Acabei de perceber algo que me tem incomodado sobre toda a situação do Cursor. Conheces aquela ferramenta de codificação AI de 29,3 mil milhões de dólares de que toda a gente fala obsessivamente? Acontece que o cérebro por trás do Composer 2 não é aquilo que pensas.

Na semana passada, os desenvolvedores começaram a investigar as respostas da API e encontraram algo interessante no caminho do modelo: kimi-k2p5-rl-0317-s515-fast. Kimi K2.5. Esse é o modelo open-source da Moonshot AI, da China. Não está exatamente escondido nos detalhes, mas também não é propriamente divulgado.

O VP de Educação para Desenvolvedores do Cursor reconheceu isso alguns dias depois, dizendo que cerca de 25% do poder computacional vem da plataforma Kimi, o resto vem do seu próprio treino. Chamou a omissão no post do blog de "um erro". Exceto que esta já é a segunda vez. Quando o Composer 1 foi lançado, as pessoas perceberam que usava o tokenizer da DeepSeek — também nunca mencionado. A partir de que momento é que isso deixa de ser um erro?

Mas aqui está o ponto: usar o Kimi K2.5 é na verdade inteligente. O modelo é sólido na geração de código, é open-source, portanto os custos de aquisição são praticamente zero, e para uma empresa focada na camada de produto e na integração da cadeia de ferramentas, faz todo o sentido do ponto de vista empresarial. O problema não é a escolha técnica. É o silêncio.

Porém, há uma questão de conformidade que as pessoas não estão a falar. O Kimi K2.5 usa uma licença MIT modificada com um requisito específico: se um produto comercial tiver mais de 100 milhões de utilizadores ativos mensais ou mais de 20 milhões de dólares de receita mensal, é obrigatório exibir de forma destacada "Kimi K2.5" na interface do utilizador. O Cursor faz aproximadamente $2B por ano — o que é cerca de 8 vezes o limite. O requisito é claro. Tem sido ignorado.

Não sou advogado, mas isto importa porque a indústria de software passou duas décadas a aprender a respeitar as licenças open-source. Passámos de processos por GPL a SBOMs a tornarem-se uma prática padrão. A licenciamento de modelos de IA ainda está numa fase inicial dessa mesma jornada. Se as empresas podem ignorar algo tão simples como adicionar uma etiqueta, o que dizer de coisas mais difíceis — fluxos de dados, auditabilidade de modelos, conformidade transfronteiriça?

Existe um conceito chamado "Imposto de Confiança" que se aplica aqui. Utilizadores que pagam 20 dólares por mês pelo que pensam ser tecnologia proprietária de ponta, e depois descobrem que é um modelo open-source gratuito com ajustes? Essa confiança quebra-se. Ainda mais quando o Cursor já teve problemas de preços com o plano "Ilimitado" Pro, onde as pessoas consumiam créditos mensais em três dias.

A verdadeira questão é: pelo que é que os utilizadores realmente pagam? Se for pelas capacidades do modelo, basta usar a API do Kimi diretamente — muito mais barato. Se for pela experiência do produto e integração na cadeia de ferramentas, então seja claro sobre isso, em vez de insinuar que tudo é desenvolvido internamente. A Apple não finge fabricar os seus próprios chips. A TSMC faz isso por eles. Ninguém se sente enganado porque sabe exatamente pelo que está a pagar.

O que realmente interessa aqui é a mudança estrutural maior: os modelos open-source chineses estão a tornar-se a base invisível das aplicações de IA globais. DeepSeek, Tongyi Qianwen, Kimi — estes estão a impulsionar silenciosamente coisas por todo o mundo. O CEO da Hugging Face disse mesmo que o open source da China é "a maior força a moldar o stack de tecnologia de IA global". Não é exagero.

Para os utilizadores empresariais, isto cria um problema sério. Os teus desenvolvedores estão a encaminhar código através de modelos cuja origem nem sequer conhecem. Em indústrias reguladas — finanças, saúde, governo — isso é um pesadelo de conformidade. Soberania de dados, regulamentações transfronteiriças, tudo fica pouco claro. Algumas pessoas chamam-lhe "Shadow AI", como antigamente se chamava Shadow IT. Os desenvolvedores incorporam esses modelos em IDEs e pipelines enquanto as equipas de segurança não fazem ideia.

A indústria de software acabou por resolver isto com as SBOMs — Lista de Componentes de Software. Lista os componentes utilizados, versões, vulnerabilidades conhecidas. A IA precisa da mesma coisa. O AI-BOM já está a ser discutido nos círculos de segurança. Deve incluir: qual o modelo base, origem e processamento dos dados de treino, método de ajuste fino, implantação, fluxos de dados.

Para os desenvolvedores que escolhem ferramentas, isto significa auditar as fontes do modelo da mesma forma que auditam as licenças de dependências. npm audit, pip check — esses são padrão. A auditoria de modelos pode ser o próximo passo. Para os fornecedores de IA, divulgar proativamente as fontes do modelo não é uma fraqueza, é um investimento na confiança a longo prazo. A primeira empresa a tornar o AI-BOM padrão pode, na verdade, cobrar um prémio.

Resumindo: o Kimi K2.5 é realmente bom. O trabalho técnico da Moonshot merece respeito. A experiência do produto do Cursor é genuína. O problema nunca foi "um modelo chinês foi utilizado". Num ecossistema open-source, boa tecnologia não devia ter uma etiqueta nacional. O problema é que não nos disseram. À medida que estes agentes de IA se integram mais profundamente nos nossos fluxos de trabalho, lidando com mais código, dados e decisões, pelo menos devíamos saber quem está realmente a pensar por trás das cenas.