Modelos grandes dos EUA estão se tornando fechados — em nome da segurança.

Author: Xiaojing; Source: Tencent Technology

Na manhã de 27 de junho, a Anthropic anunciou: o governo dos EUA aprovou a reimplantação de seu modelo de segurança cibernética mais forte, Mythos 5, em mais de 100 instituições americanas, incluindo grandes empresas e departamentos governamentais. A versão pública Fable 5 "está prestes a ser restaurada".

De acordo com a carta do Secretário de Comércio Lutnick ao cofundador da Anthropic, Tom Brown, obtida pela mídia estrangeira, Lutnick informou à Anthropic que ele "determinou que as medidas de segurança adequadas já estão em vigor".

Mas na mesma carta, Lutnick observou que todas as outras exigências da diretiva inicial de 12 de junho ainda estão em vigor, e não mencionou quando o Fable 5 será restaurado ao público.

Quase ao mesmo tempo, na madrugada de 27 de junho, a OpenAI lançou oficialmente a série GPT-5.6 com três modelos: Sol, Terra e Luna. Também sob exigência da Casa Branca, o GPT-5.6 só abre acesso via API para "parceiros aprovados caso a caso pelo governo", e ainda não está disponível no ChatGPT.

Vendo toda a linha do tempo: Em 2 de junho, Trump assinou a ordem executiva de IA; em 9 de junho, a Anthropic lançou Fable 5 e Mythos 5; em 12 de junho, o Departamento de Comércio ordenou a remoção total; em 26 de junho, a OpenAI lançou GPT-5.6 mas com distribuição limitada; em 27 de junho, Mythos 5 foi autorizado a restauração limitada.

Em menos de um mês, o controle do governo dos EUA sobre modelos de IA de ponta passou por um ciclo completo de "suspensão - negociação - liberação condicional".

O chefe da equipe estratégica da OpenAI, Dean W. Ball (ex-assessor de IA da Casa Branca), resumiu o impacto disso na indústria em um blog post de 16 de junho: "Desenvolvedores de modelos de IA de ponta agora precisam de um 'sinal verde' claro do governo para lançar".

Dean W. Ball escreveu em seu longo artigo de 26 de junho, "What Should Be Done": "Ninguém sabe exatamente qual é o requisito para obter permissão. Aqui, 'ninguém' significa literalmente: parece que nem mesmo os próprios departamentos governamentais sabem."

01 Realmente forte demais para ser seguro?

Esta é a questão central de todo o caso. A ação do governo se baseia em uma premissa implícita: as capacidades desses modelos já são fortes o suficiente para representar um risco de segurança inaceitável. Mas as avaliações oficiais das próprias empresas chegaram a uma conclusão completamente oposta.

A OpenAI divulgou os resultados completos da avaliação de segurança em seu blog de lançamento do GPT-5.6. De acordo com o quadro de preparação que a própria OpenAI estabeleceu e tornou público, o Sol não ultrapassou essa linha. A definição da linha vermelha deste quadro é: se o modelo pode descobrir e explorar de forma autônoma vulnerabilidades desconhecidas em alvos de alto valor, sem assistência humana.

O resultado específico do teste foi: o Sol conseguiu identificar vulnerabilidades e primitivas de exploração no Chromium e Firefox, mas "não gerou de forma autônoma uma cadeia de ataque ponta a ponta completa e utilizável sob condições de teste". O próprio julgamento da OpenAI foi: o Sol é melhor para ajudar pessoas a encontrar vulnerabilidades e corrigi-las, não para executar de forma confiável um ataque completo de ponta a ponta.

Mas a OpenAI também escreveu uma frase "muito diplomática": "os limites do benchmark não podem capturar todas as maneiras como um modelo pode ser usado ou combinado com outras ferramentas." Embora de acordo com nossos padrões não tenha ultrapassado a linha, quem sabe como será usado no mundo real? Criou deliberadamente uma zona cinzenta ambígua.

