Galaxy：Anthropic终极模型难题

Autor: Alex Thorn, Diretor-Geral e Chefe de Pesquisa da Galaxy Digital; Fonte: Galaxy Digital; Tradução: Shaw, Golden Finance

No dia 12 de junho, sexta-feira, às 17h21, horário do leste dos EUA, a Anthropic recebeu uma ordem de controle de exportação do Departamento de Comércio dos EUA, exigindo a proibição global dos modelos Fable 5 e Mythos 5 para todos os estrangeiros, incluindo funcionários não americanos da própria empresa. O governo dos EUA afirmou que alguém encontrou uma maneira de contornar os mecanismos de segurança do Fable 5 para acessar as funcionalidades de segurança cibernética do modelo Mythos subjacente.

A empresa de IA não conseguiu segmentar permissões de usuários por nacionalidade dentro do prazo exigido pelo governo e, portanto, desativou ambos os modelos globalmente em questão de horas. Todos os outros modelos da série Claude mantiveram o serviço normal.

Dois dos principais modelos de linguagem do setor foram retirados do mercado apenas com base em uma notificação privada do governo, sem decisão judicial, sem documentação pública e sem divulgação completa das conclusões da investigação. Na quarta-feira, um usuário do Reddit postou que o Fable 5 já estava disponível no catálogo de produtos da Amazon Web Services Bedrock, sugerindo que as restrições no canal de nuvem podem estar sendo removidas. De qualquer forma, este evento representa um enorme risco para a indústria de IA, inovação tecnológica e o mercado de capitais dos EUA.

Cruzando o Rubicão (Criando um Precedente Irreversível)

O governo dos EUA essencialmente declarou que, com uma simples ordem administrativa, pode retirar arbitrariamente modelos de linguagem comercial do mercado. Embora esta medida seja enquadrada como controle de exportação, seu efeito no mercado equivale a um recall de produto.

O governo federal cruzou uma linha vermelha na regulação de IA: antes, era responsável apenas por estabelecer regras gerais do setor, mas agora detém poder de veto discricionário para decidir quais modelos podem ser lançados ao público e quando. Uma vez estabelecido, esse poder não se contrairá sozinho; se o governo não ajustar a política a tempo, ordens de controle subsequentes serão emitidas com ainda mais facilidade do que esta.

O fato de a justificativa para esta ordem ser insustentável só piora esse precedente prejudicial. Katie Moussouris, da Luta Security, a única especialista externa que viu o relatório técnico subjacente, descreveu claramente o processo completo da suposta "fuga do modelo": pesquisadores da Amazon inseriram código-fonte aberto com vulnerabilidades conhecidas no modelo, pedindo que ele identificasse riscos de segurança; ambos os modelos recusaram. Os pesquisadores então pediram que o modelo corrigisse o código problemático, e o modelo obedeceu.

Especialista em segurança cibernética Katie Moussouris

Moussouris classificou o cenário de teste sob esta ordem como indução de prompt defensivo, não como uma verdadeira técnica de fuga de segurança. Ela afirmou que essa capacidade é exatamente o valor central que a IA pode fornecer às equipes de segurança cibernética. De acordo com a única especialista que viu o relatório completo da investigação, apenas as cinco palavras "corrija este código" foram suficientes para retirar do mercado o principal modelo de IA de segurança cibernética.

O Departamento de Comércio dos EUA não publicou a ordem de controle enviada à Anthropic nem divulgou a justificativa completa para sua emissão. Nenhum documento relevante foi encontrado no site do Departamento de Comércio, no Federal Register ou em qualquer outro canal público. A notificação de controle foi emitida apenas como uma carta privada do Bureau de Indústria e Segurança do Departamento de Comércio, e nem o Departamento nem a Anthropic divulgaram seu conteúdo. A autoridade legal sob a qual o Departamento emitiu a ordem também é obscura.

O Centro de Estudos Estratégicos e Internacionais (CSIS) especula que o Departamento pode ter invocado a autoridade de "notificação informada" sob o Export Control Reform Act de 2018 (ECRA) — onde o Departamento informa privadamente uma empresa que seus produtos agora exigem licença de exportação, com regras de controle implementadas sob o Export Administration Regulations (EAR). No entanto, o EAR não possui regras de implementação para apoiar essa autoridade legal, razão pela qual nunca foi usada antes para emitir medidas de controle, e o Departamento também não emitiu regulamentos de implementação.

