IOSG: Por que as “bancadas” de Wall Street estão dizendo “não” para o ChatGPT e o Claude?

Título original:《IOSG Weekly Brief|O cruzamento do AI com a estrada: por que as “pessoas de Wall Street” estão dizendo “não” para ChatGPT e Claude? #336》
Fonte original: IOSG Ventures

Por que precisa de uma AI privada

Em 1º de julho, o CEO da Palantir, Alex Karp, concedeu no CNBC uma entrevista de 20 minutos que algumas mídias chamaram de “colapso mental”. Segundo Karp, as empresas estão pagando um prêmio em token para laboratórios de ponta, enquanto veem seus próprios IPs fluírem para os provedores de modelos. Ele chama esse vazamento de “transferência de alpha”, e diz que a transferência está ocorrendo na camada de arquitetura: toda solicitação enviada a um modelo de código fechado chega ao servidor do fornecedor em texto puro. Poucos dias antes da exibição do programa, a Palantir havia anunciado parceria com a NVIDIA para rodar o modelo aberto Nemotron em um ambiente no qual o cliente controla tudo, além de anexar uma declaração de soberania em 9 itens de IA. Após a transmissão do programa do CNBC, as ações da PLTR dispararam 8%.

Ao longo dos últimos 20 anos, as empresas se beneficiaram de um tipo de confiança na camada de protocolos para adotar software em nuvem, e isso funcionou. Cada fornecedor de SaaS enxerga apenas um recorte dos dados da empresa, e a maioria também não tem muita motivação para devolver esses dados ao produto central. A Salesforce vê canais de vendas, a Workday enxerga RH, a Jira vê iteração de desenvolvimento, e a AWS fornece a base de armazenamento e computação. Porém hoje, os fluxos de trabalho de IA defendem o upload de “tudo de uma vez”, incluindo contextos estruturados que conectam os departamentos, para maximizar a produtividade. Desconsiderando a boa intenção, o fornecedor a montante agora pode usar esses dados para criar novos recursos — em vez de deixá-los “parados” nos servidores.

Ninguém está diminuindo o ritmo: a receita anualizada da Anthropic em maio atingiu US$ 47 bilhões, muito acima dos US$ 9 bilhões no fim de 2025. A OpenAI, por sua vez, em fevereiro ultrapassou 900 milhões de usuários ativos semanais. As duas empresas concluíram rodadas recentes de financiamento nesta primavera, com valuation se aproximando de US$ 1 trilhão, e a expectativa é que façam IPOs com valor de mercado ainda maior. Anos de acusações sobre privacidade e IP não fizeram as duas empresas perderem nem um pouco de tração.

Uma parte das empresas já tomou medidas. Em fevereiro de 2023, em menos de três meses após o lançamento do ChatGPT, grandes bancos de Wall Street já restringiram seu uso. Em maio de 2023, depois que um engenheiro da Samsung vazou o código-fonte de chips para o ChatGPT, a empresa baniu toda IA generativa em toda a rede. Como resposta, em agosto daquele ano a OpenAI lançou o ChatGPT Enterprise, prometendo não treinar com dados comerciais e adicionando o protocolo de zero-data-retention (ZDR), em que nenhum dado fica retido; depois disso, esse protocolo virou um requisito padrão para compras empresariais.

Mas o contrato só travou as contas da empresa. A IBM descobriu que, até 2025, a AI sombra (funcionários alimentando dados da empresa em ferramentas de IA não aprovadas usando contas pessoais) já estava envolvida em 1/5 dos incidentes de vazamento de dados, e o uso mais pesado de AI sombra adiciona em média US$ 670 mil ao custo do vazamento. Em uma pesquisa de 2025 da empresa de treinamentos de segurança Anagram, quatro funcionários disseram que, para concluir tarefas mais rápido, estariam dispostos a violar as políticas de uso de IA.

Para as empresas, ao menos existe como comprar uma saída: contratos ZDR, planos de serviços que não treinam com dados. Se você for governo ou cliente da Palantir, ainda há a opção de implantação de soberania. Já para nós, usuários comuns, ainda há debate sobre quão importante é a privacidade em AI — até que uma intimação chegue à sua porta.