A Anthropic não foi tão "diplomática". Em sua declaração de 13 de junho, a Anthropic refutou ponto a ponto os argumentos do governo. O governo alegou ter descoberto um método de jailbreak para o Fable 5. A Anthropic respondeu: Primeiro, isso é apenas um "jailbreak estreito e não genérico", essencialmente fazendo o modelo ler um trecho de código e apontar falhas; segundo, "outros modelos publicamente disponíveis, incluindo o GPT-5.5 da OpenAI, também conseguem fazer isso"; terceiro, a Anthropic investiu milhares de horas em testes de equipe vermelha, "nenhum testador encontrou um jailbreak genérico".

O CEO da Anthropic, Dario Amodei, já havia previsto essa situação em seu longo artigo de 11 de junho, "Policy on the AI Exponential", e declarou claramente: "O governo pode impedir implantações inseguras, mas o processo deve ser transparente, justo, claro e baseado em fatos técnicos. Esta ação não está de acordo com esses princípios."

Os dois concorrentes mais ferozes, no mesmo mês, usando seus próprios sistemas de avaliação independentes, chegaram à mesma conclusão: de acordo com os quadros de segurança autoestabelecidos pela indústria, esses modelos não representam um risco indevido para implantação.

Então a pergunta é: se o modelo não ultrapassou a linha vermelha da indústria, por que o governo interveio? Dean Ball revelou ainda: O governo havia contratado anteriormente o único funcionário com experiência em IA de ponta para liderar o Centro de Padrões e Inovação de IA (CAISI), que trabalhou na OpenAI e na Anthropic, mas foi demitido pela alta administração poucos dias após assumir. A equipe restante do CAISI ficou em estado de paralisação durante todo o "período pós-crise do Mythos", nem mesmo autorizada a se comunicar com outras agências governamentais. "Dos oficiais do governo Trump que conheço, ninguém tem experiência em IA de ponta."

Ball quer dizer que as pessoas que tomaram as decisões regulatórias não tinham nem padrões de segurança claramente definidos nem capacidade técnica para avaliar esses modelos.

A questão natural que se segue é: O Fable 5 e o GPT-5.6 Sol realmente cruzaram algum tipo de "singularidade de ameaça humana"? Existe uma linha vermelha objetiva de capacidade, além da qual a regulamentação é obrigatória?

Vários especialistas em IA disseram que tecnicamente não existe essa linha. A capacidade do modelo é uma curva de crescimento contínuo. Cada geração de modelos lançada é a "mais forte da história", mas apenas desta vez desencadeou intervenção direta do governo.

Por trás disso, há três condições implícitas:

Primeiro, a capacidade se tornou "demonstrável". A própria Anthropic promoveu o Mythos 5 como "o modelo de segurança cibernética mais forte do mundo", e o caso do Stripe migrando 50 milhões de linhas de código em um dia foi amplamente divulgado. Essas histórias permitem que políticos não técnicos imaginem "o que aconteceria se bandidos usassem isso".

O ex-cientista-chefe de IA da Meta e vencedor do Prêmio Turing, Yann LeCun, já havia apontado publicamente essa lógica em novembro de 2025. Quando a Anthropic divulgou seu primeiro relatório de ameaça de ataque cibernético por IA, LeCun chamou diretamente de "teatro regulatório" (regulatory theater), acusando a Anthropic de usar o medo da segurança de IA para "manipular legisladores" (manipulate legislators) em uma "captura regulatória" (regulatory capture).

O julgamento de LeCun na época foi: empresas fechadas exageram sistematicamente as ameaças de segurança da IA para criar barreiras de conformidade que apenas grandes empresas podem superar, excluindo concorrentes de código aberto. O que a Anthropic não esperava era que a pedra acabasse atingindo a si mesma.

Segundo, alguém entregou uma faca. O CEO da Amazon, Andy Jassy, apresentou ao governo um relatório sobre os riscos de segurança do modelo da Anthropic. A Amazon é a maior investidora da Anthropic e parceira de serviços em nuvem, mas também tem seu próprio modelo (série Nova) que compete com a Anthropic. Assim, o governo obteve uma fonte de legitimidade para a ação.

Terceiro, Trump assinou a ordem executiva de IA no início deste mês, dando ao governo 60 dias para estabelecer "regras de submissão voluntária" para modelos de ponta. A ordem executiva precisa do primeiro caso de aplicação para provar que não é papel em branco. O Fable 5 ficou na linha de fogo.