Um Padrão Regulatório Impossível de Alcançar

Uma frase na defesa divulgada pela própria Anthropic expõe diretamente a irracionalidade desta política. A empresa afirmou que nenhum fabricante atualmente consegue prevenir completamente fugas de modelo, e que eventualmente alguém encontrará uma maneira genérica de contornar as defesas. Pesquisadores de segurança há anos sustentam a mesma opinião: nenhum modelo comercial atualmente em operação pode ser comprovado como imune a ataques maliciosos direcionados. Modelos de API fechada podem ser "jailbroken" através da camada de prompt; modelos de peso aberto podem ser completamente adulterados, uma operação que apaga diretamente a lógica de recusa incorporada nos pesos do modelo. Uma vez que os pesos do modelo vazam (o que já aconteceu várias vezes na história), os modelos fechados expõem exatamente as mesmas vulnerabilidades de segurança que os modelos abertos.

O padrão regulatório implícito do governo está em total contradição com essa realidade objetiva. Se o requisito para lançar um modelo é que não exista nenhuma maneira de acionar funções perigosas, esse padrão é logicamente impossível de alcançar. Até mesmo os engenheiros da própria Anthropic confirmaram que essa condição é impossível de cumprir, e a empresa naturalmente não pode fornecer uma garantia de ausência de vulnerabilidades, assim como outros fabricantes. Seguindo a lógica da Anthropic, se esse padrão de revisão for aplicado uniformemente em todo o setor, a comercialização de modelos de IA de ponta será completamente paralisada. Um padrão que nenhum fabricante consegue atingir não é um padrão de segurança; é apenas um poder de veto discricionário disfarçado de tecnologia.

O Caminho Alternativo da Vigilância de Identidade em Massa

Suponha que a Anthropic quisesse cumprir estritamente os termos da carta: fornecer serviços apenas para usuários nos EUA e bloquear completamente o acesso de estrangeiros. A única maneira viável seria implementar verificação completa de identidade para todos os usuários. A Anthropic precisaria estabelecer um processo completo de Conheça Seu Cliente (KYC), exigindo que os usuários enviem documentos de nacionalidade e comprovante de residência, tão complicado quanto abrir uma conta de corretora. Com esse mecanismo, a plataforma poderia segmentar o acesso por nacionalidade (mesmo assim, funcionários estrangeiros dentro da empresa ainda seriam restritos). Sem a verificação de identidade, seria impossível isolar o acesso de usuários estrangeiros ao modelo Fable 5.

Já há relatos de que a Anthropic está preparando um sistema de verificação de identidade para atender aos requisitos de controle, e arquivos de código vazados corroboram isso. A empresa está construindo esse sistema de acesso com características de vigilância, mas deveria parar imediatamente com esse plano.

Países ocidentais estão construindo infraestrutura de vigilância.

Os países ocidentais já estão estabelecendo esse sistema de verificação de identidade e vigilância. O Online Safety Act do Reino Unido entrou em vigor em julho de 2025, exigindo que a Ofcom implemente o que chama de "mecanismo de verificação de idade altamente confiável". Os métodos de verificação oficialmente reconhecidos incluem reconhecimento de documentos de identidade, estimativa de idade por reconhecimento facial e verificação bancária aberta (onde o banco confirma a idade do usuário com base em informações da conta, sem divulgar dados financeiros subjacentes). Cerca de 19 estados dos EUA promulgaram leis semelhantes de controle de acesso por identidade, várias das quais estão enfrentando desafios judiciais com base na Primeira Emenda dos EUA. A Electronic Frontier Foundation (EFF) sempre se opôs a esse tipo de controle, alertando que a verificação obrigatória de identidade cria um "pote de mel" de dados altamente sensíveis e acaba com o anonimato online.

Se o KYC for usado para controlar o acesso a grandes modelos de linguagem, todos esses danos serão transferidos para a IA — e a IA é precisamente a tecnologia mais capaz de explorar e utilizar os dados acumulados. Nenhum laboratório de IA de ponta deve impor verificação obrigatória de identidade, e o governo não deve forçar as empresas a fazerem isso. A internet deve permanecer aberta e livre, e o conhecimento e o poder computacional proporcionados pela IA devem estar acessíveis a todos.

O Impasse Regulatório com Modelos de Código Aberto

Essa abordagem de controle de exportação é intrinsecamente contraproducente, e a raiz está no ecossistema de pesos de código aberto. A tecnologia de IA de ponta não é monopólio de algumas empresas americanas. Uma carta aberta liderada por Alex Stamos e assinada por mais de cem líderes de segurança cibernética (incluindo nomes como Bruce Schneier, Casey Ellis, Paul Vixie) afirma claramente: A diferença entre os grandes modelos de pesos abertos chineses e os sistemas americanos de ponta é de apenas alguns meses, não anos, e isso considerando apenas os projetos já divulgados publicamente.

