Futuros
Aceda a centenas de contratos perpétuos
CFD
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
CFD
Derivativos de CFD sobre ações
Ações dos EUA
Aceder a ações e ETF reais dos EUA
Ações de Hong Kong
Negociar ações de qualidade cotadas em Hong Kong
Ações coreanas
SK Hynix
Negoceie ações coreanas reais e invista em ativos populares
Futuros de ações
Alta alavancagem, negociação 24/7
Ações tokenizadas
Garantido por ativos de ações reais
IPO Access
Desbloquear acesso completo a IPO de ações globais
GUSD
3.8%
Cunhe GUSD para rendimentos de RWA do Tesouro
Atividades de ações
Negociar ações populares e desbloquear airdrops generosos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Centro de Património VIP
Aumento de património premium
Gate Wealth
Assuma o controle do seu futuro financeiro
Fundo Quant
Estratégias quant de topo
Staking
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem inteligente
Alavancagem sem liquidação
GUSD
3.8%
Cunhe GUSD para rendimentos de RWA do Tesouro
Promoções
Centro de atividades
Participe de atividades para recompensas
Referência
200 USDT
Convide amigos para recompensas de ref.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Announcements
Atualizações na plataforma em tempo real
Blog da Gate
Artigos da indústria cripto
Serviços VIP
Enormes descontos nas taxas
Gestão de ativos
Solução integral para a gestão de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicações Gate
Transferência Bancária OTC
Deposite e levante moeda fiduciária
Programa de corretora
Mecanismo generoso de reembolso de API
AI
Gate AI
O seu parceiro de IA conversacional tudo-em-um
Gate AI Bot
Utilize o Gate AI diretamente na sua aplicação social
GateClaw
Gate Lagosta Azul, pronto a usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
Mais de 10 mil competências
Do escritório à negociação, uma biblioteca de competências tudo-em-um torna a IA ainda mais útil
IOSG: Porque é que as pessoas de Wall Street estão a dizer “não” ao ChatGPT e ao Claude?
Por que é preciso IA privada
A 1 de julho, o CEO da Palantir, Alex Karp, deu uma entrevista de 20 minutos na CNBC, que algumas media descreveram como um “colapso mental”. Segundo Karp, as empresas estão a pagar um prémio em tokens aos laboratórios de ponta, ao mesmo tempo que veem o seu IP a escoar para os fornecedores de modelos. Ele chama a isto a transferência de alpha, que está a acontecer ao nível da arquitetura: cada pedido enviado para um modelo de código fechado chega em texto puro aos servidores do prestador do serviço. Poucos dias antes de o programa ir ao ar, a Palantir tinha acabado de anunciar uma parceria com a NVIDIA, para executar o modelo aberto Nemotron num ambiente com controlo do cliente, e ainda acompanhou com uma declaração de soberania de nove pontos sobre IA. Depois de a entrevista da CNBC ir ao ar, as ações da PLTR dispararam 8%.
Nos últimos vinte anos, as empresas adotaram software na nuvem com base numa confiança a nível de protocolos, e funcionou. Cada fornecedor de SaaS só vê fatias dos dados da empresa, e a maioria não tem grande incentivo para devolver dados dos clientes ao produto central. A Salesforce vê canais de vendas, a Workday vê recursos humanos, a Jira vê desenvolvimento e iteração, e a AWS fornece a base de armazenamento e computação. Porém hoje, os fluxos de trabalho de IA defendem o upload de tudo de uma vez, juntamente com contexto estruturado que liga cada departamento, para maximizar a produtividade. Deixando de lado a boa vontade, os fornecedores a montante podem agora usar esses dados para criar novas funcionalidades, em vez de deixá-los a enferrujar nos servidores.
Ninguém está a abrandar. A receita anualizada da Anthropic em maio atingiu 47 mil milhões de dólares, muito acima dos 9 mil milhões de dólares no fim de 2025; a OpenAI, por sua vez, ultrapassou em fevereiro os 900 milhões de utilizadores ativos semanais. As duas empresas concluíram uma nova ronda de financiamento esta primavera, com avaliações a aproximar-se dos 1 bilião de dólares, e espera-se que conduzam a IPOs com valor de mercado ainda mais alto. Acusações durante anos sobre privacidade e IP não fizeram as duas perderem nem um pouco de tração.
