Galaxy：Anthropic终极模型难题

Autor: Alex Thorn, Diretor-Geral e Chefe de Pesquisa da Galaxy Digital; Fonte: Galaxy Digital; Tradução: Shaw, Golden Finance

No dia 12 de junho, sexta-feira, às 17h21, horário da costa leste dos EUA, a Anthropic recebeu uma ordem de controlo de exportação do Departamento de Comércio dos EUA, exigindo a proibição global dos modelos Fable 5 e Mythos 5 para todos os estrangeiros, incluindo os próprios funcionários não-americanos da empresa. Os EUA afirmaram que alguém encontrou uma forma de contornar os mecanismos de segurança do Fable 5 e aceder às funcionalidades de segurança cibernética do modelo Mythos subjacente.

Esta empresa de inteligência artificial não conseguiu dividir as permissões de utilizadores por nacionalidade dentro do prazo exigido pelo governo e, em poucas horas, desativou globalmente os dois modelos mencionados. Todos os restantes modelos da série Claude mantiveram-se normais.

Dois dos principais modelos de linguagem do setor foram assim retirados, apenas devido a uma notificação privada do governo, sem decisão judicial, sem documentação pública e sem conclusões completas de investigação divulgadas. Na quarta-feira, um utilizador do Reddit publicou que o Fable 5 já estava disponível no catálogo de produtos da plataforma Bedrock da Amazon Web Services, sugerindo que as restrições nos canais de nuvem poderiam estar a ser levantadas. No entanto, este evento representa um enorme risco para a indústria de IA, inovação tecnológica e o mercado de capitais dos EUA.

Cruzando o Rubicão (criando um precedente irreversível)

O governo dos EUA declarou efetivamente que, com uma simples ordem administrativa, pode arbitrariamente retirar modelos de linguagem comerciais do mercado. Embora esta medida seja formalmente de controlo de exportação, o seu efeito no mercado equivale a uma recolha de produto.

O governo federal ultrapassou uma linha vermelha na regulamentação da IA: antes apenas definia regras gerais para o setor, mas agora detém poder discricionário de veto para decidir quais modelos podem ser lançados ao público e quando. Uma vez estabelecido este poder, não se contrairá por si só; se o governo não ajustar a política atempadamente, futuras ordens de controlo semelhantes serão ainda mais fáceis de emitir.

O facto de a justificação para esta ordem ser insustentável agrava ainda mais este mau precedente. A única especialista externa que viu o relatório de investigação subjacente, Katie Moussouris, da Luta Security, descreveu sucintamente o processo completo da chamada "vulnerabilidade de jailbreak do modelo": investigadores da Amazon inseriram código aberto com vulnerabilidades conhecidas no modelo, pedindo-lhe que identificasse riscos de segurança; ambos os modelos recusaram. Os investigadores pediram então ao modelo que corrigisse o código problemático, e o modelo fê-lo.

Especialista em cibersegurança Katie Moussouris

Moussouris classificou o cenário de teste sob esta ordem como indução defensiva de prompts, e não como um verdadeiro jailbreak que contorna as proteções de segurança. Ela afirmou que esta capacidade é precisamente o valor central que a IA pode fornecer às equipas de cibersegurança. Segundo a única especialista que viu o documento de investigação completo, apenas "corrige este código" — cinco palavras — levou ao desligamento forçado do modelo de IA de segurança cibernética mais avançado do mercado.

O Departamento de Comércio dos EUA não divulgou publicamente a ordem enviada à Anthropic, nem revelou a base completa para a sua emissão. Não se encontra qualquer documento relevante nem no site do Departamento de Comércio, nem no Federal Register, nem noutros canais públicos. Esta notificação de controlo foi emitida apenas como uma carta privada do Bureau of Industry and Security (BIS) do Departamento de Comércio, e nem o Departamento nem a Anthropic tornaram o conteúdo público. A autoridade legal sob a qual o Departamento emitiu a ordem é igualmente pouco clara.

O Center for Strategic and International Studies (CSIS) especula que o Departamento possa ter recorrido ao poder de "notificação informada" ao abrigo do Export Control Reform Act de 2018 (ECRA) — onde o Departamento informa privadamente a empresa de que o produto deve doravante solicitar licença de exportação, com as regras aplicáveis ao abrigo do Export Administration Regulations (EAR). No entanto, o EAR não contém regulamentação de suporte para este poder legal, razão pela qual nunca tinha sido usado antes para impor medidas de controlo, e o Departamento também não emitiu regulamentação de implementação.

