicondutor, o Vale do Silício se dividiu em duas correntes.

Huang Renxun, Su Zifeng e outros têm feito esforços para aliviar as restrições, acreditando que a regulamentação excessiva equivale a entregar o mercado de mãos beijadas, enquanto o CEO da Anthropic, Amodei, é um “fanático” por regulamentação, chegando a comparar chips avançados a armas nucleares.

Huang Renxun já fez várias críticas veladas a Amodei, dizendo que ele tem um “complexo de Deus”. “Comparar IA com armas nucleares, enriquecimento de urânio, é loucura. Nós não estamos refinando urânio, estamos fazendo apenas um pequeno chip,” disse Huang no podcast Dwarkesh Patel.

O “fanático” Amodei talvez não tenha previsto que, um dia, a forte regulamentação que ele defende poderia acontecer justamente na Anthropic — os modelos Mythos e Fable 5, que são de ponta, foram proibidos pelo governo dos EUA de fornecer serviços a qualquer “estrangeiro” no mundo.

Liu Kun comenta no Facebook sobre a proibição do Fable 5

“A loucura de Amodei de temer Mythos/Fable (e todo o campo de IA) finalmente deu frutos: o governo dos EUA proibiu o uso por não-americanos, incluindo estrangeiros que trabalham nos EUA. Quem planta milho, colhe milho,” escreveu Liu Kun, vencedor do Prêmio Turing, no Facebook.

A frase “Quem planta milho, colhe milho” é uma expressão que, no contexto chinês, significa “a consequência de suas ações”. Nos comentários, Liu Kun também zombou que Amodei poderia usar a proibição para se gabar da força de seus modelos.

De acordo com algumas políticas dos EUA, a proibição dos modelos Mythos e Fable não deve durar muito. David Sacks, conselheiro de IA do governo dos EUA, conhecido como “Imperador da IA”, afirmou que isso é apenas uma restrição temporária, e espera que a Anthropic corrija rapidamente as vulnerabilidades de segurança.

Portanto, neste momento, queremos esclarecer neste artigo a origem e o contexto da “proibição de modelos”, as principais controvérsias, os problemas existentes, as possíveis restrições de exportação a longo prazo e o impacto potencial na Anthropic e na indústria de inteligência artificial como um todo.

“Crise de 72 horas”

Muitos filmes americanos gostam de usar “horas” no título para destacar mudanças rápidas em um curto período de tempo. O novo modelo da Anthropic foi lançado e removido em apenas 72 horas, encaixando-se exatamente nesse esquema narrativo.

Em 9 de junho, a Anthropic lançou seu modelo mais poderoso até então, Claude Fable 5 e Claude Mythos 5, sendo este o primeiro modelo de classe “Mythos” da empresa. O Fable 5 é uma versão voltada ao público, com um classificador de segurança: em áreas sensíveis como segurança cibernética, biologia e química, as consultas são automaticamente roteadas para o Opus 4.8, de capacidade mais fraca. Mythos 5, por sua vez, é o mesmo modelo base, mas com restrições de segurança removidas, disponibilizado apenas via Project Glasswing para cerca de 150 organizações revisadas.

Na época, já tinham se passado 2 meses desde a primeira prévia do Mythos.

No blog oficial, a Anthropic afirmou que “a série Fable 5 possui a proteção de segurança mais rigorosa de todos os modelos testados”.

Pliny the Liberator revela risco de “jailbreak” do Fable 5

Apenas um dia depois, o famoso hacker de jailbreak de IA, Pliny the Liberator, publicou uma postagem em maiúsculas no X: “ALERTA DE JAILBREAK, ANTHROPIC VENCIDA, FABLE-5 LIBERADO”. Ele alegou ter burlado o classificador de segurança do Fable 5 usando substituição Unicode, caracteres semelhantes, diluição de contexto longo e técnicas de decomposição e recomposição.

Naquele momento, Amodei provavelmente ainda estava imerso na alegria de ver seu modelo Fable 5 “dominar tudo”, sem perceber o risco anunciado por Pliny. Ele publicou um longo artigo em seu blog pessoal intitulado “Resposta política ao crescimento exponencial da IA”, defendendo que o governo deveria ter o poder de impedir a implantação de modelos de IA inseguros.

Assim como Pliny, um pesquisador da Amazon também descobriu o risco de jailbreak, mas com uma abordagem diferente.

O CEO da Amazon, Andy Jassy, decidiu passar por cima da Anthropic — uma empresa na qual a Amazon investiu pesado — e enviou um relatório de jailbreak ao governo dos EUA.