Algumas empresas já tomaram medidas. Em fevereiro de 2023, dentro de menos de três meses após o lançamento do ChatGPT, os principais bancos de Wall Street já limitaram a sua utilização. Em maio de 2023, quando engenheiros da Samsung vazaram código-fonte de chips para o ChatGPT, a empresa bloqueou por completo a IA generativa em toda a rede. Como resposta, em agosto desse ano, a OpenAI lançou o ChatGPT Enterprise, prometendo não usar dados comerciais para treino, além de um protocolo de retenção zero de dados (zero-data-retention, ZDR); este último passou depois a ser um requisito-padrão para compras empresariais.
Mas os contratos só prendem contas da empresa. A IBM descobriu que, até 2025, a Shadow AI (empregados alimentando dados da empresa em ferramentas de IA não aprovadas através de contas pessoais) já estava envolvida em um quinto dos incidentes de fuga de dados, e o uso intenso de Shadow AI adicionou em média mais 670 mil dólares ao custo da fuga. Numa investigação de 2025 da empresa de formação em segurança Anagram, quatro membros disseram que, para concluir tarefas mais rapidamente, estão dispostos a violar políticas de utilização de IA.
As empresas, pelo menos, podem pagar para encontrar uma saída: contratos ZDR, planos de serviço que não treinam, e, se você for um cliente do governo ou da Palantir, ainda há implementações soberanas. Já para pessoas como nós, utilizadores comuns, a privacidade em IA é importante ou não — isso ainda é motivo de debate, até que as intimações do tribunal apareçam à porta.
Um despacho judicial de maio de 2025 obrigou a OpenAI a reter mesmo conversas de consumo já apagadas pelos utilizadores; em novembro, o juiz ordenou também a entrega de 20 milhões de registos aos advogados do 《The New York Times》 para divulgação como material probatório. Seguiram-se processos criminais: os registos do ChatGPT de um arguido no caso de incêndio criminoso das Chamas de Palisades entraram como prova; num caso na Flórida com duplo homicídio, declarações juramentadas citaram perguntas do suspeito sobre como lidar com os cadáveres. Sam Altman também admitiu, numa entrevista em julho de 2025, que conversas do ChatGPT não estão protegidas por privilégio legal; no litígio, a OpenAI “poderá ser obrigada” a entregar os registos das conversas dos utilizadores.
O ponto não é apenas que criminosos é que precisam de conversas privadas. As conversas entre pessoas e IA ficam arquivadas, podendo ser convocadas e intimadas — uma área de vigilância que a maioria dos utilizadores nem sequer sabe que existe. Numa investigação de outubro de 2025 da Kolmogorov Law com 1000 utilizadores de IA nos EUA, 50% não sabiam que essas conversas podem ser intimadas; e dois terços acreditavam que estas conversas deveriam ter o mesmo nível de proteção de quando se consultam advogados ou médicos.
Modelos open source self-hosted ou executados em ambientes verificáveis estão a chegar rapidamente, mas os mais fortes ainda ficam cerca de 4 meses atrás dos modelos fechados de ponta em capacidades gerais. Isto coloca empresas e indivíduos a fazer tokenmaxxing num cruzamento: ou sacrificam meses de qualidade de modelo pela privacidade, ou continuam a enviar materiais sensíveis para os servidores da Anthropic, porque o concorrente é quem está a roubar a vantagem de produtividade.
Atualmente, não há uma solução perfeita no mercado. Um relatório compila os esforços para reduzir a diferença entre as partes e tenta avaliar o quanto falta para a inteligência de ponta sob privacidade chegar às empresas e aos utilizadores comuns.
Como se implementa privacidade atualmente
IA privada não é um único projeto, mas cada mecanismo disponível no mercado lida com o mesmo evento: um prompt sai do seu dispositivo, atravessa a rede, chega à máquina que executa o modelo e, depois, regressa uma resposta. A diferença entre mecanismos está em que ponto do trajeto existe texto puro, quem consegue lê-lo e com que se consegue verificar a privacidade da resposta.
Privacidade a nível de protocolo
Nesta camada, além de si, haverá alguém a ler o seu prompt em texto puro; o que acontece a seguir depende apenas de uma promessa.