Um padrão regulatório impossível de cumprir

Na própria declaração de defesa da Anthropic, uma frase expõe diretamente a irracionalidade desta política. A empresa afirma que nenhum fabricante consegue atualmente resistir completamente a jailbreaks de modelos, e que eventualmente alguém encontrará formas genéricas de os contornar. Investigadores de segurança têm defendido este ponto há anos: nenhum modelo comercial em funcionamento pode ser provado como resistente a atacantes maliciosos direcionados. Modelos com API fechada podem ser alvo de jailbreak através da camada de prompts; modelos de peso aberto podem ser completamente alterados, o que elimina a lógica de recusa incorporada nos pesos. Se os pesos de um modelo vazarem (como já aconteceu várias vezes historicamente), os modelos fechados apresentarão exatamente as mesmas vulnerabilidades que os modelos abertos.

O padrão regulatório implícito do governo é completamente oposto a esta realidade objetiva. Se a exigência para um modelo ser lançado é que não exista nenhuma forma de desencadear funcionalidades perigosas, então este padrão é logicamente impossível de alcançar. Até os próprios engenheiros da Anthropic confirmam que esta condição é impossível de cumprir; a empresa naturalmente não pode oferecer uma garantia de inexistência de vulnerabilidades, tal como qualquer outro fabricante. Segundo a lógica da Anthropic, se toda a indústria adotar este padrão de revisão, a comercialização de modelos de IA de ponta pararia completamente. Um limiar que nenhum fabricante consegue atingir não é um padrão de segurança; é apenas um veto discricionário disfarçado de competência técnica especializada.

A via alternativa da vigilância de identidade universal

Suponhamos que a Anthropic quisesse cumprir rigorosamente a carta: fornecer serviços apenas a utilizadores nos EUA e proibir totalmente o acesso a estrangeiros. A única solução viável seria implementar a verificação completa de identidade para todos os utilizadores. A Anthropic teria de implementar um processo completo de Know Your Customer (KYC), forçando os utilizadores a carregar documentos de identificação e comprovativos de residência, tão complicado como abrir uma conta de corretagem. Com este mecanismo, a plataforma poderia dividir o acesso por nacionalidade (embora os funcionários estrangeiros da própria empresa continuassem impedidos de usar o modelo). Sem a verificação de identidade, é impossível isolar o acesso de estrangeiros ao modelo Fable 5.

Já há relatos de que a Anthropic está a preparar um sistema de verificação de identidade dos utilizadores para cumprir os requisitos de controlo, como evidenciado por ficheiros de código vazados. A empresa está a construir este sistema de acesso com características de vigilância, mas deveria parar imediatamente este avanço.

Os países ocidentais estão a construir infraestruturas de vigilância.

Os países ocidentais já estão a implementar este sistema de verificação de identidade e vigilância. O Online Safety Act do Reino Unido entrou em vigor em julho de 2025, exigindo que a Ofcom implemente o que chama de "mecanismos de verificação de idade de alta fiabilidade". Os métodos de verificação aprovados incluem reconhecimento de documentos de identificação, estimativa de idade facial e verificação bancária aberta (onde os bancos confirmam a idade do utilizador com base nos dados da conta, sem divulgar dados financeiros subjacentes). Cerca de 19 estados dos EUA aprovaram leis semelhantes de controlo de acesso à identidade, muitas das quais estão a ser contestadas judicialmente com base na Primeira Emenda. A Electronic Frontier Foundation (EFF) sempre se opôs a este tipo de controlo, alertando que a autenticação obrigatória cria um honeypot de dados altamente sensíveis e acaba completamente com o anonimato online.

Se o mecanismo de verificação de identidade KYC for usado para controlar o acesso a grandes modelos de IA, todos estes danos serão transferidos para a IA — e a IA é precisamente a tecnologia mais capaz de explorar e utilizar os dados acumulados. Nenhum laboratório de IA de ponta deve impor a autenticação nominal obrigatória, e o governo não deve forçar as empresas a fazê-lo. A Internet deve permanecer aberta e livre, e os benefícios do conhecimento e do poder computacional da IA devem estar disponíveis para todos.

O impasse regulatório trazido pelos modelos de código aberto

Esta abordagem de controlo de exportação é, em essência, contraproducente, devido ao ecossistema de pesos de código aberto. A tecnologia de IA de ponta não é exclusiva de algumas empresas dos EUA. Uma carta aberta liderada por Alex Stamos e assinada por mais de uma centena de líderes de cibersegurança (incluindo nomes como Bruce Schneier, Casey Ellis, Paul Vixie) afirma claramente: Os modelos de pesos abertos chineses estão apenas a meses, não anos, de distância dos sistemas de topo dos EUA, e isto apenas considerando projetos já publicamente divulgados.