Uma ordem judicial em maio de 2025 obrigou a OpenAI a reter até conversas de consumo que os usuários já haviam apagado. Em novembro, o juiz também ordenou que 20 milhões de registros fossem entregues aos advogados do The New York Times como material para divulgação de provas (discovery). Em seguida, vieram casos criminais: registros do ChatGPT do réu no caso de incêndio criminoso de Palisades entraram como prova; em um caso na Flórida envolvendo duas mortes, o depoimento juramentado citou perguntas do suspeito sobre como lidar com cadáveres. Em uma entrevista em julho de 2025, Sam Altman admitiu que conversas do ChatGPT não são protegidas por privilégio legal e que, em processos, a OpenAI “pode ser obrigada a apresentar” os registros de conversas dos usuários.

O ponto não é que só criminosos precisam de conversas privadas. Conversas entre pessoas e IA ficam arquivadas, podem ser convocadas à justiça e servem como uma “superfície de monitoramento” que a maioria dos usuários nem sabe que existe. Uma pesquisa da Kolmogorov Law em outubro de 2025 com 1.000 usuários de IA nos EUA descobriu que 50% não sabem que essas conversas podem ser exigidas judicialmente, e 2/3 das pessoas acreditam que essas conversas deveriam ter proteção equivalente à de consultar um advogado ou médico.

Modelos abertos self-hosted ou rodando em ambientes verificáveis vêm correndo para alcançar, mas os mais fortes ainda ficam atrás dos modelos fechados de ponta em capacidades gerais, algo como 4 meses. Isso coloca empresas e indivíduos que fazem tokenmaxxing diante de uma encruzilhada: ou para a qualidade do modelo por alguns meses para preservar a privacidade, ou continua enviando materiais sensíveis para os servidores da Anthropic, porque o concorrente é exatamente quem está roubando vantagem de produtividade com essa abordagem.

Atualmente não há uma solução perfeita no mercado. Um relatório compila tentativas de reduzir a distância entre as partes e avalia até onde a inteligência de ponta, sob privacidade verificável, ainda está para chegar às empresas e aos usuários comuns.

Como a privacidade é implementada hoje

AI de privacidade não é um único projeto — mas, no mercado, cada mecanismo lida com o mesmo evento: um prompt sai do seu dispositivo, atravessa a rede, cai na máquina onde o modelo roda, e então volta com uma resposta. A diferença entre os mecanismos está em onde, ao longo desse caminho, existe texto puro; quem consegue lê-lo; e com base em que se valida a confidencialidade da resposta.

Privacidade na camada de protocolo

Nessa camada, além de você, existe alguém que lê o seu prompt em texto puro; o que acontece em seguida depende apenas de uma promessa.

· Zero retenção contratual é uma solução para empresas. O fornecedor sabe quem você é, processa seu prompt e promete não reter, executando isso com base em contrato e reputação.

· Agente anônimo apaga quem você é, mas não cifra o que você diz; o fornecedor a jusante ainda trata o texto puro de acordo com suas próprias políticas. Os termos variam: por exemplo, Duck.ai (produto de chatbot do DuckDuckGo) negocia com o fornecedor do modelo a remoção do que foi registrado; a Venice faz os usuários assumirem que o fornecedor guardará tudo. Em ambos os casos, não há como verificar.

Cada trecho do caminho entre máquinas roda em TLS: ele só cifra o “tubo”, e a parte receptora consegue ler toda a informação. Os relays normalmente usam Oblivious HTTP (RFC 9458) para separar essa “capacidade de saber” em partes; o princípio é como entregar bilhetes a um amigo. O amigo sabe quem entregou, mas não consegue ler o conteúdo; o destinatário lê o conteúdo, mas não sabe quem escreveu. O OHTTP existe como padrão IETF desde janeiro de 2024, e atualmente muitas empresas já rodam tráfego de produção em relays OHTTP alugados de Cloudflare e Fastly.

