Fanáticos do embargo de chips enfrentam proibição de modelos

Autor: Su Yang, Tencent Technology

Desde a máquina de litografia EUV, passando por máquinas de litografia DUV avançadas, até ao chip H100, a Silicon Valley está dividida em duas correntes no que diz respeito às sanções ao semicondutor.

Huang Renxun, Su Zifeng e outros têm vindo a lutar pela flexibilização do controlo, considerando que o excesso de restrições equivale a entregar o mercado de mão beijada, enquanto o CEO da Anthropic, Amodei, é um “fanático” do controlo, chegando a comparar chips avançados a armas nucleares.

Huang Renxun fez várias críticas indiretas a Amodei, dizendo que ele tem um “complexo de Deus”. “Comparar IA com armas nucleares, enriquecimento de urânio, é loucura. Nós não estamos a refinar urânio enriquecido, estamos a fazer apenas um pequeno chip,” afirmou Huang no podcast 《Dwarkesh Patel》.

O “fanático” Amodei talvez não tenha previsto que, um dia, o controlo rigoroso que ele tanto defende poderia acontecer na Anthropic — os dois modelos de ponta Mythos e Fable 5 foram proibidos pelo governo dos EUA de fornecer serviços a qualquer “estrangeiro” no mundo.

Liu Kun comenta no Facebook sobre a proibição do Fable 5

“Finalmente, a loucura de Amodei de assustar o mercado com o medo do Mythos/Fable (e de toda a área de IA) deu frutos: o governo dos EUA proibiu o uso por não-americanos, incluindo estrangeiros que trabalham nos EUA. Quem semeia vento, colhe tempestade,” escreveu Liu Kun, laureado com o Prémio Turing, no Facebook.

A frase “Quem semeia vento, colhe tempestade” encaixa-se bem no contexto chinês, sendo uma expressão de “retribuição”. Depois, nos comentários, Liu Kun zombou que Amodei poderia usar a proibição para se gabar da força dos seus modelos.

Segundo algumas políticas dos EUA, a proibição dos modelos Mythos e Fable não deve durar muito. David Sacks, conselheiro de IA do governo Biden, afirmou que se trata apenas de uma restrição temporária, esperando que a Anthropic corrija rapidamente as vulnerabilidades de segurança.

Por isso, neste momento, queremos esclarecer o contexto da “proibição dos modelos”, os principais debates, os problemas existentes, as possíveis restrições de exportação a longo prazo e o impacto potencial na Anthropic e na indústria de inteligência artificial como um todo.

“Crise de 72 horas”

Muitos filmes americanos usam nomes de “horas” para destacar mudanças rápidas em curtos períodos de tempo. O lançamento e retirada do novo modelo da Anthropic, Fable 5, durou exatamente 72 horas, encaixando-se neste esquema narrativo.

Em 9 de junho, a Anthropic lançou o seu modelo mais potente até então, Claude Fable 5 e Claude Mythos 5, sendo o primeiro modelo “Mythos-class” da empresa. O Fable 5 é uma versão pública, com um classificador de segurança: em áreas sensíveis como cibersegurança, biologia e química, as consultas são automaticamente encaminhadas para o Opus 4.8, de capacidade mais fraca. O Mythos 5 é baseado na mesma arquitetura, mas sem restrições de segurança, disponível apenas através do Project Glasswing para cerca de 150 organizações revisadas.

Já passaram dois meses desde a primeira pré-visualização do Mythos.

No blog oficial, a Anthropic afirmou que “a série Fable 5 possui a proteção de segurança mais rigorosa de todos os modelos testados”.

Pliny the Liberator revela risco de “jailbreak” do Fable 5

Apenas um dia depois, o famoso hacker de IA Pliny the Liberator publicou no X (antigo Twitter) uma mensagem em letras maiúsculas: “ALERTA DE JAILBREAK, ANTHROPIC VENCIDA, FABLE-5 LIBERADO”. Ele alegou ter burlado o classificador de segurança do Fable 5 usando substituições Unicode, caracteres semelhantes, diluição de contexto longo e técnicas de decomposição-reorganização.

Na altura, Amodei provavelmente ainda estava encantado com a “capacidade de dominar o tempo e o espaço” do modelo Fable 5, sem perceber o risco anunciado por Pliny. Ele publicou um longo artigo no seu blog pessoal intitulado “Resposta política ao crescimento exponencial da inteligência artificial”, defendendo que o governo deveria ter o poder de impedir a implementação de modelos de IA inseguros.

Assim como Pliny, um pesquisador da Amazon também detectou o risco de “jailbreak”, mas com uma abordagem diferente.