Se o governo dos EUA, através do veto de controlo de exportação, limitar os principais laboratórios americanos de lançar os seus modelos mais fortes, a investigação em IA não parará; apenas se deslocará para áreas fora do alcance do controlo: projetos governamentais secretos, laboratórios estrangeiros e o ecossistema de pesos abertos. Os modelos de código aberto, atualmente apenas alguns meses atrás, rapidamente eliminarão a diferença se o padrão de referência parar de evoluir. Se o lançamento de modelos de topo for restringido por muito tempo, dentro de um ou dois anos, o modelo mais forte que um indivíduo ou empresa comum pode executar localmente será provavelmente um projeto de pesos abertos fora dos EUA; e as salvaguardas de segurança incorporadas nesses modelos serão ainda mais fracas do que as do produto que o governo dos EUA forçou a retirar.

O que fará então o governo dos EUA? Um modelo já amplamente espelhado em milhares de discos rígidos e centenas de redes de partilha de ficheiros não pode ser "recolhido". O governo poderá tentar proibir a publicação pública de ficheiros de pesos abertos, mas esta política entraria diretamente em conflito com a Constituição dos EUA.

Os EUA já passaram por este tipo de dilema regulatório e acabaram por perder. Nos anos 90, o governo dos EUA colocou a criptografia de alta intensidade na Lista de Munições dos EUA, tratando o software de criptografia como uma arma ao abrigo do International Traffic in Arms Regulations (ITAR), colocando programas de criptografia na mesma categoria que sistemas de mira laser e armas de feixe de partículas. Durante três anos, o governo federal investigou Phil Zimmermann por causa do seu software de criptografia PGP (Pretty Good Privacy), que se espalhou globalmente, considerando que o upload do código para a Internet equivalia a exportar armas. Em 1996, as autoridades federais retiraram todas as acusações sem apresentar qualquer acusação formal.

O fundador da tecnologia de criptografia PGP, Phil Zimmermann

A resposta de Zimmermann tornou-se um evento marcante da época. Ele publicou o código fonte completo do PGP como um livro de capa dura através da MIT Press, argumentando que o código impresso era claramente discurso protegido, mesmo que o mesmo código em formato eletrónico fosse considerado uma munição controlada. Ativistas de direitos tecnológicos adotaram a mesma abordagem, imprimindo o algoritmo RSA encurtado escrito pelo criptógrafo (e futuro participante do Bitcoin) Adam Back em camisetas, com um aviso — a própria camiseta era uma munição.

Os tribunais aceitaram esta lógica legal. Nos casos Bernstein e Junger, juízes federais decidiram que o código fonte é discurso protegido pela Primeira Emenda da Constituição dos EUA. Em 1996, o governo dos EUA transferiu a criptografia da lista de munições para a supervisão do Departamento de Comércio, aliviando significativamente o controlo, abrindo caminho para o desenvolvimento próspero da Internet atual.

Moussouris, que mais tarde promoveu a inclusão de uma isenção para tecnologia de defesa de segurança no Acordo de Wassenaar, também recorreu a esta história em resposta: os pesos dos modelos são, no fundo, uma sequência de números; publicar pesos abertamente é expressão de discurso. Se o governo proibir massivamente modelos de código aberto, desencadeará uma batalha judicial intergeracional sobre a Primeira Emenda; e o governo está numa posição naturalmente desvantajosa — os EUA já reconheceram que capacidades tecnológicas semelhantes circulam amplamente no estrangeiro.

Portanto, esta abordagem de controlo de exportação falha em dois aspetos. Primeiro, não consegue conter concorrentes estrangeiros: instituições estrangeiras têm os seus próprios grandes modelos desenvolvidos; segundo o site de tecnologia Semafor, a Casa Branca suspeita que um grupo ligado à China já tenha obtido capacidades relacionadas com o Mythos; segundo, a via de IA de ponta nos EUA será entregue a modelos de código aberto e concorrentes estrangeiros , sobre os quais os EUA não têm meios legais de controlo.