· Retenção zero contratual é a solução empresarial. O prestador sabe quem é você, processa o seu prompt e promete não reter; a execução depende de contrato e reputação.
· Agentes anónimos apagam quem é você, mas não cifram o que você diz. O prestador a jusante continua a processar o texto puro conforme as suas políticas. Os termos variam entre empresas. Por exemplo, agentes como Duck.ai (produto de chatbot da DuckDuckGo) negociam um acordo de eliminação com o fornecedor do modelo. A Venice, por outro lado, faz o utilizador assumir que o prestador guarda tudo; mas ambos os lados não têm como verificar.
Cada segmento do caminho entre máquina e máquina corre em TLS. Ele cifra apenas o “tubo”; a parte que recebe consegue ler toda a informação. Os relays normalmente usam Oblivious HTTP (RFC 9458) para separar o direito de saber, com um princípio semelhante ao de entregar uma mensagem a um amigo. O amigo sabe quem entregou, mas não consegue ler o conteúdo; o destinatário consegue ler o conteúdo, mas não sabe quem o escreveu. O OHTTP é um padrão IETF desde janeiro de 2024. Atualmente, muitas empresas já executam tráfego de produção em relays OHTTP alugados a partir da Cloudflare e da Fastly.
Este é também o limite de privacidade ao aceder a modelos de código fechado. A razão é uma questão de aritmética. O custo de treinar uma vez um “flagship” hoje está na ordem de centenas de milhões ou mil milhões de dólares; e as avaliações de dezenas de milhares de milhões em que estes laboratórios apostam implicam exclusividade sobre os pesos do modelo. Por quanto tempo a diferença de capacidade do modelo se mantém, por quanto tempo a margem (premium) se mantém — por isso, os laboratórios guardam os ficheiros de pesos como se fossem segredo nacional.
A Meta já fez essa experiência. Em fevereiro de 2023, o LLaMA lançado inicialmente apenas para investigadores; mas em menos de uma semana, os pesos vazaram sob a forma de seed para o 4chan. Uma semana depois, o llama.cpp permitiu que o menor modelo 7B desse para responder localmente num MacBook; três dias depois, a Stanford afinou um assistente de conversação, Alpaca, no mesmo modelo, com menos de 600 dólares. Este vazamento reduziu o custo de execução do Llama ao valor da eletricidade: qualquer pessoa com o ficheiro consegue correr em casa. Em julho de 2023, a Meta abriu comercialmente o Llama 2 com licenciamento, com exclusões que representam 700 milhões de utilizadores ativos mensais. Os pesos correm — e o premium também corre.
Em teoria, os laboratórios de ponta podem fazer attestation (prova remota) para inferência em modelos de código fechado, mas attestation só prova qual o trecho de código que leu o prompt, não prova o que fez com ele. Para perceber se o servidor guardou dados, precisamos auditar o código do serviço (serving code) e refatorá-lo para o hash que o hardware reporta. Porém, ao entregar o serving code, o laboratório também entrega dicas de processamento em lote e caching que sustentam a margem de lucro. E essas dicas migrarão para cada geração futura de modelos. A Apple e a Meta conseguem fazer prova remota para o stack de serviços por trás do iPhone e do WhatsApp porque os seus lucros vêm de dispositivos e publicidade, e publicar o código do serviço quase não custa.
É por isso que os pesos do modelo flagship e o serving code não conseguem chegar às mãos de operadores externos. Sem operadores externos, não há attestation de terceiros; sem attestation, a privacidade verificável só existe por cima dos modelos open source.
Privacidade a nível de estrutura
Em cada um destes casos, em vez de promessas de confiança, usa-se prova baseada em hardware, criptografia ou física; mas cada abordagem exige um custo diferente para atualizar a privacidade, sendo a primeira restrição que só conseguem executar modelos open source.
· Computação confidencial com TEE (Trusted Execution Environment) coloca a inferência dentro de um enclave no hardware (um “cofre” selado no chip que nem o operador da máquina consegue abrir), que assina uma attestation indicando exatamente que modelo e que trecho de código foram executados.
· O prompt fica “selado” apenas no destino. No trajeto mediado por proxies, ainda existe um ator que lê texto puro; o que impede o proxy de registar ou vazar o conteúdo do percurso é só o protocolo.