Isso levanta uma questão mais profunda: se "muito forte precisa ser controlado" e "o que é muito forte" é definido pelo órgão regulador, com padrões não públicos, sem limite claro, sem procedimento de recurso, então cada lançamento futuro de modelo de ponta enfrentará a mesma incerteza. As empresas não sabem quando seu modelo desencadeará a regulamentação.

02 Lições da história, a Guerra das Criptomoedas de 30 anos atrás

A tentativa do governo dos EUA de usar controle de exportação para conter a disseminação de tecnologias consideradas perigosas lembra um precedente histórico muito semelhante: a "Guerra das Criptomoedas" (Crypto Wars) dos anos 90.

Após o fim da Guerra Fria, a internet começou a se comercializar, e cientistas da computação estavam desenvolvendo tecnologias de criptografia para proteger a transmissão de dados. O governo dos EUA classificou algoritmos de criptografia forte como "munições" (munitions), colocando-os na mesma lista de controle de exportação que mísseis e tanques (ITAR/EAR). A lógica era muito semelhante à de hoje: se o inimigo obtivesse criptografia forte, a NSA (Agência de Segurança Nacional dos EUA) não poderia interceptar suas comunicações, ameaçando a segurança nacional.

Isso significava que empresas de software americanas só podiam exportar versões fracas com chaves de 40 bits para clientes estrangeiros, versões que a NSA poderia quebrar facilmente, enquanto a versão doméstica podia usar criptografia forte de 128 bits. Usuários estrangeiros sabiam que estavam recebendo uma "versão capada" e começaram a migrar para produtos alternativos da Europa e Israel.

Em 1991, um entusiasta de criptografia chamado Phil Zimmermann escreveu o PGP (Pretty Good Privacy), um software que permitia que pessoas comuns usassem criptografia forte para proteger e-mails. Ele carregou o PGP na internet. A Alfândega dos EUA imediatamente iniciou uma investigação criminal contra ele — sob a acusação de "exportação ilegal de munições".

A contra-ofensiva de Zimmermann foi extremamente engenhosa: ele publicou o código fonte completo do PGP em forma de livro. Livros são protegidos pela Primeira Emenda, a liberdade de imprensa é um direito constitucional. Você pode controlar software, mas não pode proibir a exportação de um livro. A investigação durou três anos, terminando em 1996 sem que o governo movesse uma ação.

Quase ao mesmo tempo, a NSA propôs um plano ainda mais radical: o chip Clipper. A ideia era que todos os dispositivos de comunicação deveriam instalar este chip, que criptografaria as comunicações, e o chip teria um mecanismo de custódia de chaves embutido, permitindo que, sob autorização legal, o governo decifrasse comunicações usando as chaves em custódia. A comunicação entre usuários era criptografada para terceiros, mas o governo podia descriptografar a qualquer momento. O governo Clinton forçou este plano. O resultado foi que acadêmicos descobriram falhas de design no chip, a indústria de tecnologia boicotou coletivamente, e o público se opôs fortemente, levando à morte do plano em 1996.

Em 1995, o matemático Daniel Bernstein queria publicar o código fonte de seu algoritmo de criptografia online, mas foi proibido pelo governo sob controle de exportação. Ele processou o Departamento de Justiça. O Nono Circuito da Corte de Apelações fez uma decisão de longo alcance: código fonte de software é "discurso" (speech) protegido pela Primeira Emenda, e o controle de exportação de código de criptografia é inconstitucional. Esta decisão abalou diretamente toda a base legal do sistema de controle.

Em janeiro de 2000, o governo Clinton relaxou drasticamente os controles de exportação de criptografia. A razão era que não conseguia mais controlar. O PGP já havia se espalhado pelo mundo, algoritmos de criptografia de código aberto eram globais, e o controle apenas prejudicava a competitividade das empresas americanas, enquanto clientes estrangeiros já haviam migrado para outros fornecedores.

Após o relaxamento, foi possível ter a criptografia ponta a ponta do Signal e do WhatsApp hoje. Se os controles dos anos 90 tivessem continuado até hoje, esses produtos não existiriam.

Nos anos 90, o que era controlado era a criptografia forte, sob o argumento de segurança nacional, a ferramenta era o controle de exportação de munições ITAR, os prejudicados eram empresas de software americanas (forçadas a exportar versões fracas), os não afetados eram desenvolvedores estrangeiros (que escreviam seus próprios algoritmos).