Essa é também a “teto” de privacidade obtida ao acessar modelos de código fechado — e o motivo é uma questão de aritmética. O custo de treinar uma “flagship” atualmente está na ordem de US$ 1 bilhão, e o valuation que chega a perto de “dezenas de trilhões” dessas instituições aposta na exclusividade dos pesos do modelo. Por quanto tempo a diferença de capacidade do modelo dura, o prêmio de token também dura; por isso, os laboratórios tratam os arquivos de pesos como segredo de Estado.

A Meta já fez essa experiência de forma passiva. O LLaMA, lançado em fevereiro de 2023, no começo só foi aberto a pesquisadores, mas menos de uma semana depois os pesos vazaram em formato de sementes para o 4chan. Uma semana depois, o llama.cpp permitiu que o menor modelo de 7B respondesse localmente em um MacBook; três dias depois, a Stanford ajustou com menos de US$ 600 dólares esse mesmo modelo para criar o assistente de chat Alpaca. Esse vazamento fez o custo de rodar o Llama virar “custo de eletricidade”: qualquer pessoa com os arquivos consegue rodar em casa. Em julho de 2023, a Meta abriu oficialmente o Llama 2 com licença comercial que inclui cláusulas de exclusão com 700 milhões de usuários ativos mensais. Pesos vazaram e, com eles, o prêmio também correu junto.

Em teoria, laboratórios de ponta poderiam fazer attestation (prova remota) para inferência de modelos fechados, mas a attestation só comprova qual pedaço de código leu o prompt; não prova o que esse código fez com ele. Para saber se o servidor reteve dados, precisamos auditar o código de serving e reestruturá-lo para o hash que o hardware reporta. Porém, assim que o serving code é entregue, o laboratório também entrega as técnicas de processamento em lote e cache que sustentam a margem de lucro — e essas técnicas migram para cada geração futura de modelos. A Apple e a Meta conseguem fornecer prova remota para os stacks de serviços por trás do iPhone e do WhatsApp porque a lucratividade está nos aparelhos e nos anúncios, e disponibilizar o serving code público quase não custa.

Esse é o motivo pelo qual os pesos e o serving code de um flagship modelo não conseguem chegar às mãos de operadores externos. E sem operadores externos, não existe third-party attestation; sem attestation verificável, a privacidade fica só sobre modelos abertos.

Privacidade em nível de estrutura

Nesse tipo, cada mecanismo substitui promessas de confiança por provas baseadas em hardware, criptografia ou física, mas cada um paga um custo diferente para elevar a privacidade; o primeiro ponto é que esses mecanismos só funcionam com modelos abertos.

· TEE (Trusted Execution Environment) / computação confidencial coloca a inferência dentro de um enclave de hardware (uma cabine selada em um chip que nem o operador da máquina consegue abrir) e o chip assina uma attestation declarando exatamente qual modelo e qual código foram executados.

· O prompt é “selado” apenas no destino. No caminho mediado por proxies, ainda existe um papel que consegue ler o texto puro; e impedir que o proxy registre ou vaze o conteúdo do relay é, essencialmente, responsabilidade do protocolo.

· E2EE (criptografia ponta a ponta) elimina os relays legíveis. O dispositivo do usuário usa chaves do enclave para cifrar o prompt; cada salto intermediário carrega apenas envelopes selados que só o enclave consegue decifrar.

· A confiança recai no cliente. O código responsável por cifrar o prompt e validar a attestation também tem capacidade de revogar essa garantia. Por isso, uma E2EE verificável precisa tanto de um enclave comprovado quanto de um código cliente aberto e reproduzível.

· Em comparação com a simplicidade do TEE, o custo da E2EE é o peso de engenharia — e isso atrasa a integração de funcionalidades. A E2EE transforma o proxy em um mensageiro cego; assim, todas as funcionalidades que dependem de leitura de texto puro precisam ser reconstruídas ao redor das chaves do cliente, ou então reconstruídas apenas dentro do enclave.

· FHE (criptografia totalmente homomórfica, e variantes de MPC) elimina o lado confiável. O servidor faz cálculos em um “cofre” trancado que ele nunca consegue abrir; a chave fica apenas com você. Já o MPC (computação segura multipartes) divide o prompt em “partes secretas” e distribui essas partes para várias partes; a não ser que todos os participantes façam conluio, o efeito é equivalente.