· E2EE (encriptação ponta-a-ponta) fecha os relays legíveis. O dispositivo do utilizador usa chaves do enclave para cifrar o prompt; em cada salto intermediário, o que atravessa é apenas um envelope selado que só o enclave consegue abrir.
· A confiança recai no cliente. O código responsável por cifrar o prompt e validar a attestation também consegue revogar essa garantia. Por isso, uma E2EE verificável requer enclaves com prova e também precisa de código cliente aberto e reproduzível.
· Em comparação com o TEE, que é mais simples, o custo da E2EE é a carga de engenharia; isso atrasa a integração de funcionalidades. A E2EE transforma o proxy num mensageiro cego; por isso, qualquer funcionalidade que dependa de ler texto puro terá de ser reconstruída em torno das chaves do cliente, ou reconstruída apenas dentro do enclave.
· FHE (Fully Homomorphic Encryption, e variantes com MPC) elimina o lado confiável. O servidor faz cálculos sobre o texto cifrado numa caixa trancada que nunca consegue abrir; a chave só está nas suas mãos. O MPC (computação segura multiparte) divide o prompt em partes secretas para múltiplas partes — exceto se todos os participantes conspirarem, o resultado é equivalente.
· O custo é velocidade. O FHE nativo só faz adições e multiplicações; os passos não lineares necessários para fazer o transformer funcionar têm de ser reconstruídos a um custo elevado. O custo de inferência sobre texto cifrado é de 10 mil a 100 mil vezes o do texto puro. Em modelos pequenos, cada token pode levar de alguns segundos a alguns minutos; sem cifragem, basta milissegundos.
· Chips desenhados para operações criptográficas devem reduzir essa diferença, mas o primeiro protótipo só conclui um demo no início de 2026, e a versão comercial ainda levará alguns anos.
· Inferência local elimina diretamente este caminho. O modelo corre no seu próprio hardware: não há relay, não há servidor, não há prestador de serviço, nem necessidade de verificação.
· O custo óbvio é o dinheiro e as capacidades do modelo. O gpt-oss-120b pontua cerca de metade do GLM-5.2 no índice Artificial Analysis, mas tem 65GB de tamanho, mais do que a soma da memória de dois GPUs flagship comuns no mercado. O GLM-5.2 em precisão total só roda em nós de data center com 8 GPUs; só em GPUs são mais de 300 mil dólares.
Contudo, além destas limitações estruturais, o custo de colocar inferência dentro do enclave está a comprimir. Em inferência com uma única GPU, testes de benchmark do fornecedor de serviço cloud de enclaves, Phala, mostram que a perda de throughput no modo enclave é em média inferior a 7% no enclave; em modelos de grande porte, é quase zero, porque o principal custo é mover os dados para dentro do chip, não calculá-los ali. Em inferência multi-GPU, a nova geração de GPU NVIDIA Blackwell já suporta encriptação direta do tráfego entre chips; no antigo H100, para obter o mesmo efeito, é preciso contornar até ao “host” CPU com apenas um sétimo da largura de banda. Nos próprios benchmarks da NVIDIA em Blackwell, o modelo 397B com modo enclave tem perda de throughput inferior a 8%. Com esses avanços, a perda de desempenho da própria inferência privada já não é uma restrição decisiva.
De facto, o enclave em si quase não adiciona custo de execução extra aos operadores. Desde 2023, cada H100 vem com modo enclave; o custo extra vem da perda de throughput causada pela cifragem, não de adicionar mais chips. No Azure, o preço de aluguel do SKU confidencial H100 ainda é 8,90 dólares por hora; sem enclave é 6,98 dólares, o que equivale a um acréscimo de 27% sobre infraestruturas cloud tradicionais. Por outro lado, em operadores especializados como a Phala, o H100 no modo confidencial é alugado a partir de 3,80 dólares por hora — abaixo do intervalo de preço de 3,99 a 4,29 dólares para cartões Lambda comuns SXM. Em soluções de API gerida, a NEAR AI oferece um endpoint com attestation: 0,15 dólares por entrada em cada milhão de tokens e 0,55 dólares por saída, para gpt-oss-120b, alinhado com a Amazon Bedrock, Together e Groq em texto puro. Mesmo em modelos que exigem paralelismo de vários chips, a NEAR AI fixa o preço no GLM 5.2 exatamente igual ao Fireworks; e, no Kimi K2.6 maior, cobra 15% menos na entrada e 4% menos na saída.