Se o governo dos EUA, usando seu poder de veto de controle de exportação, restringir os principais laboratórios americanos de lançar seus modelos mais poderosos, o desenvolvimento de IA não parará; apenas se deslocará para áreas fora do alcance do controle: projetos governamentais classificados, laboratórios estrangeiros e o ecossistema de código aberto. Modelos de código aberto que atualmente estão apenas alguns meses atrás, uma vez que o benchmark que perseguem pare de evoluir, rapidamente alcançarão a diferença. Se o lançamento de modelos de ponta for restrito por muito tempo, dentro de um ou dois anos, o modelo mais poderoso que indivíduos e empresas comuns poderão executar localmente será provavelmente um projeto de peso aberto fora dos EUA; e esses modelos terão proteções de segurança ainda mais fracas do que aquelas que o governo dos EUA forçou a retirar do mercado.

Como o governo dos EUA reagiria então? Um modelo que já foi amplamente espalhado em milhares de discos rígidos e centenas de redes de compartilhamento de arquivos não pode ser "recolhido". O governo pode tentar proibir a publicação pública de pesos de código aberto, mas essa política entraria diretamente em conflito com a Constituição dos EUA.

Os EUA já passaram por um dilema regulatório semelhante e perderam. Na década de 1990, o governo dos EUA colocou a criptografia de alta intensidade na Lista de Munições dos EUA, tratando software de criptografia como arma sob o International Traffic in Arms Regulations (ITAR), colocando programas de criptografia na mesma categoria de regulamentação que sistemas de laser e armas de feixe de partículas. Nos três anos seguintes, o governo federal investigou Phil Zimmermann porque seu software PGP (Pretty Good Privacy) se espalhou amplamente pelo mundo, e o governo considerou que carregar o código na internet equivalia a exportar munições. Em 1996, as autoridades federais encerraram a investigação sem apresentar acusações.

O criador da criptografia PGP, Phil Zimmermann

A resposta de Zimmermann tornou-se um evento marcante da época. Ele publicou o código-fonte completo do PGP como um livro de capa dura através da MIT Press, com o argumento central de que o código impresso era claramente discurso protegido, mesmo que o mesmo código em formato eletrônico fosse considerado uma munição controlada. Ativistas de direitos tecnológicos usaram a mesma abordagem, imprimindo o algoritmo RSA simplificado escrito pelo criptógrafo (e futuro participante do Bitcoin) Adam Back em camisetas, junto com um aviso — a própria camiseta era considerada uma munição.

Os tribunais aceitaram essa lógica jurídica. Nos casos Bernstein e Junger, juízes federais decidiram que o código-fonte é discurso protegido pela Primeira Emenda da Constituição dos EUA. Em 1996, o governo dos EUA transferiu a criptografia da lista de munições para a jurisdição do Departamento de Comércio, relaxando significativamente os controles e abrindo caminho para o florescimento da indústria da internet como a conhecemos hoje.

Moussouris posteriormente promoveu a inclusão de isenções para tecnologias de defesa de segurança no Acordo de Wassenaar. Desta vez, ela também recorreu a essa história em sua resposta: pesos de modelo são, em essência, uma série de números, e publicar pesos é uma forma de expressão. Se o governo tentar banir modelos de código aberto em larga escala, isso desencadeará uma batalha judicial da Primeira Emenda que durará gerações; e o governo está em desvantagem natural — os EUA já reconhecem que capacidades tecnológicas semelhantes estão amplamente disponíveis no exterior.

Assim, essa abordagem de controle de exportação falha duplamente. Primeiro, não consegue conter concorrentes estrangeiros: instituições no exterior têm seus próprios modelos de IA desenvolvidos internamente. De acordo com o site de tecnologia Semafor, a Casa Branca suspeita que um grupo ligado à China já tenha obtido capacidades relacionadas ao Mythos. Segundo, o setor de IA de ponta nos EUA será entregue a modelos de código aberto e concorrentes estrangeiros, sobre os quais os EUA não têm meios legais de controle.