A Anthropic punida pela sua honestidade

É notável que a Anthropic tenha divulgado informações de forma transparente. A empresa admitiu que não existem mecanismos de segurança perfeitos; realizou milhares de horas de testes de red teaming com os governos dos EUA e do Reino Unido antes do lançamento dos produtos; divulgou proativamente as limitações do seu próprio sistema de segurança. No entanto, esta honestidade tornou-se a base para o governo a punir. Se uma empresa reduzisse os testes e se mantivesse em silêncio sobre os riscos, não se tornaria alvo regulatório. Quando a divulgação honesta de riscos potenciais desencadeia sanções regulatórias, toda a indústria é incentivada a divulgar menos ou nada.

Os profissionais de cibersegurança também apontam a inversão desta lógica. Moussouris e os especialistas signatários afirmam que a remoção forçada de modelos só prejudicará os profissionais de segurança — que usam estas ferramentas para descobrir e corrigir vulnerabilidades antes de os atacantes as explorarem — enquanto os atacantes maliciosos não são restringidos. As capacidades que o governo teme são exatamente as ferramentas de que os defensores dependem; são da mesma origem e não podem ser removidas seletivamente.

Argumentos a favor da ordem de controlo

Objetivamente, alguns relatórios mostram que as preocupações do governo não são infundadas. No final de junho, o senador democrata da Virgínia, Mark Warner, citou no Senado o testemunho do diretor da Agência de Segurança Nacional dos EUA, Joshua Rudd: num exercício autorizado de red teaming, o modelo Mythos quase quebrou todos os sistemas classificados da agência em poucas horas (embora um artigo da The Economist tenha posteriormente suavizado esta afirmação). Além disso, o Mythos foi o primeiro grande modelo a passar todos os testes de cibersegurança do Instituto de Segurança de IA do Reino Unido.

O modelo possui, de facto, capacidades técnicas muito fortes, o que é objetivo. Mas isso apenas mostra que é necessário um processo regulatório rigoroso e padronizado, não uma carta privada numa sexta-feira à noite sem conclusões completas de investigação.

Além disso, o Mythos nunca foi aberto a qualquer parceiro sem uma rigorosa verificação de antecedentes. O Fable, retirado globalmente, é a versão para consumidores comuns, cujas salvaguardas de segurança redirecionam pedidos sensíveis relacionados com cibersegurança e biossegurança para o modelo mais antigo Opus 4.8. Uma versão civil com mecanismos de proteção foi retirada globalmente devido a uma demonstração de prompt defensivo; enquanto a versão profissional, de risco realmente mais elevado, nunca foi divulgada publicamente. Esta abordagem mostra que o processo regulatório confunde "capacidade técnica" com "implementação pública".

Opus 4.8: O último modelo conforme?

Seguindo esta lógica regulatória, o resultado não é animador. Se o Fable já não cumpre os requisitos, qualquer modelo mais potente no futuro também não passará na revisão — de acordo com os atuais critérios do governo, quanto mais potente, maior o risco potencial. Não existem versões como Fable 5.1 ou Fable 5.2 que possam melhorar a resistência a ataques sob o padrão impossível de "zero vulnerabilidades de jailbreak".

Após a ordem do Departamento de Comércio, apenas o Claude Opus 4.8, o modelo mais forte, permanece em funcionamento normal, tornando-se o teto de desempenho legalmente acessível aos cidadãos dos EUA. A via legal para o lançamento de novas tecnologias de ponta foi fechada, enquanto o exterior e os canais não regulamentados continuam abertos.

A situação atual é uma perda para todos: o lançamento de modelos nacionais de ponta está congelado; um sistema de vigilância de identidade universal está a ser construído para cumprir o controlo; a via de IA de topo está a ser entregue a modelos de pesos abertos que os EUA não têm poder para regular e a concorrentes estrangeiros. Tudo isto poderia ter sido evitado, e a solução é exatamente o mecanismo regulatório que a própria Anthropic defende: se o governo quiser proibir um modelo com riscos de segurança reais, deve basear-se num processo transparente e legal, divulgar as conclusões técnicas completas da investigação, e as empresas devem ter o direito de recorrer e contestar. O limiar regulatório deve focar-se nos novos incrementos de capacidades perigosas do modelo (ou seja, novas funcionalidades de alto risco em relação às tecnologias públicas existentes), e não na fantasia governamental de "risco residual zero".

Se for realmente necessário estabelecer um limiar de acesso, o controlo deve visar as próprias capacidades técnicas, e não a verificação da identidade dos utilizadores. Um sistema regulatório que só pode ser implementado através da recolha de impressões digitais de identidade de todos os utilizadores é usar o método de vigilância mais extremo para resolver um único risco específico.