Embora estes novos prestadores de serviço de inferência privada possam queimar lucros para ganhar quotas (o que faz sentido para qualquer empresa que queira crescer no mercado), a tendência estrutural é que o custo da privacidade está a cair tanto para consumidores quanto para operadores.
Como ganham os modelos open source?
Apesar de o overhead de desempenho estar a ser comprimido, ainda existe uma diferença a olho nu entre modelos de ponta e modelos open source SOTA. Para uma entidade que pretende maximizar a produtividade e ficar na frente, ainda precisa confiar que os laboratórios de ponta não furtam o seu IP.
A diferença ainda existe, mas em 30 de junho AIA Labs (da Bridgewater) e Thinking Machines apresentaram um caso: um modelo aberto afinado com anotações de especialistas que vence simultaneamente em precisão e custo um modelo de ponta.
No estudo, a equipa afinou o Qwen3-235B no Tinker (serviço de API gerido de afinação do Thinking Machines). Primeiro, compraram anotações do fornecedor, treinaram uma primeira ronda com esses dados e, depois, entregaram amostras discordantes aos investidores da empresa para reanotação. O treino correu com aprendizagem por reforço (GRPO), com mais três modificações: round-robin batching (um batch por vez para cada tarefa), loss CISPO (limita o quanto uma resposta individual consegue “puxar” o modelo para cima ou para baixo), e on-policy distillation (ancorando o checkpoint ótimo atual para garantir que o modelo não aprenda cópias mais fracas).
As tarefas vieram do fluxo de trabalho diário dos investidores: se uma notícia é importante para profissionais de investimento ao nível C-suite; se um documento do banco central sugere a direção de futuras alterações de taxas de juro; e de onde começa uma estrutura-modelo numa documentação ou numa mensagem de email. A pontuação vem de um conjunto de teste independente. Os modelos de ponta, com prompts simples, atingiram em média cerca de 50%; com prompts de especialistas, ainda só chegaram a 78,2%, abaixo do limiar de 80% definido pelos investidores. O Qwen afinado conseguiu 84,7%. De acordo com o critério do texto original, isso equivale a cometer 29,8% menos erros do que o melhor modelo de ponta, e o custo de inferência é 13,8 vezes mais baixo.
Este caso prova que modelos open source podem vencer em precisão e custo, mas o processo de treino ainda não é privado. As anotações de especialistas usadas no processo são dados privados da Bridgewater; passam por um serviço de terceiros, Tinker; e caem no mesmo nível de confiança do protocolo ZDR. O fundo também alugou capacidade de computação: todo o treino correu em máquinas que ele nunca controlou. Para obter a mesma receita sem assumir essa confiança, as opções de hoje são poucas. Alugar um cluster de GPU “nu”: o processo de treino é legível para o operador da cloud. Comprar o cluster resolve o problema de alojamento de dados, mas o custo dispara.
A rota com attestation chegou agora. Em março, a Workshop Labs e a Tinfoil lançaram o Silo: uma stack de pós-treino que corre dentro do enclave da Tinfoil, num único nó de 8 GPUs, e cuja chave só é controlada pelo cliente. O artigo indica que o custo do enclave é: treinar por duas horas custa mais 11 minutos, e essa stack consegue acomodar um modelo com um trilião de parâmetros (Kimi K2 Thinking) congelando os pesos base e afinando apenas pequenos adapters. A dificuldade está em que a aprendizagem por reforço precisa de mover dados entre componentes; e mover dados é exatamente onde o custo do enclave está.
Menos de um mês após o lançamento do Silo, a Workshop Labs foi adquirida pela Thinking Machines. Dentro do enclave, os componentes necessários para executar um ciclo RL tipo Bridgewater agora pertencem todos à mesma empresa.