· O custo é velocidade. O FHE nativo só faz adição e multiplicação; então todas as etapas não lineares necessárias para a operação de um transformer precisam ser reconstruídas com custo elevado. O custo de inferência em texto cifrado fica entre 10 mil e 100 mil vezes o do texto puro. Em modelos menores, cada token leva de segundos a minutos, enquanto sem criptografia leva apenas milissegundos.

· Chips otimizados para operações criptográficas podem reduzir a diferença, mas o primeiro protótipo só conclui um demo no começo de 2026; a versão comercial ainda leva alguns anos.

· Inferência local remove diretamente esse caminho. O modelo roda no seu próprio hardware: sem relay, sem servidor, sem fornecedor, e sem necessidade de verificação.

· O custo óbvio é custo e capacidade do modelo. O gpt-oss-120b marca cerca de metade do score no Artificial Analysis de GLM-5.2, mas tem 65GB de tamanho, superando a soma do VRAM de duas GPUs flagship vendidas no mercado. E o GLM-5.2 em precisão total só roda nos nós de data center com 8 GPUs; só as GPUs custam mais de US$ 300 mil.

Mas, além dessas restrições estruturais, o custo de colocar inferência dentro de um enclave vem sendo comprimido. Em inferência single-card, testes de benchmark do provedor de cloud enclave Phala mostram que o throughput em modo enclave perde em média menos de 7% no H100, e fica perto de zero em modelos grandes — porque o principal custo é mover dados para dentro do chip, não calcular dentro dele. Em inferência multi-card, a nova geração de GPUs NVIDIA Blackwell já suporta criptografia direta do tráfego entre chips; GPUs antigas H100 só conseguem o mesmo efeito desviando a largura de banda, por exemplo passando por um CPU host com 1/7 da largura de banda. No benchmark da própria NVIDIA para Blackwell, o modelo 397B perde menos de 8% de throughput no modo enclave. Com esses avanços, a perda de performance de inferência privada já não é mais uma restrição decisiva.

Na prática, o enclave em si quase não acrescenta custo operacional para o operador. Depois de 2023, cada H100 vem com modo enclave embutido; o custo adicional é a perda de throughput causada pela criptografia, e não chips extras. No Azure, o aluguel do SKU H100 confidencial ainda é US$ 8,90 por hora; sem enclave é US$ 6,98 por hora — o equivalente a um aumento de 27% sobre infraestrutura tradicional de nuvem. Por outro lado, em operadores especializados em enclave como a Phala, a H100 no modo confidencial já começa em US$ 3,80 por hora, abaixo da faixa de preço de US$ 3,99 a US$ 4,29 do Lambda para cartões SXM comuns. Em soluções de API gerenciada, NEAR AI oferece endpoints com attestation por US$ 0,15 por 1 milhão de tokens de entrada e US$ 0,55 por 1 milhão de tokens de saída, com o gpt-oss-120b, empatando com a rota em texto puro da Amazon Bedrock, Together e Groq. Mesmo em modelos que exigem paralelismo de múltiplos chips, a NEAR AI cobra por GLM 5.2 o mesmo que Fireworks e, em um Kimi K2.6 maior, cobra 15% menos pela entrada e 4% menos pela saída.

Embora esses novos provedores de inferência privada possam estar queimando margem para ganhar participação (afirmação que vale para qualquer empresa que queira crescer no mercado), a tendência estrutural é que o custo de privacidade esteja caindo para consumidores e operadores.

Como os modelos abertos ganham?

Mesmo com a compressão dos custos de performance, ainda existe uma lacuna visível a olho nu entre modelos de ponta e modelos abertos SOTA. Um ator que busca maximizar a produtividade e quer ficar na linha de frente ainda precisa confiar que os laboratórios de ponta não vão roubar seu IP.

A lacuna ainda existe, mas uma amostra dada por AIA Labs (da Bridgewater) e Thinking Machines em 30 de junho mostrou um caso: um modelo aberto treinado com ajuste fino via rotulagem por especialistas venceu modelos de ponta tanto em acurácia quanto em custo.