Ao nível do mercado de capitais, a revogação da ordem é igualmente justificada, e o seu impacto vai muito além da Anthropic. As "Sete Magníficas" ações tecnológicas dos EUA representam atualmente cerca de um terço da capitalização total do índice S&P 500, e cerca de 42% de todos os ganhos do índice em 2025 vieram destas sete empresas. A capitalização de mercado da Nvidia ultrapassou os 4 biliões de dólares em julho de 2025 e atingiu os 5 biliões em outubro, representando mais de 7% da capitalização total do índice.

As quatro principais empresas de cloud divulgaram despesas de capital de cerca de 725 mil milhões de dólares para 2026, um aumento de 77% face aos 410 mil milhões do ano anterior; a Goldman Sachs prevê que as despesas de capital globais das empresas de cloud atinjam os 5,3 biliões de dólares até 2030. O investimento relacionado com IA já teve um impacto profundo na macroeconomia: diferentes estimativas variam, mas a Goldman Sachs calcula que o investimento em IA represente cerca de 0,8% do PIB dos EUA, e estimativas mais otimistas acreditam que, no início de 2026, o crescimento económico dos EUA será principalmente impulsionado pela IA.

Todo este investimento maciço e expectativas de crescimento do setor baseiam-se num pressuposto central: os modelos de ponta continuarão a evoluir e a ser implementados junto dos clientes, gerando receitas suficientes para cobrir o enorme investimento em infraestruturas. Este pressuposto está agora em risco. A OpenAI prometeu investir cerca de 1,4 biliões de dólares em oito anos, mas as suas receitas atuais são apenas de cerca de 13 mil milhões (Sam Altman não reconhece o valor de 13 mil milhões, afirmando que as receitas reais são muito superiores). As empresas aumentaram massivamente o investimento em infraestruturas antecipadamente, mas os retornos da IA ainda não se refletem plenamente nos dados macroeconómicos. Os investidores apostam em valores futuros a longo prazo, apostando que estes sistemas de IA serão comercializados em grande escala no futuro.

O mercado de ações dos EUA está fortemente ligado à narrativa de crescimento da IA; se o ritmo de iteração e implementação de modelos de ponta abrandar (ou mesmo parar), as carteiras de investimento globais sofrerão.

A ordem de retirada do Fable acrescenta uma enorme incerteza a toda a indústria: o governo dos EUA passará a normalizar a limitação do lançamento de grandes modelos? A lógica anterior é suficiente para mostrar que o controlo de retirada normalizado é muito provável. Se isso acontecer, a lógica de crescimento que sustenta os 725 mil milhões de dólares em despesas anuais de capital ruirá completamente, e toda a cadeia industrial a montante e a jusante será afetada em cadeia:

• A memória de alta largura de banda está em oferta insuficiente, com encomendas para 2026 já preenchidas; os preços dos DRAM subiram mais de 50% num único trimestre, impulsionando a SK Hynix para uma capitalização de mercado superior a 1 bilião de dólares;

• Expansão em larga escala da infraestrutura elétrica para suportar a computação, com empresas de cloud a assinar até contratos com centrais nucleares dedicadas para garantir o fornecimento de energia;

• A Nvidia, a OpenAI, a Oracle, a CoreWeave e a Microsoft formaram um ecossistema de financiamento cíclico.

Centros de dados que custaram 200 mil milhões de dólares a construir, se o governo proibir os modelos de IA que os acompanham de fornecer serviços ao público, não gerarão qualquer retorno sobre o investimento. Além disso, com o mercado de ações altamente dependente da linha principal de crescimento da IA, qualquer abrandamento ou retrocesso no desenvolvimento da IA de ponta causará perdas nos ativos dos investidores globais.

Mais de cem profissionais de cibersegurança de topo nos EUA apelam conjuntamente ao governo para revogar a ordem. A Anthropic apresentou confidencialmente um pedido de IPO este mês, com uma avaliação de mercado de quase 965 mil milhões de dólares; agora, o produto principal desta empresa pode ser totalmente desativado com uma única notificação tardia de uma única agência, sem qualquer via de recurso eficaz para a empresa.

Este modelo de regulação da IA deve ser imediatamente abandonado, antes que se solidifique como regra regulatória de longo prazo para a indústria de IA dos EUA. Se este mecanismo se tornar um quadro de governação normalizado, a Anthropic, a investigação em IA em toda a indústria e a liderança tecnológica global dos EUA sofrerão graves danos.