Privacidade na camada de harness
Há ainda uma questão que atravessa todos os mecanismos de inferência privada. Estes mecanismos tratam, cada um, do trajeto do prompt até ao modelo; mas cada chamada de ferramenta externa iniciada por um agente abre um caminho que a camada de inferência não consegue alcançar. A recente tendência de harness engineering multiplica o problema: cada ferramenta, base de memória e fonte de dados anexada ao redor do modelo é mais um destino que tem de ler o “seu” fragmento do fluxo de trabalho em texto puro. O servidor de calendário lê os compromissos, o servidor de base de dados lê as queries. Um agente completamente local, se quiser obter qualquer coisa fora do conjunto de treino, continua a precisar de enviar termos de pesquisa em texto puro para o motor de busca; se o servidor não consegue ler texto puro, não consegue responder.
A solução dominante continua a assumir que tudo fica no protocolo. Empresas como Runlayer e MintMCP usam um gateway central para controlar todo o tráfego de ferramentas: antes de um pedido sair, o gateway oculta informações de identidade pessoal (PII). O gateway também decide quais servidores podem receber tráfego, bloqueando os que não foram aprovados e registando destino e conteúdo de cada chamada para fins de auditoria. Mesmo com esse controlo a ter auditoria independente (SOC 2), o servidor de ferramentas ainda precisa de ler consultas em texto puro para responder; se guarda cópias ou não depende dos próprios termos de retenção, e ainda tem de somar cada ferramenta no harness. Além disso, o próprio gateway é mais uma leitura confiável extra no caminho — não uma validação.
As soluções a nível estrutural atingem essa camada intermédia. Por exemplo, a Phala aloja o MCP server diretamente num TEE: cobrindo carteira, execução de código e fontes de dados dentro do enclave. O utilizador consegue verificar a declaração de privacidade com uma attestation, em vez de confiar no operador. Contudo, as ferramentas alojadas num TEE ainda acabam por ter de entregar a query em texto puro ao fornecedor do serviço; o enclave sela apenas o mensageiro, não o destino.
Apenas poucos destinos aprenderam a responder sem ler, mas isso aplica-se apenas a consultas estruturadas. A Apple fornece pesquisa privada de informações para o iPhone: para comparar números de chamadas com uma base anti-spam, sem expor o número; a Microsoft usou o mesmo esquema para palavras-passe no navegador Edge. A Queryable Encryption da MongoDB permite cifrar os campos antes de saírem do cliente, para que o servidor possa realizar correspondência de equivalência e intervalos apenas com base em texto cifrado.
Mas para pesquisa aberta, as melhores respostas de hoje ainda ficam na fronteira da confiança; a busca encriptada verificável ainda não saiu do laboratório. A Brave promete retenção zero de dados no seu índice de 40 mil milhões de páginas (não o da Google), mas ainda se baseia no protocolo. A Exa construiu um índice neural: transforma palavras-chave do utilizador em embeddings semânticos e ordena resultados por correspondência semântica; mas essa etapa de embedding ainda é computada em texto puro nos servidores da Exa. O artigo Tiptoe da MIT, em 2023, conseguiu ordenar em 360 milhões de páginas sem expor queries, mas cada pesquisa consome muita capacidade de computação de servidor, e a qualidade de ordenação fica abaixo da busca não encriptada. O artigo Wally da Apple em 2024 esconde a query real dentro de uma nuvem de iscas, reduzindo o custo de comunicação em até 31 vezes; mas a matemática só fica barata com milhões de queries em simultâneo — e nenhum sistema de pesquisa privada tem hoje esse escala.
A busca encriptada consegue-se, mas ainda não é viável em desempenho e preço para uso comercial.
Perspetivas
A procura por IA privada está a crescer. A Venice AI recentemente ultrapassou 3,5 milhões de utilizadores registados e um throughput mensal de 13 biliões de tokens, e logo depois concluiu uma ronda equity de Série A de 100 milhões de dólares (10 milhões de dólares). A Proton é o seu concorrente direto: o produto de chat Lumo atingiu mais de 10 milhões de utilizadores em um ano. Em infraestrutura, a Phala atualmente já roda em média 2 a 3 mil milhões de tokens por dia no OpenRouter. A Duck.ai faz o roteamento de gpt-oss-120b e Gemma para enclaves da Tinfoil, fornecendo privacidade verificável para além dos agentes do utilizador. Isto ainda não inclui self-hosting; provavelmente é o maior canal de inferência privada, afinal o modelo corre no hardware próprio e não deixa rastos de utilização.