Vários veículos de mídia revelaram que, no dia seguinte (12 de junho), a Anthropic recebeu uma advertência final do governo americano, sendo instruída a desativar o acesso a dois modelos em 90 minutos. Amodei tentou reverter por telefone, mas acabou recebendo uma ordem de restrição de exportação de emergência.

Na noite de 12 de junho, a Anthropic cumpriu a ordem. Curiosamente, Amodei e sua equipe reforçaram a medida, desconectando o Fable 5 e Mythos 5 globalmente, independentemente de serem americanos ou não.

De 9 a 12 de junho, foi um verdadeiro “crash de 72 horas” para a Anthropic.

Quando compartilhei essa notícia nas redes sociais, citei uma frase clássica de um filme de Hong Kong: “Difícil de resolver, então não resolva”.

Há um espaço para reflexão aqui — por que a Anthropic, ao invés de simplesmente bloquear o acesso de usuários estrangeiros, optou por uma medida drástica de desconexão total? Vale lembrar que a Anthropic nunca foi uma “criança obediente”. No primeiro trimestre, Amodei apresentou seu próprio “Constitutional AI” (AI Constitucional), um conjunto de regras para proteger a IA de usos militares e de vigilância, mesmo que isso signifique abrir mão de contratos com o governo dos EUA.

Sobre a abordagem de “tudo ou nada”, alguns analistas acreditam que a Anthropic não teve tempo suficiente para filtrar usuários, especialmente porque muitos acessam via API, incluindo APIs intermediárias, o que torna a tarefa bastante complexa.

Embora essa explicação seja razoável, ao consultar a política oficial da empresa, é possível perceber que a Anthropic já vem se preparando nesse sentido. Sua política de privacidade mais recente sugere que os usuários precisarão fornecer informações como idade e identidade, o que muitos interpretam como uma possível implementação de reconhecimento facial nos modelos posteriores do Claude. Assim, identificar se o usuário é “americano” ou “estrangeiro” não seria difícil.

Confiança irresistível

“Algumas pessoas analisam a base legal usando o mecanismo de ‘Is informed letter’ (carta de aviso),” disse um pesquisador que acompanha de perto as políticas de exportação.

Nos EUA, a carta de aviso é uma ferramenta administrativa comum da Bureau of Industry and Security (BIS) do Departamento de Comércio, que permite às autoridades emitir notificações rápidas e não públicas para empresas, sem alterar formalmente as regulamentações de exportação, exigindo licença para exportar certos itens ou tecnologias.

No final de 2023, a Nvidia lançou um produto especial, o H20, para o mercado chinês, para contornar restrições de capacidade e largura de banda impostas pelas regras de exportação. Logo depois, a BIS enviou cartas de aviso para Nvidia, AMD e outras, exigindo licenças adicionais para exportar certos chips A, enquanto atualizava as regulamentações de exportação.

No caso da Anthropic, antes de receber a carta de aviso que restringia o acesso de usuários “não-americanos”, o governo dos EUA já havia dado uma orientação de “remoção em 90 minutos”. Segundo a Politico e outros veículos, houve várias rodadas de negociações envolvendo o secretário do Tesouro, o secretário de Comércio e o conselheiro de política de IA do governo, mas a Anthropic recusou a ordem.

Inicialmente, recusou-se a remover os modelos, até que, por fim, a “desconexão total” foi implementada. Essa mudança radical é difícil de explicar apenas por limitações técnicas.

A carta de aviso geralmente é um passo preliminar para a implementação de regras de exportação, mas alguns especialistas acreditam que desta vez o governo não pretende alterar as regulamentações, apenas “parar a Anthropic no caminho”.

Eles argumentam que, no cenário de grandes modelos, ainda não há uma definição clara do que deve ser controlado. “Seria o peso do modelo, o acesso via API, o serviço de inferência ou alguma capacidade abstrata do modelo?”

Historicamente, as restrições de exportação eram mais voltadas a produtos físicos. Mesmo com tecnologia, no final, trata-se de bens tangíveis. Mas, uma vez que o peso do modelo é gerado digitalmente, ele pode se espalhar na esfera digital, tornando difícil uma proibição absoluta.

Assim, “parar a Anthropic” parece uma hipótese razoável. Depois de bloqueá-la, discutir uma governança mais adequada e alinhada faz sentido — e, com base nisso, podemos inferir que Mythos e Fable logo retornarão, o que explica por que David Sacks, o “Imperador da IA”, enfatiza que a “proibição” é apenas temporária.

Por que o governo dos EUA usaria medidas administrativas para interferir no lançamento de modelos de ponta de um laboratório de IA?

A “falha de vulnerabilidade” dos modelos.