O CEO da Amazon, Andy Jassy, decidiu passar por cima da Anthropic — uma empresa na qual a Amazon investiu pesadamente — e enviou um relatório de “jailbreak” ao governo dos EUA.

Vários meios de comunicação revelaram que, no dia seguinte (12 de junho), a Anthropic recebeu uma advertência final do governo americano, sendo instruída a desativar o acesso a dois modelos em 90 minutos. Amodei tentou reverter a decisão por telefone, mas acabou recebendo uma ordem de “controle de exportação de emergência”.

Na noite de 12 de junho, a Anthropic cumpriu a ordem. Curiosamente, Amodei e sua equipe reforçaram a medida, desconectando o Fable 5 e Mythos 5 globalmente, independentemente de serem americanos ou não.

De 9 a 12 de junho, foi um verdadeiro “crise de 72 horas” para a Anthropic.

Quando compartilhei essa notícia nas redes sociais, citei uma frase clássica de um filme de Hong Kong: “Difícil de resolver, então não resolva”.

Há aqui uma questão interessante — por que a Anthropic, ao invés de simplesmente bloquear o acesso de usuários estrangeiros, optou por uma medida drástica de desconexão total? A Anthropic nunca foi uma “criança obediente”. No primeiro trimestre, Amodei apresentou uma “Constitutional AI” (AI Constitucional), um conjunto de regras para proteger a sua filosofia de que “IA não deve ser usada para fins militares ou de vigilância”.

Sobre a abordagem de “tudo ou nada”, alguns analistas dizem que a Anthropic não teve tempo suficiente para filtrar usuários, especialmente porque muitos acessam via API, incluindo APIs intermediárias, o que torna a tarefa bastante complexa.

Embora essa explicação seja razoável, ao consultar a política oficial da empresa, percebe-se que a Anthropic já vem se preparando para isso. A sua mais recente política de privacidade sugere que os usuários terão que fornecer informações como idade e identidade, o que muitos interpretam como uma possível implementação de reconhecimento facial nos modelos Claude no futuro. Assim, identificar se um usuário é “americano” ou “estrangeiro” não seria difícil.

Confiança irresistível

“Algumas pessoas analisam a base legal usando o mecanismo de ‘Is informed letter’ (carta de aviso),” disse um pesquisador que acompanha de perto as políticas de controle de exportação.

Nos EUA, a carta de aviso é uma ferramenta administrativa comum da Bureau of Industry and Security (BIS), do Departamento de Comércio. Ela permite que as autoridades enviem notificações não legislativas às empresas, exigindo a obtenção de licenças para exportar certos itens ou tecnologias.

No final de 2023, a Nvidia lançou um produto especial, o H20, para o mercado chinês, para contornar as restrições de capacidade e largura de banda impostas pela “Export Control Regulations”. Logo depois, a BIS enviou cartas de aviso à Nvidia, AMD e outras empresas, exigindo licenças adicionais para exportar certos chips. Nesse processo, as regras de exportação foram atualizadas.

No caso da Anthropic, antes de receber a carta de aviso para restringir o acesso de usuários “não americanos”, o governo dos EUA já tinha dado uma orientação de “retirada em 90 minutos”. Vários meios de comunicação, incluindo Politico, relataram que houve várias rodadas de negociações envolvendo o Secretário do Tesouro, o Secretário de Comércio e o conselheiro de política de IA da Casa Branca, mas a Anthropic recusou a ordem.

Inicialmente, a empresa se recusou a retirar os modelos, mas, no final, desconectou tudo de uma só vez — uma ação difícil de explicar apenas por limitações técnicas.

A carta de aviso geralmente precede uma atualização nas regras de controle de exportação, mas alguns especialistas acreditam que desta vez o governo não pretende alterar as regras, apenas “parar a Anthropic no caminho”.

Segundo eles, no cenário de grandes modelos, ainda não há uma definição clara do que deve ser controlado. “Seria o peso do modelo, o acesso via API, o serviço de inferência ou alguma capacidade abstrata do modelo?”

Historicamente, o controle de exportação focava em bens físicos, mas, uma vez que os pesos dos modelos são gerados digitalmente, eles podem ser disseminados na esfera digital, dificultando uma proibição absoluta.

Assim, “parar a Anthropic” parece uma hipótese razoável. Depois, discutir uma governança mais adequada e alinhada às necessidades é uma consequência lógica dessa premissa. Pode-se até supor que Mythos e Fable estejam prestes a retornar, o que explica por que David Sacks, o “imperador da IA”, enfatiza que a proibição é apenas temporária.

Por que o governo dos EUA usaria medidas administrativas para interferir no lançamento de modelos de ponta de um laboratório de IA?

A “vulnerabilidade” dos modelos.