Em 2026, o que é controlado são as capacidades de modelos de IA de ponta, ainda sob o argumento de segurança nacional, a ferramenta é a diretiva de controle de exportação.

Desta vez, quem realmente vai se machucar?

Comentários da mídia estrangeira apontam: "Ninguém gasta 100 bilhões de dólares construindo data centers apenas para servir a 100 empresas aprovadas pelo governo."

O custo de treinamento de modelos de ponta é de dezenas de bilhões de dólares, e a janela para recuperar custos é de apenas alguns meses após o lançamento, depois o modelo se torna sub-ponta, a competição aumenta e as margens de lucro encolhem. Cada semana de atraso na aprovação consome esta janela de lucro limitada. A conclusão de Brandom é: "Se isso continuar, toda a lógica de investimento básico da indústria será abalada."

O ponto central do professor assistente de ciência política da Universidade George Washington, Jeffrey Ding, é: na competição tecnológica entre grandes países, o que determina o vencedor não é quem inventa primeiro uma tecnologia, mas quem consegue difundi-la mais rapidamente por toda a economia. Especialmente para tecnologias de uso geral — elas precisam de ampla difusão social, novas organizações precisam ser criadas em torno delas, e grandes quantidades de dados de uso no mundo real são necessárias para descobrir seus limites de aplicação. Dean Ball, ao citar Ding, escreveu: "Os usos de tecnologias de uso geral são descobertos, não conhecidos de antemão."

Mas do outro lado do oceano, os grandes modelos chineses estão se espalhando para desenvolvedores globais com uma postura de código aberto.

Algoritmos de criptografia são matemática pura, uma vez publicados, não podem ser retirados. Pesos de modelos de IA têm propriedades semelhantes, mas as capacidades de raciocínio de modelos fechados de ponta estão realmente concentradas atrás das APIs de algumas empresas.

No entanto, as capacidades de modelos de código aberto estão se aproximando geração após geração. O controle pode atrasar a difusão, mas não pode impedi-la. Nos anos 90, levou quase 10 anos para chegar à etapa de "desistir e relaxar o controle". O controle de IA precisará de um ciclo de tempo semelhante?

03 Grandes modelos dos EUA entram na era da revisão?

Junho de 2026 pode marcar um ponto de virada na história da indústria de IA: o governo conseguiu, pela primeira vez, inserir-se como aprovador entre um modelo de IA comercial e seus usuários.

Em "What Should Be Done", Dean Ball alerta que se o mercado entrar em pânico com isso, o efeito irá muito além da própria indústria de IA: "Grande parte do investimento de reindustrialização dos EUA, de energia nuclear a gás natural e eletrônica de potência, depende explícita ou implicitamente da demanda futura da indústria de IA. Se essa demanda não puder ser realizada devido ao controle governamental, as reações em cadeia vão muito além do que as pessoas imaginam."

Mas Ball também admite que a direção não está totalmente errada: "A possibilidade de risco catastrófico de IA de ponta é real, essa preocupação não é fabricada. O problema está na execução. Um processo de aprovação sem especialistas técnicos, sem padrões claros e sem cronograma não é a resposta."

A OpenAI diz que as restrições ao GPT-5.6 são "medidas de curto prazo" e que pode ser aberto ao público em algumas semanas. Mas a "restauração limitada" do Mythos 5 em 27 de junho já deu um modelo: não é uma liberação total, apenas para algumas instituições americanas, com outras restrições ainda em vigor. Cada sistema de longo prazo foi inicialmente chamado de "medida de curto prazo".

Dean Ball escreveu uma última frase que merece ser levada a sério por todos: "Se apenas um número muito pequeno de pessoas puder usar IA de ponta, futuros ruins são mais propensos a acontecer. Porque essas poucas pessoas são frequentemente grupos que já têm enorme poder econômico e político."

Estima-se que toda a comunidade global de desenvolvedores está sentindo falta da época em que ficavam acordados independentemente do fuso horário para assistir aos lançamentos da OpenAI, se surpreendendo com o progresso dos novos modelos e testando vários novos cenários durante a noite.

No entanto, ainda podemos esperar ansiosamente pelo lançamento do mais novo grande modelo chinês.