Anthropic Punida por Sua Transparência

Vale notar que a Anthropic divulgou informações de forma transparente durante todo o processo. A empresa admitiu que não existem mecanismos de segurança perfeitos; antes do lançamento do produto, realizou milhares de horas de testes de equipe vermelha/azul com os governos dos EUA e do Reino Unido; e divulgou proativamente as limitações de seu próprio sistema de segurança. Mas essa transparência acabou sendo a base para o governo puni-la. Se uma empresa reduzisse os testes e ficasse em silêncio sobre os riscos, não seria alvo de ações regulatórias. Quando divulgar riscos potenciais de forma honesta desencadeia sanções regulatórias, toda a indústria é incentivada a divulgar menos riscos.

Profissionais de segurança cibernética também apontam a lógica distorcida por trás disso. Moussouris e os especialistas signatários afirmam que a retirada forçada de modelos só prejudica os profissionais de segurança — que dependem dessas ferramentas para encontrar e corrigir vulnerabilidades antes que invasores as explorem — enquanto os invasores maliciosos não são afetados. As capacidades que o governo teme são exatamente as ferramentas que os defensores de segurança usam para sobreviver; elas são da mesma fonte e não podem ser removidas seletivamente.

Argumentos dos Apoiadores da Ordem de Controle

Objetivamente, alguns relatórios mostram que as preocupações do governo não são infundadas. No final de junho, o senador democrata da Virgínia, Mark Warner, citou o depoimento do diretor da Agência de Segurança Nacional dos EUA, Joshua Rudd, em uma audiência no Senado: em um exercício autorizado de equipe vermelha/azul, o modelo Mythos quase comprometeu todos os sistemas classificados da agência em questão de horas (embora um artigo subsequente do The Economist tenha atenuado ligeiramente essa afirmação). Além disso, o Mythos foi o primeiro grande modelo a passar em todos os testes de segurança cibernética do Instituto de Segurança de IA do Reino Unido.

O modelo realmente possui capacidades técnicas extremamente fortes, isso é objetivo. Mas isso apenas ressalta a necessidade de um processo regulatório rigoroso e padronizado, não de uma carta privada enviada em uma noite de sexta-feira sem uma investigação completa.

Além disso, o Mythos sempre foi acessível apenas a parceiros com verificações de antecedentes rigorosas. O Fable, que foi retirado globalmente, é a versão voltada para consumidores comuns, cujas barreiras de segurança redirecionam solicitações sensíveis relacionadas à segurança cibernética e biológica para o modelo mais antigo Opus 4.8. Uma versão civil com proteções integradas foi retirada globalmente devido a uma demonstração de prompt defensivo, enquanto a versão profissional, que é realmente mais arriscada, nunca foi divulgada publicamente. Esse tratamento mostra que o processo regulatório confunde "capacidade técnica" com "implantação pública".

Opus 4.8: O Último Modelo Conforme?

Seguindo essa lógica regulatória, o resultado não é otimista. Se o Fable não consegue atender aos padrões, então nenhum modelo futuro com desempenho superior conseguirá passar na revisão — de acordo com os critérios atuais do governo, quanto mais poderoso o modelo, maior o risco potencial. Não existem versões como Fable 5.1 ou Fable 5.2 que possam melhorar a resistência a ataques sob o padrão impossível de "zero vulnerabilidades de fuga".

Após a ordem do Departamento de Comércio, apenas o Claude Opus 4.8, o modelo mais poderoso disponível, continua operando normalmente, tornando-se o teto de desempenho legalmente acessível aos cidadãos americanos. O canal legal para novas tecnologias de ponta foi fechado, enquanto canais estrangeiros e não conformes permanecem abertos.

A situação atual é uma perda para todos: o lançamento de modelos nacionais de ponta foi congelado; um sistema de vigilância de identidade em massa está sendo construído para cumprir os controles; o setor de IA de ponta está sendo entregue a modelos de peso aberto e concorrentes estrangeiros sobre os quais os EUA não têm autoridade para regular. Tudo isso poderia ter sido evitado, e a solução é exatamente o mecanismo regulatório que a própria Anthropic defende: se o governo quiser banir um modelo com riscos de segurança significativos, deve seguir um processo legal transparente, divulgar publicamente as conclusões técnicas completas da investigação e permitir que a empresa tenha um canal de apelação e defesa. O limite regulatório deve se concentrar no aumento incremental de capacidades perigosas do modelo (ou seja, funções de alto risco adicionais em relação às tecnologias públicas existentes), e não na fantasia do governo de "risco residual zero".

Se for realmente necessário estabelecer um limite de acesso, o controle deve ser direcionado à capacidade técnica em si, não à verificação da identidade do usuário. Um sistema regulatório que só pode ser implementado coletando impressões digitais de identidade de todos os usuários é a medida de vigilância mais extrema para resolver um problema de risco específico e limitado.