Em março, durante uma conversa com Zhou Hongyi, presidente do Grupo Qihoo 360, ele destacou a capacidade da Anthropic de descobrir vulnerabilidades usando IA. “A Anthropic consegue encontrar vulnerabilidades e programar usando IA, resolvendo muitos problemas de segurança que antes eram impossíveis. Por isso, sugeri que devêssemos focar em IA (segurança) e agentes inteligentes.”

O pesquisador mencionado também reforçou que Mythos não se trata de um chatbot comum, mas de uma capacidade altamente especializada de descoberta de vulnerabilidades, análise de rotas de ataque e habilidades ofensivas de rede.

Segurança sem consenso

A Anthropic não só reforçou a ordem de “reforçar a execução” da proibição, como também publicou uma declaração pública.

“Para garantir conformidade, devemos interromper imediatamente todos os planos de usuários,” afirmou a empresa, acrescentando que a suposta “falha de jailbreak” reportada pelo governo e terceiros foi limitada a algumas vulnerabilidades menores previamente conhecidas, que parecem relativamente simples.

Assim, ao revisitar as posições de Amodei, fica claro que sua defesa de que o governo deveria ter o poder de impedir a implantação de IA insegura, assim como a afirmação de que o Fable 5 é o modelo mais seguro, refletem uma confiança absoluta na segurança de seus produtos.

Porém, a Anthropic também deixou uma ressalva: “Atualmente, nenhum fornecedor de modelos consegue garantir proteção total contra jailbreaks,” o que, ao contrário de uma afirmação de segurança absoluta, soa como uma justificativa.

Ou seja, eles afirmam que seus modelos são os mais seguros, e que os modelos inseguros deveriam ser bloqueados pelos órgãos reguladores; que suas vulnerabilidades são geralmente leves e conhecidas; que fazem o máximo para limitar jailbreaks, mas ninguém consegue impedir totalmente.

Por que um modelo que se diz o mais seguro precisa ser lançado mesmo com vulnerabilidades conhecidas? Não seria arriscado? Se não há como bloquear totalmente o jailbreak, por que então pedir restrições a outros modelos?

Quem conhece a Anthropic sabe que a empresa não só tem produtos e capacidades excelentes, mas também adota uma postura bastante agressiva na segurança e governança de IA, quase como uma “criadora de regras” na era da IA, constantemente se colocando como “guardião da segurança”.

Em 19 de setembro de 2023, a Anthropic lançou o RSP 1.0 (Política de Expansão Responsável), defendendo que quanto mais capaz for um modelo, maior deve ser sua segurança. Antes de lançar modelos mais avançados, a empresa deve garantir sua segurança. O documento menciona o mecanismo de classificação de segurança de IA (ASL), com níveis como ASL-1: risco catastrófico sem sentido, ASL-2 com sinais de perigo inicial, mas sem risco catastrófico, e ASL-3 com aumento significativo do risco de uso malicioso.

“Se a escala de IA ultrapassar nossa capacidade de seguir procedimentos de segurança necessários, o quadro ASL nos obrigará a pausar o treinamento de modelos mais poderosos,” escreveu a Anthropic.

Uma semana antes do lançamento do Fable 5, em 4 de junho, a Anthropic publicou um artigo intitulado “Quando a IA se auto-modela”, pedindo uma “pausa ativa” para evitar riscos de melhorias recursivas na IA.

Pouco tempo depois, o Fable 5 foi lançado.

Se olharmos para essa linha do tempo, parece uma situação cômica — como se um estudante brilhante dissesse “nunca reviso para o exame”, mas na prática estivesse fazendo uma preparação intensa.

Se há preocupações, por que lançar o modelo mais avançado logo após pedir uma pausa? Essa é uma questão. Na verdade, o modelo Mythos já tinha uma prévia há dois meses. Se sua capacidade é tão revolucionária, por que não se pediu uma pausa na época?

Aparentemente, a Anthropic adota uma postura agressiva em relação à segurança, mas essa postura de apelo à segurança parece mais uma estratégia de contenção de adversários. Enquanto fala em regulamentar modelos inseguros e pede pausa no treinamento de modelos de ponta, ela mesma continua iterando e avançando.

Se em 2023 a Anthropic era mais idealista com o RSP 1.0, em 2025, com o RSP 2.2, ela se tornou mais realista.

No changelog do RSP 2.2, há uma modificação que exclui “insiders sofisticados” e “insiders comprometidos pelo estado” do padrão de segurança ASL-3, além de remover a proteção contra ataques de destilação (distillation attacks) do ASL-2.