Em março, numa conversa com Zhou Hongyi, presidente do Grupo Qihoo 360, ele destacou a capacidade da Anthropic de “descobrir vulnerabilidades” usando IA. “A Anthropic consegue resolver muitos problemas de segurança usando IA para programar e encontrar vulnerabilidades. Por isso, minha sugestão é focar na IA (segurança) de agentes inteligentes.”

O pesquisador também reforçou que Mythos não se trata de um chatbot comum, mas de uma capacidade altamente especializada de descoberta de vulnerabilidades, análise de rotas de ataque e capacidades ofensivas de rede.

Segurança sem consenso

A Anthropic não só reforçou a sua postura de “execução reforçada” na proibição, como também publicou uma declaração pública.

“Para garantir conformidade, devemos interromper imediatamente todos os planos de todos os usuários,” afirmou a empresa, acrescentando que se tratava de um mal-entendido. Segundo eles, as “soluções de jailbreak” reportadas pelo governo e terceiros envolvem apenas vulnerabilidades menores, relativamente simples.

Assim, ao analisar a postura da Amodei de defender o direito do governo de impedir a implantação de IA insegura, e a própria definição do Fable 5 como o modelo mais seguro, fica claro que há uma confiança absoluta na segurança de seus produtos.

Porém, a Anthropic também deixou uma ressalva: “Atualmente, nenhum fornecedor de modelos consegue garantir proteção total contra jailbreaks.” Essa afirmação, ao contrário de uma segurança absoluta, parece mais uma tentativa de justificar uma segurança relativa.

Ou seja, eles afirmam que seus modelos são os mais seguros, e que os modelos inseguros deveriam ser bloqueados pelos órgãos reguladores. Além disso, dizem que a maioria das vulnerabilidades é de fácil resolução, e que eles fazem o máximo para limitar o jailbreak, mas ninguém consegue garantir uma proteção completa.

Se o seu modelo é considerado o mais seguro, por que lançá-lo sabendo que há vulnerabilidades? Não seria uma estratégia arriscada? E, se não podem impedir totalmente o jailbreak, por que pedem a repressão de outros modelos?

Quem conhece a Anthropic sabe que a empresa não só tem produtos e capacidades excelentes, como também adota uma postura bastante agressiva na segurança e governança de IA, quase como uma “criadora de regras” na era da IA, sempre se colocando como “guardião da segurança”.

Em 19 de setembro de 2023, a Anthropic lançou o RSP 1.0 (Política de Expansão Responsável), defendendo que quanto mais potente for a capacidade do modelo, maior deve ser a segurança. Antes de lançar modelos mais avançados, a empresa deve garantir a sua segurança. O documento inclui um mecanismo de classificação de segurança de IA (ASL), com níveis como ASL-1: risco de desastre sem sentido, ASL-2: sinais de perigo inicial, mas sem risco de desastre, e ASL-3: aumento significativo do risco de uso abusivo catastrófico.

“Se a escala da IA ultrapassar a nossa capacidade de seguir procedimentos de segurança essenciais, o quadro ASL exigirá que suspendamos temporariamente o treino de modelos mais poderosos,” afirmou a Anthropic.

Uma semana antes do lançamento do Fable 5, em 4 de junho, a Anthropic publicou um artigo intitulado “Quando a IA se auto-modela”, pedindo uma “pausa ativa” para evitar riscos de melhorias recursivas na IA.

Logo após, o modelo Fable 5 foi lançado.

Se olharmos para essa linha do tempo, parece uma situação cômica — como se um estudante brilhante dissesse “nunca reviso para os exames”, mas na verdade estivesse a fazer uma preparação intensiva.

Se há preocupações, por que lançar o modelo mais potente logo após pedir uma pausa? Essa é uma questão. Na realidade, a pré-visualização do Mythos já tinha sido apresentada há dois meses. Se a capacidade do modelo já é tão revolucionária, por que não se pediu uma pausa na altura?

Aparentemente, a Anthropic adota uma postura agressiva em relação à segurança, mas essa postura de “pedir pausa” parece mais uma estratégia de pressão contra os concorrentes. Enquanto clamam por maior regulação e pausa na pesquisa, eles continuam a iterar e avançar com seus modelos.

Se em 2023 a Anthropic era uma idealista, em 2025, com o RSP 2.2, ela já se tornou uma realista.

No changelog do RSP 2.2, há uma alteração que exclui “insiders sofisticados” e “insiders comprometidos pelo estado” do padrão de segurança ASL-3, além de remover a proteção contra ataques de destilação (distillation attacks) do ASL-2.