No nível do mercado de capitais, revogar a ordem também é plenamente justificável, e seu impacto vai muito além da Anthropic. As "Sete Magníficas" ações de tecnologia dos EUA atualmente representam cerca de um terço da capitalização de mercado total do S&P 500, e aproximadamente 42% de todos os ganhos do índice em 2025 vieram dessas sete empresas. A capitalização de mercado da Nvidia ultrapassou US$ 4 trilhões em julho de 2025 e US$ 5 trilhões em outubro, chegando a representar mais de 7% da capitalização de mercado total do índice.

Os quatro principais provedores de nuvem divulgaram despesas de capital de aproximadamente US$ 725 bilhões para 2026, um aumento de 77% em relação aos US$ 410 bilhões do ano passado; o Goldman Sachs prevê que as despesas totais de capital dos provedores de nuvem globalmente atingirão US$ 5,3 trilhões até 2030. Os investimentos relacionados à IA já estão profundamente influenciando a macroeconomia: diferentes instituições têm estimativas variadas, com o Goldman Sachs calculando que os gastos de capital em IA representam quase 0,8% do PIB dos EUA, e estimativas mais otimistas sugerem que o crescimento econômico dos EUA no início de 2026 será impulsionado principalmente pela IA.

Investimentos maciços e expectativas de crescimento do setor são baseados em uma suposição central: que os modelos de ponta continuarão a evoluir e serão implantados para clientes, gerando receita suficiente para cobrir os enormes investimentos em infraestrutura. Agora, essa suposição está em risco. A OpenAI prometeu investir cerca de US$ 1,4 trilhão em oito anos, mas sua receita atual é de apenas cerca de US$ 13 bilhões (Sam Altman não reconhece o número de US$ 13 bilhões, afirmando que a receita real é muito maior). As empresas estão aumentando agressivamente a infraestrutura antes do tempo, mas os benefícios da IA ainda não se refletiram totalmente nos dados macroeconômicos. Os investidores estão apostando no valor terminal de longo prazo, apostando que esses sistemas de IA serão comercializados em larga escala no futuro.

As ações dos EUA estão altamente vinculadas à narrativa de crescimento da IA. Se o ritmo de iteração e implantação de modelos de ponta desacelerar (ou até parar), portfólios de investimento em todo o mundo serão impactados.

A ordem de retirada do Fable adiciona uma enorme incerteza a todo o setor: o governo dos EUA passará a restringir regularmente o lançamento público de grandes modelos? A lógica anterior já é suficiente para mostrar que controles regulares de retirada são altamente prováveis. Se isso se concretizar, a lógica de crescimento que sustenta os US$ 725 bilhões em despesas anuais de capital desmoronará, e toda a cadeia produtiva a montante e a jusante será afetada em cascata:

• A demanda por memória de alta largura de banda excede a oferta, com pedidos preenchidos para 2026, e os preços da DRAM subindo mais de 50% em um único trimestre, impulsionando a capitalização de mercado da SK Hynix para mais de US$ 1 trilhão;
• Expansão em larga escala da energia elétrica para datacenters, com provedores de nuvem até mesmo contratando usinas nucleares dedicadas para garantir o fornecimento;
• Nvidia, OpenAI, Oracle, CoreWeave e Microsoft formando um ecossistema de financiamento circular interligado.

Datacenters construídos com investimentos de US$ 200 bilhões, se o governo proibir os grandes modelos que os acompanham de fornecer serviços, não gerarão retorno algum sobre o investimento. Somado à alta dependência do mercado de ações da narrativa de crescimento da IA, um desaceleramento ou até retrocesso no desenvolvimento da IA de ponta prejudicará os ativos de investidores globais.

Mais de cem profissionais de segurança cibernética de ponta nos EUA pediram conjuntamente que o governo revogasse a ordem. A Anthropic protocolou secretamente um pedido de IPO este mês, com estimativas de mercado avaliando a empresa em quase US$ 965 bilhões; agora, o produto principal desta empresa pode ser completamente desativado com base em uma notificação noturna de uma única agência, sem que a empresa tenha um canal eficaz de apelação.

Este modelo de regulamentação de IA deve ser prontamente abolido para evitar que se torne a regra de longo prazo para a indústria de IA dos EUA. Se esse mecanismo se tornar uma estrutura de governança regular, a Anthropic, o desenvolvimento de IA em todo o setor e a posição de liderança tecnológica global dos EUA sofrerão grandes danos.