No estudo, a equipe fez o ajuste fino do Qwen3-235B no Tinker (serviço de API de fine-tuning gerenciado da Thinking Machines). Eles primeiro compraram rótulos da fornecedora, treinaram a primeira rodada com esses dados e, em seguida, pegaram exemplos com divergência e os mandaram para os investidores da empresa rotularem novamente. O treinamento rodou com aprendizado por reforço (GRPO), além de três modificações: round-robin batching (cada tarefa alterna e libera um lote), CISPO loss (limite para o quanto uma única resposta consegue “puxar” o modelo), e on-policy distillation (ancora o checkpoint atualmente mais otimizado para garantir que o modelo não aprenda cópias mais fracas).

As tarefas vinham de fluxos diários dos próprios investidores: o quanto uma notícia é importante para profissionais de investimento de nível C-suite, se um documento de um banco central sugere a direção de futuras mudanças de juros, e onde começam as frases-modelo em um documento ou e-mail. As pontuações vieram de um conjunto de testes independente: os modelos de ponta ficaram em média com cerca de 50% sob prompts simples; com prompts de especialistas, eles só chegaram a 78,2%, abaixo do limite de 80% definido pelos investidores. Já o Qwen ajustado atingiu 84,7%; pela métrica do texto original, isso significa errar 29,8% menos do que o melhor modelo de ponta, com custo de inferência 13,8 vezes menor.

https://thinkingmachines.ai/news/learning-to-replicate-expert-judgment-in-financial-tasks/

Esse caso prova que modelos abertos podem vencer em acurácia e custo, mas o processo de treinamento ainda não é privado. A rotulagem por especialistas usada no meio vem de dados privados da Bridgewater, passa por um serviço de terceiros da Tinker e chega a um nível de confiança equivalente ao mesmo da camada do protocolo ZDR. O fundo também alugou computação, então o treinamento inteiro rodou em máquinas que ele nunca controlou. Para comprar essa “receita” sem querer carregar suposições de confiança, as escolhas de hoje são poucas. Alugar um cluster de GPU “crua” faz com que o processo de treinamento seja legível para o operador da nuvem. Comprar o cluster resolve o problema de hospedagem dos dados, mas o custo dispara.

A rota com attestation acabou de chegar. Em março, a Workshop Labs e a Tinfoil lançaram o Silo: uma pilha de pós-treino rodando dentro do enclave da Tinfoil, em um único nó com 8 GPUs, com a chave controlada apenas pelo cliente. O artigo indica que o custo do enclave é: treinar por 2 horas custa mais 11 minutos. E essa pilha, ao congelar os pesos da base e treinar apenas adapters pequenos em cima, consegue caber um modelo de 1 trilhão de parâmetros (Kimi K2 Thinking). A dificuldade está em que aprendizado por reforço precisa movimentar dados entre os componentes; e mover dados é exatamente onde o custo do enclave aparece.

Menos de um mês após a publicação do Silo, a Workshop Labs foi adquirida pela Thinking Machines. Dentro do enclave, os componentes necessários para executar um ciclo de RL estilo Bridgewater agora também estão todos dentro da mesma empresa.

Privacidade na camada de Harness

Ainda existe outro problema além de todos os mecanismos de inferência privada. Esses mecanismos tratam do caminho do prompt até o modelo; já cada chamada externa de ferramenta iniciada por um agent abre um caminho que a camada de inferência não alcança. A recente onda de “harness engineering” amplifica o problema: cada ferramenta, base de memória e fonte de dados conectada ao redor do modelo vira outro destino que lê em texto puro o seu recorte do fluxo de trabalho. Servidor de calendário lê agendas; servidor de banco de dados lê consultas. Mesmo um agent 100% local, se quiser qualquer coisa além do conjunto de treinamento, ainda precisa enviar termos de busca em texto puro ao motor de busca; se o servidor não consegue ler o texto puro, ele não consegue responder.