Verifiquei essa mudança: ela significa que, no futuro, ataques internos e de atores estatais não serão considerados ameaças de segurança de alta prioridade. Em outras palavras, a Anthropic silenciosamente “baixou” seus padrões de segurança, deixando de se comprometer a resistir às ameaças mais difíceis.

Em 9 de fevereiro de 2026, o responsável máximo pela segurança da Anthropic, Mrinank Sharma, resignou-se. Em uma carta pública, escreveu: “O mundo está em perigo. Durante meu mandato, vi como é difícil fazer os valores realmente guiarem as ações da organização… Estamos sob pressão constante para abandonar o que é mais importante.”

Poucos dias depois, em 24 de fevereiro, a Anthropic lançou o RSP 3.0, reescrevendo completamente sua estratégia de segurança e eliminando todas as menções a “pausas”.

Na essência, como mencionado antes, a Anthropic nunca realmente acionou uma pausa no treino. Isso é semelhante à carta aberta de março de 2023, assinada por Elon Musk, pedindo uma pausa de seis meses no treino de modelos acima do GPT-4. Na altura, Musk foi um dos principais signatários, anunciou a criação da xAI e, em novembro, lançou o Grok-1.

Assim, os laboratórios de grandes modelos não têm um “consenso de segurança”. As pausas são, na verdade, estratégias comerciais.

Impulsionados pelo capital

Com o lançamento do Fable 5, o preço de entrada e saída é de 10 e 50 dólares por milhão de tokens, respectivamente, o que é o dobro do Opus 4.8, embora com um desconto de 90% na cache.

Ao conversar com um pesquisador do setor de IA, ele comentou: “É útil, mas é caro de verdade.” Assim, há uma tendência de que os grandes modelos fiquem cada vez mais caros, mesmo com preços elevados, porque sua capacidade é altamente valorizada.

Por isso, recentemente, os modelos nacionais têm tentado “acelerar” a inferência e o TPS (tokens por segundo), além de aumentar os preços de forma moderada.

Voltando à Anthropic, em maio de 2021, Amodei saiu do OpenAI com sua irmã e 14 pesquisadores, fundou a Anthropic e conseguiu uma rodada de financiamento de 124 milhões de dólares, com uma avaliação de 550 milhões. Em 2025, a rodada de financiamento Série H elevou a avaliação para 65 bilhões de dólares, com receita de cerca de 9,65 bilhões de dólares (ARR). No primeiro trimestre de 2026, a receita foi de 4,8 bilhões de dólares, e documentos obtidos pelo Wall Street Journal indicam que a Anthropic planeja uma IPO no quarto trimestre, levantando 60 bilhões de dólares. Com uma receita anual estimada em mais de 40 bilhões, a avaliação de 9,65 trilhões de dólares implica um múltiplo de 24 vezes o ARR, exigindo crescimento exponencial de receita.

Nesse cenário, qualquer promessa de segurança, como “pausar o treino se a capacidade for excessiva”, funciona como um freio ao crescimento da receita. Com uma avaliação de 24 vezes o ARR, qualquer “pause” pode impactar drasticamente o valor.

Por isso, a exclusão da palavra “pausa” no RSP 3.0 não é mera coincidência, mas uma estratégia de capitulação ao capital — na fase de IPO, qualquer potencial “freio” deve ser eliminado, como mostra o próprio prospecto.

Se não eliminarem a cláusula de “pausa obrigatória”, o prospecto terá que alertar para riscos como “a empresa promete interromper o desenvolvimento se a capacidade ultrapassar limites de segurança desconhecidos”, o que equivale a um risco de “queda repentina” na receita.

Com uma avaliação de 9,65 trilhões de dólares e pressão de IPO, a Anthropic enfrenta o dilema de equilibrar interesses dos acionistas e o bem público.

Na reestruturação da OpenAI, o tema mais discutido foi a PBC — Public Benefit Corporation, uma estrutura de governança semelhante à da Anthropic. Segundo esse modelo, um fundo de benefício público (LTBT) pode nomear 2-3 membros do conselho, mas até o final de 2024, apenas um membro foi nomeado, e em 2025, mais um. Somente com a aproximação do IPO, o ex-CEO da Novartis, Vas Narasimhan, entrou no conselho, elevando a proporção de membros do LTBT para 4 de 7.

Surpreendentemente, um dos membros nomeados pelo LTBT, Jay Kreps (cofundador e CEO da Confluent), anunciou sua renúncia após apenas um ano de mandato.

A relação de poder entre o “trust” e os “gestores + investidores” voltou ao equilíbrio de 3-3. Antes que outro membro do LTBT seja nomeado, qualquer divergência pode criar um “vácuo de governança”.

O “sétimo membro” será nomeado antes do IPO?