Modelos de IA da Anthropic expõem vulnerabilidades em sistemas da NSA, gerando restrições dos EUA
Um teste de "red team" revelou que o modelo Mythos AI da Anthropic conseguiu identificar vulnerabilidades em sistemas classificados da Agência de Segurança Nacional (NSA) dos EUA em poucas horas. Este incidente levou o governo dos EUA a impor controles de exportação sem precedentes sobre os modelos Fable 5 e Mythos 5 da Anthropic, limitando o acesso a estrangeiros e forçando a empresa a desativar os modelos globalmente.
Um recente teste de segurança, conhecido como “red team”, revelou que o modelo de inteligência artificial Mythos da Anthropic foi capaz de identificar vulnerabilidades em sistemas classificados da Agência de Segurança Nacional (NSA) dos Estados Unidos em questão de horas. A capacidade demonstrada pelo AI em penetrar sistemas altamente seguros levou o governo dos EUA a impor controles de exportação sem precedentes sobre os modelos avançados da Anthropic, Fable 5 e Mythos 5.
Este incidente, que veio à tona através de um relatório do The Economist e foi confirmado por um oficial dos EUA à Associated Press, destaca a crescente preocupação com o potencial de “dual-use” da inteligência artificial, onde a mesma tecnologia pode ser usada tanto para fins defensivos quanto ofensivos.
O que mudou na prática
Em resposta à demonstração de capacidade do Mythos AI, o governo dos EUA emitiu uma diretriz exigindo que a Anthropic impedisse o acesso de todos os cidadãos estrangeiros, incluindo seus próprios funcionários não-americanos, aos modelos Fable 5 e Mythos 5. A Anthropic, por sua vez, optou por desativar globalmente o acesso a esses modelos para garantir a conformidade, alegando que seria impraticável impor restrições de acesso baseadas em nacionalidade sem retirar os sistemas para todos os usuários.
Essa medida representa uma ação regulatória sem precedentes por parte do governo dos EUA para controlar o acesso a modelos de IA de ponta desenvolvidos por uma empresa americana. Anteriormente, o presidente Donald Trump havia assinado uma ordem executiva estabelecendo uma estrutura para o governo federal avaliar os riscos de segurança nacional de sistemas de IA avançados antes de seu lançamento público, com participação voluntária dos desenvolvedores. O incidente com o Mythos AI e a NSA acelerou e endureceu essa postura.
Críticos da decisão argumentam que a vulnerabilidade identificada pelo Fable 5 em testes foi benigna ou menor, e que outros modelos de IA publicamente disponíveis teriam capacidades semelhantes. Mais de 100 profissionais de cibersegurança de universidades e empresas assinaram uma carta aberta argumentando que o controle de exportação removeu ferramentas valiosas de defensores sem reduzir significativamente o risco.
Impacto e por que importa para decisões de negócio
Para empresas brasileiras que dependem ou planejam integrar inteligência artificial em suas operações, este evento tem implicações significativas:
- Risco Regulatório e de Acesso: A imposição de controles de exportação sobre modelos de IA avançados estabelece um precedente. Empresas brasileiras que utilizam ou pretendem utilizar modelos de IA de fornecedores americanos podem enfrentar restrições semelhantes no futuro, afetando a continuidade de seus serviços ou o acesso a inovações de ponta. A dependência de tecnologias estrangeiras pode se tornar um ponto de vulnerabilidade estratégica.
- Cibersegurança e IA: O incidente demonstra o poder da IA como ferramenta para identificar e, potencialmente, explorar vulnerabilidades. Isso significa que, por um lado, as empresas precisam investir em IA para fortalecer suas defesas cibernéticas, mas, por outro, devem estar cientes de que adversários também podem usar IA para ataques mais sofisticados e rápidos. A “janela de defesa” para empresas pode encurtar drasticamente.
- Governança de IA e Ética: O debate sobre a segurança e a governança da IA de ponta se intensifica. Empresas devem desenvolver políticas internas robustas para o uso responsável da IA, considerando não apenas os benefícios, mas também os riscos de segurança, privacidade e conformidade. A compreensão do potencial de “dual-use” da IA é crucial para a gestão de riscos.
- Diversificação de Fornecedores: A incerteza regulatória pode levar empresas a considerar a diversificação de seus fornecedores de IA, buscando alternativas em outras regiões ou investindo em desenvolvimento interno para reduzir a dependência de um único ecossistema geopolítico. Isso pode impulsionar o desenvolvimento de soluções de IA locais ou regionais.
Este evento sublinha a realidade de que a corrida pela IA não é apenas tecnológica, mas também geopolítica, com implicações diretas para o comércio, a segurança e a sobernança digital de nações e empresas em todo o mundo. A capacidade de uma IA de ponta de comprometer sistemas de segurança nacional em horas altera fundamentalmente a percepção de risco associada a essas tecnologias.
O que monitorar e próximos passos
Empresas brasileiras devem monitorar de perto os seguintes desenvolvimentos:
- Evolução da Regulação de IA nos EUA e na UE: As políticas de controle de exportação e as estruturas regulatórias para IA de alto risco, como o AI Act da União Europeia, continuarão a evoluir. Essas regulamentações podem impactar a disponibilidade e o uso de modelos de IA globalmente.
- Respostas de Outras Big Techs: Outras grandes empresas de tecnologia e desenvolvedores de IA podem ajustar suas estratégias de lançamento e acesso a modelos avançados em face da crescente pressão regulatória e das preocupações com segurança nacional.
- Inovações em Cibersegurança com IA: A capacidade da IA de identificar vulnerabilidades também impulsionará o desenvolvimento de novas ferramentas e abordagens de cibersegurança baseadas em IA. Empresas devem buscar integrar essas soluções para fortalecer suas defesas.
- Políticas Internas de Uso de IA: Reavaliar e fortalecer as políticas internas de uso de IA, especialmente para modelos de ponta. Isso inclui auditorias de segurança, treinamento de equipes e a implementação de estruturas de governança para garantir o uso ético e seguro da tecnologia. Considerar a criação de um comitê de ética em IA, se ainda não existir.
O incidente com a Anthropic e a NSA serve como um alerta claro: a era da inteligência artificial exige uma abordagem proativa e estratégica para a gestão de riscos e a conformidade regulatória, especialmente para empresas que operam em um cenário global interconectado e geopoliticamente sensível.
Fontes consultadas
- Anthropic's powerful Mythos AI reportedly breached 'almost all' NSA classified systems within a few hours during red-team test — report sheds more light on the U.S. government's sudden ban on the flagship models | Tom's Hardware · Tom's Hardware
- Anthropic's Mythos model found vulnerabilities in classified US government systems, official says - WFTV · WFTV
- Anthropic's powerful AI models disappeared almost overnight - Quartz · Quartz
- Anthropic shuts down Mythos access after sweeping U.S. order - Los Angeles Times · Los Angeles Times