A solução principal ainda assume protocolo. Empresas como Runlayer e MintMCP usam um gateway central para controlar todo o tráfego de ferramentas; antes de sair, o gateway oculta informações de identidade pessoal (PII). O gateway também decide quais servidores recebem tráfego, bloqueia os não revisados na porta e registra cada destino e conteúdo de chamada para fins de auditoria. Mesmo que esses controles tenham auditoria independente (SOC 2), o servidor de ferramentas ainda precisa ler as consultas em texto puro para responder. Ele decide se mantém cópias com base nas cláusulas de retenção próprias — e isso ainda precisa multiplicar tudo pelos “cada ferramenta no harness”. Além disso, o gateway em si é mais um leitor de confiança na rota, e não uma verificação.

As soluções estruturais atacam a camada do meio. Por exemplo, a Phala faz o MCP server ser hospedado diretamente dentro de um TEE: cobrindo carteiras, execução de código e fontes de dados em um mesmo perímetro. O usuário pode verificar a declaração de privacidade com uma attestation, em vez de confiar no operador. Porém, as ferramentas hospedadas no TEE, no final, ainda precisam entregar as consultas em texto puro ao provedor do serviço; o que o enclave sela é o “mensageiro”, não o “destino”.

Só alguns destinos aprendem a responder sem ler, mas isso vale apenas para consultas estruturadas. A Apple fornece pesquisa privada de informações para iPhone, permitindo comparar o número de chamadas com um banco anti-spam sem expor o número; no Microsoft Edge, a mesma abordagem é usada para senhas. O Queryable Encryption da MongoDB faz com que o cliente cifre antes de sair por campos; então o servidor consegue fazer equivalência e correspondência por intervalo apenas com o texto cifrado.

Mas para busca aberta, hoje a melhor resposta ainda para no âmbito de confiança: a busca criptografada verificável ainda não saiu do laboratório. A Brave promete retenção zero de dados em seu índice de 40 bilhões de páginas (não o da Google), mas ainda se apoia na camada de protocolo. A Exa construiu um índice neural que transforma palavras-chave do usuário em embeddings semânticos e ordena os resultados por similaridade semântica; porém, a etapa de embedding ainda é calculada em texto puro nos servidores da Exa. O artigo Tiptoe (MIT, 2023) completou ordenação em 360 milhões de páginas sem expor consultas, mas cada busca consome muita capacidade de computação de servidores, e a qualidade da ordenação fica atrás da busca não criptografada. O artigo Wally (Apple, 2024) esconde a consulta real dentro de uma pilha de iscas para reduzir ao máximo o custo de comunicação em até 31 vezes, mas a matemática só fica barata com milhões de consultas concorrentes; e nesse volume, nenhum sistema de busca privada existente hoje tem.

A busca criptografada é possível, mas ainda não está viável para uso comercial em desempenho e preço.

Perspectiva

A demanda por AI privada está crescendo. A Venice AI recentemente ultrapassou 3,5 milhões de usuários registrados e um throughput mensal de 1,3 trilhão de tokens; em seguida, concluiu uma nova rodada de equity Series A com valuation de US$ 1 bilhão. A Proton é sua concorrente direta: seu produto de chat Lumo ganhou mais de 10 milhões de usuários em um ano. Em infraestrutura, a Phala já roda de 2 a 3 bilhões de tokens por dia em média no OpenRouter. A Duck.ai roteia gpt-oss-120b e Gemma para o enclave da Tinfoil, oferecendo privacidade verificável ao usuário para além do proxy. Isso ainda não inclui self-hosting; e provavelmente é um dos maiores canais de inferência privada, afinal o modelo roda no próprio hardware e não deixa nenhum rastro de uso.