Contudo, na maré principal de IA, a IA privada é apenas uma fração muito pequena — e essa diferença só se fecha quando os laboratórios de ponta decidem satisfazer essa necessidade. Em maio, os produtos da Google processaram 32 milhões de biliões de tokens; por essa conta, o throughput mensal da Venice equivale a cerca de 18 minutos da Google. Em novembro do ano passado, a Google lançou Private AI Compute (PAC), colocando algumas funcionalidades impulsionadas pela Gemini em um enclave TPU selado isolado do próprio sistema da empresa, com auditoria independente pela NCC Group. O problema é que a PAC cobre apenas funções de nicho em Pixel, como recomendações personalizadas e resumos de gravação, não cobrindo aplicações Gemini usadas por centenas de milhões de pessoas. A Google consegue submeter o desenho a auditoria porque essas funções monetizam via dispositivos e publicidade, e não via venda de tokens.
As soluções de hospedagem atuais também não são perfeitas. Para utilizadores que querem a máxima privacidade via E2EE, é preciso esperar que funcionalidades novas sejam reconstruídas do lado onde o prestador não as consegue ler. O pós-treino com preço razoável: para obter os melhores resultados de afinação ainda é preciso confiar em fornecedores terceirizados. Self-hosting elimina de uma vez todos os prestadores, mas correr no local o melhor modelo open source pode custar mais do que a casa onde ele corre.
Com defeitos à parte, a IA privada já é uma opção real e com custo suportável, e as lacunas estão a reduzir-se. Para consumidores comuns, em Lumo e Venice, chats privados de modelos abertos com promessa de sem logs custam nada; as subscrições de 18 a 20 dólares da Venice ou da Tinfoil colocam os mesmos chats em enclave, sem ser mais caro do que uma subscrição do ChatGPT. Para fluxos de trabalho empresariais, endpoints com attestation já são ainda mais baratos do que rotas em texto puro. Endpoints como a E2EE API da NEAR já conseguem levar contexto encriptado para dentro do enclave; memória, uploads de ficheiros e instruções personalizadas já conseguem funcionar em cima de E2EE. Quanto ao pós-treino com attestation, a próxima Vera Rubin NVL72 da NVIDIA vai expandir a computação confidencial do nó de 8 chips do Blackwell para um rack com 72 chips, tornando o ciclo RL de ponta mais viável sem expor IP.
Ainda assim, o valor decisivo é capturado para além desses níveis de compressão de preços. A privacidade é quase gratuita onde já existe, mas ainda não cobre fluxos de trabalho agentic mainstream. Operadores focados em alugar enclaves têm nas mãos apenas uma chave num switch em chips padrão, não uma muralha (moat). E os gateways a nível de protocolo competem no mesmo campo que middlewares tradicionais. A posição defensável é a outra metade que esta avaliação ainda não resolveu: ciclos de treino enclausurados, chamadas de ferramentas fechadas de ponta a ponta, e índices de pesquisa cujas entradas não se veem. Quem conseguir fazer primeiro uma dessas peças vende algo que nenhuma guerra de preços consegue transformar em commodity. O capital que persegue IA privada deve comprar as lacunas — não aquele switch.
Então, confiar ou verificar? Para tarefas que exigem reexecução e re-agentes, escolha confiar, porque cada chamada de ferramenta entrega o texto puro a um destino que o enclave não consegue selar; e os modelos de ponta justificam os seus preços nesses ciclos. Quanto ao pensamento mais avançado que separa uma empresa de um rival, escolha verificar. Estratégia, planeamento, e julgamentos extraídos de anos de experiência profissional — exatamente aquela fatia de alpha em meio à controvérsia. O caminho à frente é ajustar modelos open source dentro dos limites sob controlo da própria empresa, com essas perceções proprietárias. Na área em que a alpha da empresa existe, os modelos open source afinados por especialistas já derrotaram ao mesmo tempo modelos de ponta em precisão e custo; e a infraestrutura para o construir em ambientes de privacidade está a chegar um nó de cada vez.
Clique para saber mais sobre a equipa recrutando da律动 BlockBeats
Bem-vindo a juntar-se à comunidade oficial da律动 BlockBeats:
Telegram grupo de subscrição: https://t.me/theblockbeats
Telegram grupo de discussão: https://t.me/BlockBeats_App
Conta oficial no Twitter: https://twitter.com/BlockBeatsAsia