Pesquisei essa mudança: ela significa que, no futuro, ataques internos e de atores estatais não serão considerados ameaças de segurança de padrão rígido. Em outras palavras, a Anthropic silenciosamente “baixou” seus padrões de segurança, deixando de se comprometer a resistir às ameaças mais difíceis.

Em 9 de fevereiro de 2026, o chefe de segurança da Anthropic, Mrinank Sharma, renunciou. Em sua carta, escreveu: “O mundo está em perigo. Durante meu mandato, vi como é difícil fazer os valores realmente guiarem as ações da organização… Estamos sob pressão constante para abrir mão do que é mais importante.”

Poucos dias após, em 24 de fevereiro, a Anthropic lançou o RSP 3.0, reescrevendo completamente sua estratégia de segurança e removendo todas as menções a “pausas”.

Na essência, como mencionado antes, a Anthropic nunca acionou uma pausa de treinamento. Isso é semelhante à carta pública de março de 2023, assinada por Elon Musk, pedindo uma pausa de seis meses no treinamento de modelos acima do GPT-4. Musk foi um participante ativo, assinando a carta, fundando a xAI e, em novembro, lançando o Grok-1.

Assim, os laboratórios de grandes modelos não têm um “consenso de segurança”. As pausas são, na verdade, estratégias comerciais.

Impulsionados pelo capital

Com o lançamento do Fable 5, o preço de entrada e saída é de US$10 e US$50 por milhão de tokens, respectivamente, o que é o dobro do Opus 4.8, embora com 90% de desconto na cache hits.

Ao conversar com um pesquisador do campo de IA, ele comentou: “Funciona bem, mas é caro de verdade.” Assim, há uma tendência de que os modelos nacionais estejam tentando “acelerar” para oferecer inferência mais rápida e maior TPS (Token por segundo), além de aumentar preços de forma moderada.

Voltando à Anthropic, em maio de 2021, Amodei saiu da OpenAI com sua irmã e 14 pesquisadores, fundando a Anthropic, e conseguiu levantar US$1,24 bilhão na rodada A, com uma avaliação de US$550 milhões. Em 5 anos, em 2025, a rodada de financiamento Série H elevou a avaliação para US$96,5 bilhões, com receita de aproximadamente US$9 bilhões (ARR). No primeiro trimestre de 2026, a receita foi de US$4,8 bilhões, e documentos obtidos pelo Wall Street Journal indicam que a Anthropic planeja uma IPO no quarto trimestre, levantando US$60 bilhões. Com uma receita anual estimada em mais de US$40 bilhões, a avaliação de US$96,5 bilhões implica um múltiplo de 24 vezes o ARR, exigindo crescimento exponencial de receita.

Nesse contexto, qualquer compromisso de segurança, como “pausar o treinamento se a capacidade for excedida”, funciona como um freio ao crescimento da receita. Com uma avaliação de 24x o ARR, qualquer pausa pode impactar drasticamente o valor.

Por isso, a exclusão de “pausas” no RSP 3.0 não é mera coincidência, mas uma estratégia de capitais — na fase de IPO, qualquer potencial “freio” deve ser removido, como mostra a própria documentação de conformidade.

Se mantivessem o “compromisso de pausa”, o prospecto de IPO teria que incluir um aviso de risco: “A empresa promete pausar o desenvolvimento se a capacidade ultrapassar limites de segurança desconhecidos”, o que poderia assustar investidores, pois indicaria que a receita pode “zerar” a qualquer momento.

Com uma avaliação de US$96,5 bilhões e pressão de IPO, a Anthropic enfrenta o dilema de priorizar interesses dos acionistas em detrimento do interesse público.

Na hora de ajustar sua estrutura, a discussão mais acalorada foi sobre a PBC — Public Benefit Corporation (Empresa de Interesse Público), uma estrutura de governança adotada pela Anthropic. Segundo esse modelo, um fundo de benefício de longo prazo (LTBT) pode nomear 2-3 membros do conselho, mas até o final de 2024, apenas um membro foi nomeado, e em 2025, mais um. Somente com a aproximação do IPO, o ex-CEO da Novartis, Vas Narasimhan, entrou no conselho, elevando a proporção de membros do LTBT para 4 de 7.

Surpreendentemente, um dos membros nomeados pelo trust, Jay Kreps (cofundador e CEO da Confluent, nomeado pelo trust em maio de 2024), anunciou sua renúncia após apenas um ano de mandato.

A relação de poder entre o “trust” e a gestão + investidores voltou a ficar equilibrada em 3-3. Antes que um novo membro do LTBT seja nomeado, qualquer divergência pode criar um “vácuo de governança”.

O “sétimo membro” chegará antes do IPO?