Porém, no grande tsunami do mainstream de IA, a AI privada representa apenas uma parte pequena — e essa diferença só vai se fechar quando os laboratórios de ponta decidirem satisfazer essa necessidade. Em maio, o Google processou 3.200 trilhão de tokens em toda a linha de produtos; se isso for usado como referência, o throughput mensal da Venice equivale a cerca de 18 minutos do Google. Em novembro do ano passado, o Google lançou o Private AI Compute (PAC): colocou algumas funcionalidades impulsionadas pelo Gemini para rodar em um enclave TPU selado isolado da própria empresa e desenhou um processo auditado independentemente pelo NCC Group. O problema é que o PAC cobre só uma pequena parte de funções, como recomendações personalizadas e resumos de gravações do Pixel, e não cobre aplicações do Gemini usadas por centenas de milhões de pessoas. A decisão de deixar o design para auditoria é porque essas funções viram dinheiro com dispositivos e anúncios, e não pela venda de tokens.

As soluções de hospedagem também não são perfeitas. Para usuários que querem o maior nível de privacidade via E2EE, é preciso esperar que novas funções sejam reconstruídas “onde o provedor do serviço não lê”. Harness privado na camada de serviços ainda depende de protocolos. Para pós-treinos com preço razoável, obter os melhores resultados de fine-tuning ainda exige confiar em um fornecedor terceiro. No self-hosting você elimina todos os provedores de uma vez, mas rodar localmente os melhores modelos abertos pode custar mais caro do que plugá-los na casa em que eles já estão.

Com falhas, a AI privada ainda é uma opção real e com custo acessível; as lacunas restantes também estão diminuindo. Para consumidores comuns, no Lumo e na Venice, chats privados de modelos abertos sem compromisso de logs não custam nada; a assinatura de 18 a 20 dólares da Venice ou Tinfoil sela os mesmos chats dentro de um enclave e não custa mais do que uma assinatura do ChatGPT. Para fluxos de trabalho empresariais, endpoints com attestation já são mais baratos do que a rota em texto puro. Endpoints como o NEAR’s E2EE API já conseguem levar contexto criptografado para dentro do enclave; memória, upload de arquivos e instruções personalizadas rodam sobre o E2EE hoje. Quanto ao pós-treino com attestation, a NVIDIA prestes a lançar o Vera Rubin NVL72 expandirá computação confidencial do nó de 8 chips da Blackwell para uma rack com 72 chips, tornando ciclos RL de ponta ainda mais viáveis sem expor IP.

No entanto, o valor-chave capturado está fora dessas camadas onde os preços comprimem. A privacidade, onde já existe, está quase “de graça”, mas ainda não cobre fluxos de trabalho agentic dominantes. Operadores que focam alugar/encomendar enclaves controlam um simples “interruptor” em chips padrão, não é uma muralha real; já gateways na camada de protocolo competem no mesmo palco de middleware tradicional. O território defensável é a “outra metade” da lacuna que este relatório ainda não resolveu: ciclos de treinamento dentro do enclave, chamadas de ferramentas ponta a ponta fechadas, e índices de busca que não mostram termos. Quem fizer primeiro qualquer uma dessas peças, vai vender algo que nenhuma guerra de preços consegue transformar em commodity. Capital perseguindo AI privada deveria comprar a lacuna, não o interruptor.

Então, confiança ou validação? Para tarefas de reexecução e re-agents, escolha confiança, porque cada chamada de ferramenta já entrega o texto puro ao destino que o enclave não consegue selar; e modelos de ponta valem o preço nesses ciclos. Quanto a um raciocínio mais sofisticado que separa uma empresa do adversário, escolha validação: estratégia, planejamento e decisões refinadas a partir de anos de experiência profissional são exatamente o alpha que está em disputa. O caminho à frente é: dentro dos limites em que a empresa controla, usar essas percepções proprietárias para fazer fine-tuning em modelos abertos. Na área em que o alpha da empresa está, modelos abertos calibrados por especialistas já superaram modelos de ponta tanto em acurácia quanto em custo; e a infraestrutura para construí-los em ambiente de privacidade está chegando, nó por nó.

Link original do texto

Clique para saber mais sobre a contratação do律动 BlockBeats nas vagas

Bem-vindo para entrar no grupo oficial do律动 BlockBeats:

Telegram grupo de assinatura: https://t.me/theblockbeats

Telegram grupo de bate-papo: https://t.me/BlockBeats_App

Conta oficial no Twitter: https://twitter.com/BlockBeatsAsia

Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado