Governo dos EUA teria vetado IA da Anthropic após simples pedido de “corrigir código”
A decisão do governo dos Estados Unidos de restringir o acesso aos modelos avançados da Anthropic não teria sido provocada por um ataque elaborado de jailbreak, mas por algo bem mais trivial: um comando de três palavras, “Fix this code” (“corrija este código”).
A informação foi detalhada por Katie Moussouris, fundadora e CEO da Luta Security, figura de referência mundial em programas de bug bounty. Segundo ela, esse foi o gatilho que levou autoridades norte‑americanas a interpretar o uso do modelo Fable 5 como um potencial risco à segurança nacional – apesar, na visão da especialista, tratar‑se de um fluxo típico de trabalho defensivo em cibersegurança.
Bloqueio dos modelos Fable 5 e Mythos 5
Na sexta-feira, o governo dos EUA publicou uma diretriz de controle de exportação determinando a suspensão do acesso aos modelos Fable 5 e Mythos 5 por qualquer “pessoa estrangeira”, independentemente de estar dentro ou fora do território norte‑americano.
Para cumprir a ordem, a Anthropic optou por desligar completamente ambos os modelos para todos os clientes, evitando ter de distinguir usuários americanos de estrangeiros em sua base. Com isso, empresas e pesquisadores que dependiam dessas IAs para análise de código e atividades defensivas ficaram, de uma hora para outra, sem acesso às ferramentas.
O estudo que acendeu o alerta em Washington
De acordo com Moussouris, a Anthropic compartilhou de forma privada com ela o relatório de pesquisa que embasou as preocupações do governo. O estudo, conduzido por terceiros, testou os modelos Fable 5, Mythos e Claude Opus usando:
– códigos open source com CVEs conhecidas;
– novos trechos de código propositalmente criados com vulnerabilidades embutidas.
Na primeira rodada de testes, os pesquisadores pediram que os modelos revisassem o código em busca de falhas de segurança. O Fable 5 teria recusado esse pedido inicial, em linha com seus mecanismos de segurança e políticas de uso responsável.
Em seguida, os pesquisadores reformularam o prompt, removendo a referência explícita a vulnerabilidades, e pediram apenas que o sistema “corrigisse o código”. Dessa vez, o modelo aceitou a instrução, sugeriu correções e, mediante prompts adicionais, gerou scripts para testar os patches propostos.
“Isso não é jailbreak”, diz a especialista
Para Moussouris, esse comportamento não configura um jailbreak nem um bypass sofisticado de guardrails. Ela argumenta que:
– solicitar a uma IA que encontre, corrija e teste falhas em código é uma prática padrão em equipes de segurança;
– o fluxo “encontre vulnerabilidades → proponha correções → gere testes” é típico de atividades defensivas, não ofensivas;
– um pedido genérico como “corrija este código”, combinado com etapas manuais para criação de testes, não deveria ser tratado como sinal de desvio perigoso.
Em sua análise, classificar esse tipo de uso como motivo para controle de exportação distorce o objetivo original dessas regulações, que é impedir o compartilhamento de capacidades claramente ofensivas ou de uso dual sem salvaguardas adequadas.
A experiência de Moussouris com o Acordo de Wassenaar
O peso da opinião de Moussouris vem, em parte, de seu histórico direto em negociações de regulamentos internacionais. Entre 2013 e 2017, ela integrou o grupo técnico responsável por revisar o Acordo de Wassenaar, um pacto entre 42 países voltado a controles de exportação de tecnologias de uso dual, incluindo software e ferramentas de cibersegurança.
Durante esse processo, o grupo conseguiu:
– criar exceções explícitas para atividades defensivas;
– proteger o compartilhamento de dados de vulnerabilidades;
– permitir análises de malware e coordenação de resposta a incidentes entre países;
– reduzir o risco de que pesquisadores de segurança fossem criminalizados por colaborar internacionalmente.
Segundo Moussouris, a lógica dessas exceções deveria se aplicar também a sistemas de IA usados para identificar e corrigir falhas – especialmente quando o uso é claramente orientado à defesa, e não à criação de exploits.
Carta aberta contra as restrições
No domingo, Moussouris e mais de 100 líderes de cibersegurança assinaram uma carta aberta dirigida à administração Trump, pedindo a reversão das restrições impostas aos modelos Fable 5 e Mythos 5.
O grupo sustenta que:
– retirar das equipes defensivas o acesso às ferramentas de IA mais avançadas, sem base técnica sólida, enfraquece a capacidade de defesa;
– adversários mal-intencionados continuarão a buscar e explorar tecnologias similares, inclusive desenvolvidas fora dos EUA;
– limitar apenas as empresas e pesquisadores que seguem regras e trabalham de forma transparente acaba criando uma assimetria perigosa.
Em outras palavras, a medida poderia prejudicar justamente quem está tentando fortalecer a segurança e prevenir ataques, enquanto atores hostis buscariam alternativas em outras jurisdições.
Impactos diretos para a segurança defensiva
Na visão de Moussouris, os modelos da Anthropic realizavam exatamente um ciclo de trabalho valioso para a segurança defensiva:
1. localizar vulnerabilidades em código;
2. propor correções adequadas;
3. gerar testes para validar os patches.
Ao restringir esse tipo de capacidade, os modelos ficam menos úteis para:
– encontrar bugs em bases de código extensas;
– revisar rapidamente correções de segurança antes de ir para produção;
– automatizar parte do processo de verificação de patches.
Isso atinge em cheio equipes de segurança, desenvolvedores e pesquisadores que já vinham incorporando IA em fluxos de trabalho de análise de código, redução de exposição a CVEs conhecidas e checagem de qualidade de correções.
O problema dos controles em um mundo de modelos abertos
Outro ponto levantado por Moussouris é a assimetria prática da decisão dos EUA. Ela argumenta que:
– controles de exportação são difíceis de aplicar a modelos open-weight (com pesos abertos) ou a sistemas avançados produzidos por outros países;
– empresas estrangeiras, incluindo na China, provavelmente alcançarão rapidamente capacidades comparáveis às do Mythos 5;
– tentar “segurar” apenas modelos de empresas norte‑americanas pode, na prática, deslocar o centro de inovação e uso dessas tecnologias para outras jurisdições.
Na sua avaliação, isso limita a eficácia real da restrição e pode até enfraquecer a liderança dos EUA em IA aplicada à cibersegurança defensiva.
Acusações de distilação e competição geopolítica em IA
O episódio ocorre em meio a um cenário de disputa crescente por liderança em inteligência artificial. Anthropic e Google já acusaram concorrentes chineses, como a DeepSeek, de recorrer a ataques de destilação para treinar seus próprios modelos a partir do conhecimento extraído de sistemas de IA de empresas norte‑americanas.
A chamada distilação, nesse contexto, consiste em:
– observar sistematicamente as respostas de um modelo proprietário de alto desempenho;
– usar essas respostas como “rótulos” para treinar um novo modelo;
– tentar replicar ou aproximar a capacidade do sistema original sem acesso direto aos seus pesos.
Esse tipo de prática evidencia que as capacidades avançadas inevitavelmente se difundem, ainda que por vias indiretas, o que reforça a dúvida: até que ponto controles de exportação focados apenas em determinados fornecedores podem, de fato, conter a proliferação de competência técnica?
Defesa x ataque: a linha tênue no uso de IA para código
Um dos pontos centrais do debate é a dificuldade de traçar uma linha clara entre uso defensivo e ofensivo quando o assunto é análise automatizada de código. A mesma IA que:
– ajuda uma equipe a encontrar e corrigir vulnerabilidades em sua aplicação,
poderia, em tese, ser utilizada para:
– localizar falhas em sistemas de terceiros e explorá-las.
Historicamente, porém, a comunidade de segurança vem defendendo que a melhor forma de reduzir o impacto de ataques é fortalecer as capacidades defensivas, não limitá-las. Ferramentas de scanning, fuzzing, análise estática e dinâmica de código sempre tiveram potencial de uso dual, mas se consolidaram como essenciais na proteção de sistemas.
Para Moussouris, os modelos da Anthropic estavam apenas incorporando esse mesmo princípio, agora impulsionado por IA generativa: acelerar o trabalho de identificação, correção e validação de vulnerabilidades, que antes exigia muito mais tempo e mão de obra especializada.
Riscos de “overblocking” regulatório
Outro perigo apontado por especialistas é o chamado overblocking: quando regulações excessivamente amplas ou mal calibradas:
– inibem inovação;
– criam incerteza jurídica para empresas e pesquisadores;
– levam organizações a abandonar ou postergar o uso de tecnologias legítimas por medo de sanções.
No caso dos modelos de IA, esse risco é ainda maior, já que a tecnologia evolui em ritmo acelerado e muitos casos de uso ainda estão em fase experimental. Ao equiparar um simples “corrija este código” a um bypass de segurança, reguladores podem desencorajar justamente as aplicações mais benéficas, como reforço de segurança de software, automação de testes e melhoria de qualidade de código em larga escala.
O que empresas e equipes de segurança podem fazer agora
Enquanto o cenário regulatório continua em disputa, organizações que dependiam de modelos como o Fable 5 e o Mythos 5 podem adotar algumas medidas práticas:
– diversificar fornecedores de IA, evitando dependência de um único modelo ou empresa;
– avaliar opções que ofereçam recursos de revisão de código com foco explícito em segurança defensiva;
– estabelecer políticas internas claras sobre como prompts e saídas de IA serão usados em contextos de cibersegurança;
– documentar casos de uso legítimos que demonstrem impacto positivo na redução de vulnerabilidades e incidentes.
Também é importante acompanhar de perto a evolução das regras de exportação e diretrizes governamentais, já que futuras revisões podem redefinir o que é considerado “uso aceitável” de IA para análise de código.
Perspectivas para o futuro da IA em cibersegurança
O confronto entre reguladores, empresas de IA e especialistas em segurança indica que o debate sobre limites e salvaguardas está apenas começando. É provável que, nos próximos anos, surjam:
– categorias mais finas de classificação de risco para modelos de IA;
– requisitos específicos para logs, auditoria e rastreabilidade de uso em contextos sensíveis;
– mecanismos de certificação para modelos destinados a atividades defensivas, com garantias de que não facilitam diretamente uso ofensivo automatizado.
Nesse cenário, a pressão de profissionais como Moussouris tende a desempenhar um papel importante para que as regras não criminalizem nem inviabilizem práticas que, na prática, tornam o ecossistema digital mais seguro.
Conclusão: bloquear acesso pode sair caro para a defesa
Para Katie Moussouris, a decisão de bloquear o acesso aos modelos avançados da Anthropic, baseada em um fluxo de trabalho que ela considera nitidamente defensivo, é um passo na direção errada. Ao tentar prevenir riscos hipotéticos, o governo dos EUA arrisca:
– enfraquecer a capacidade de defesa de empresas e pesquisadores que atuam de forma legítima;
– empurrar o avanço de IA para fora de sua jurisdição;
– criar uma falsa sensação de controle, enquanto adversários seguem evoluindo com outras ferramentas.
Na avaliação da especialista, proteger a segurança nacional passa menos por sufocar capacidades defensivas de IA e mais por garantir que essas ferramentas estejam amplamente disponíveis para quem precisa fortalecer sistemas, encontrar bugs mais rápido e implantar correções com maior segurança.