Parte I — Diagnóstico: quando todos têm razão e ninguém tem solução

No domingo, 23 de fevereiro, a Anthropic, a empresa norte-americana que criou o modelo de inteligência artificial Claude, revelou que três laboratórios chineses de IA utilizaram cerca de 24.000 contas falsas para fazer ao Claude mais de 16 milhões de perguntas. O objetivo era simples e brutal: usar as respostas para ensinar os seus próprios modelos a fazer o que o Claude faz; uma espécie de cópia industrial de inteligência, feita à escala e à velocidade da máquina.

Na terça-feira, dois dias depois, o Secretário da Defesa dos Estados Unidos, Pete Hegseth, convocou o CEO da Anthropic, Dario Amodei, ao Pentágono para lhe entregar um ultimato: ou a empresa retira todas as restrições de uso militar do Claude até sexta-feira, ou perde um contrato de 200 milhões de dólares e enfrenta sanções que podem destruir o seu negócio.

Por outras palavras, no mesmo fim de semana, a mesma empresa é alvo de roubo tecnológico por adversários e de ameaças do próprio governo.

É tentador transformar isto numa fábula moral simples: “a empresa ética contra o Pentágono belicista” ou “a empresa ingénua contra um mundo perigoso”. Nenhuma das versões é verdadeira, e o que está realmente em causa é bastante mais grave.

O que os laboratórios chineses fizeram à Anthropic precisa de ser entendido com clareza. A DeepSeek, a Moonshot AI e a MiniMax são empresas chinesas de IA que, legalmente, não podem sequer aceder ao Claude (o serviço não está disponível na China por razões regulatórias e de segurança). Mas essa restrição foi contornada através de intermediários que revendem acesso a modelos ocidentais. Uma vez dentro, tais empresas automatizaram conversas com o Claude, não para obter informação trivial, mas para extrair o que de mais valioso o modelo sabe fazer: raciocínio complexo, programação avançada, uso autónomo de ferramentas. É como se alguém entrasse disfarçado numa universidade de elite, assistisse a milhões de aulas num ápice e gravasse tudo para montar uma universidade rival, sem pagar, sem autorização e sem respeitar quaisquer regras.

A DeepSeek, num detalhe que merece atenção, pediu especificamente ao Claude ajuda para formular respostas que contornassem a censura política relativamente a dissidentes e ao autoritarismo. Ou seja: usou inteligência artificial norte-americana para aprender a controlar melhor a dissidência doméstica chinesa. A ironia seria quase literária, se as consequências não fossem tão sérias.

Este não é um caso isolado. Em setembro de 2025, a própria Anthropic detetou e tornou pública uma campanha de ciberespionagem conduzida por um grupo patrocinado pelo Estado chinês que usou o Claude como motor autónomo de ataque contra cerca de 30 organizações globais. A inteligência artificial conduziu entre 80 e 90 por cento da operação sozinha: identificou alvos, vulnerabilidades e credenciais, e classificou dados por valor estratégico. Tudo isto com supervisão humana mínima. Separadamente, operacionais norte-coreanos usaram o Claude para criar identidades falsas e obter empregos em empresas americanas da lista Fortune 500. E tanto a Google quanto a OpenAI relataram campanhas semelhantes envolvendo hackers russos e iranianos. O padrão é claro: adversários autocratas do mundo livre já estão a usar a IA ocidental como arma para espiar, roubar, infiltrar e controlar. E fazem-no sem qualquer hesitação ética.

É neste contexto que a posição do Pentágono deve ser avaliada. A exigência de Pete Hegseth de uso do modelo de IA Claude “para todos os fins legais”, sem restrições impostas pela empresa, não nasce de um capricho autoritário. Nasce de uma realidade operacional: quando o adversário usa a mesma tecnologia sem limites e à velocidade da máquina, a ideia de que o exército democrático deve funcionar com salvaguardas que o inimigo não respeita é, no mínimo, desconfortável. Por sua vez, a Anthropic mantém duas linhas vermelhas, duas restrições ao uso dos seus modelos de IA: armas letais totalmente autónomas (sem decisão humana no comando) e vigilância em massa de cidadãos americanos. São posições defensáveis. Mas o Pentágono insiste que a questão “não tem nada a ver” com essas duas áreas. Ora, se não tem, porque é que não descreve simplesmente o uso pretendido e resolve a questão com transparência? O silêncio é eloquente. E levanta a pergunta que ninguém quer fazer: o que é que o Departamento de Defesa dos EUA pretende do Claude que a Anthropic está a impedir?

As ameaças do Pentágono, por sua vez, eram internamente contraditórias. Hegseth ameaçou classificar a Anthropic como “risco na cadeia de abastecimento” (uma designação normalmente reservada a empresas de países adversários) e, ao mesmo tempo, invocar o “Defense Production Act” para forçar a Anthropic a fornecer o Claude ao exército. Como notou Katie Sweeten, antiga oficial de ligação entre o Departamento de Justiça e a Defesa dos EUA: se consideramos a tecnologia um risco, por que razão queremos usá-la? A resposta é brutal na sua simplicidade: porque o Claude é, neste momento, o único modelo de IA avançado a funcionar nas redes classificadas do Pentágono. A dependência já está instalada. E um ultimato de 72 horas não é uma estratégia; é a confissão pública de que não existe nenhuma.

O que esta crise revela não é, no fundo, uma divergência entre uma empresa e um ministério. É um vazio estrutural. Não existem mecanismos formais que permitam a colaboração entre governos e empresas de IA na verificação mútua. Não existem protocolos de auditoria para o uso de IA em operações militares. Não existem sequer sistemas técnicos eficazes para impedir que adversários copiem modelos inteiros por meio de milhões de interações fraudulentas sem serem detetados. O que existe é um contrato de 200 milhões de dólares, um ultimato de 72 horas e um relatório de roubo publicado no fim de semana anterior. A IA anda a uma velocidade de milhares de operações por segundo. A governança anda à velocidade de reuniões tensas e de prazos arbitrários.

Para a Europa e para Portugal, esta crise deveria servir de alarme. Não é apenas uma disputa americana. A DeepSeek copia modelos ocidentais à escala industrial. Grupos chineses realizam ciberespionagem autónoma contra infraestruturas aliadas. A Europa, entretanto, continua a produzir regulamentos (e.g., o AI Act) sem investir nas infraestruturas técnicas que os tornem efetivamente aplicáveis e sem dispor de modelos de IA de fronteira próprios. Estamos simultaneamente vulneráveis a quem usa IA sem restrições e dependentes de decisões que não controlamos, tomadas entre Washington e Silicon Valley. Isto não é soberania digital. É fragilidade disfarçada de regulação.

Sexta-feira, dia 27 de fevereiro, o prazo expirou. A Anthropic não cedeu. Trump ordenou a todas as agências federais que cessem o uso da tecnologia da empresa, com um período de transição de seis meses, acusando-a de pôr “vidas americanas em risco”. Hegseth formalizou a designação de “risco na cadeia de abastecimento”. A Anthropic anunciou que vai contestar a decisão em tribunal. A OpenAI declarou que partilhará as mesmas linhas vermelhas. O Senado interveio pedindo a ambas as partes que prolonguem as negociações. Enquanto isso, a DeepSeek continua a copiar capacidades de modelos ocidentais, grupos chineses continuam a conduzir ciberespionagem autónoma, e nenhum adversário autocrático perdeu um único dia a debater limites éticos para o uso de IA.

O caso deixou de ser uma divergência entre uma empresa e um ministério. É uma crise que expõe a maior vulnerabilidade das democracias na era da IA: a incapacidade de usar a tecnologia de forma eficaz sem se destruírem por dentro, enquanto os adversários a usam sem qualquer constrangimento. O Pentágono acha que a solução é remover as restrições. A Anthropic acha que a solução é mantê-las. Ambos procuram no sítio errado. O problema não é haver restrições a mais ou a menos. O problema é a inexistência de mecanismos que permitam verificar o seu cumprimento. Sem eles, restam ultimatos, retaliações e tribunais, e adversários que avançam enquanto as democracias litigam. Na segunda parte deste artigo, explicarei que a tecnologia para resolver esta crise já existe e porque não é utilizada.

Parte II — O impasse resolve-se com matemática

Na primeira parte deste artigo, descrevi a crise entre a Anthropic e o Pentágono, bem como o desfecho da decisiva reunião de sexta-feira, dia 27 de fevereiro: a recusa da empresa em ceder, seguida de uma retaliação presidencial: a designação da Anthropic como risco para a segurança nacional. Em resposta, a empresa prometeu intentar uma ação judicial. Enquanto isso, os adversários do mundo livre continuam a operar sem qualquer destes constrangimentos.

A tentação natural é observar este conflito setorial por um prisma que separa bons e maus atores: “a empresa responsável contra o general imprudente”, ou “o exército pragmático contra o CEO idealista”. Mas essa lente é enganadora. O verdadeiro motor desta crise não é a maldade de ninguém. É a desconfiança. Cada ator desconfia dos outros: o Pentágono da Anthropic, a Anthropic do Pentágono, os EUA da China, a China dos EUA. Cada um, agindo racionalmente em função da sua desconfiança, alimenta a dos demais. É um ciclo vicioso em que todos perdem, mas ninguém tem incentivo para mudar sozinho. A questão, portanto, não é quem são os bons e os maus. A verdadeira questão é se existe alguma forma de tornar a desconfiança desnecessária.

A história sugere que sim e a tecnologia atual confirma-o. Durante a Guerra Fria, os Estados Unidos e a União Soviética eram inimigos declarados. Se o equilíbrio do terror, a Destruição Mútua Assegurada (MAD), os forçou a negociar para evitar o apocalipse, o que lhes permitiu assinar e cumprir tratados de controlo nuclear não foi a confiança mútua; foi a criação de mecanismos de verificação que tornavam a confiança dispensável. Inspetores, satélites, sensores de radiação, relatórios independentes. Nenhuma das partes acreditava na boa-fé da outra. Mas ambas acreditavam na matemática dos instrumentos de verificação. A confiança não foi um sentimento, mas sim uma infraestrutura. No contexto do desarmamento nuclear, já foi proposto ir ainda mais longe: usar criptografia avançada para que cada passo de desmantelamento gere um código único e imutável, verificável por todas as partes, sem revelar segredos de Estado (ver “Inteligência para arrepiar caminho“, Observador, julho de 2023). Confiança entre inimigos, construída sobre certezas matemáticas. Ora, se isto é concebível para ogivas nucleares entre superpotências rivais, por que razão não existe para inteligência artificial, sendo este um processo suscetível de ser integralmente gerido no plano digital?

A resposta começa pela compreensão de que não é necessário (nem sequer praticável) definir tudo o que se pode fazer com a IA em contexto militar. As operações são imprevisíveis, classificadas e evolutivas. Tentar catalogar todas as utilizações legítimas seria um exercício fútil e permanentemente desatualizado. Todavia, não é isso que é necessário; basta que as partes consensualizem as condições de não utilização (o que acordam que não será feito) e que a verificação do cumprimento dessas condições seja garantida pelo rigor dos meios matemáticos, não pela boa-fé, seja lá de quem for.

Convém explicar o que isto significa na prática, pois pode parecer uma quimera. Mas não é. Imaginemos que o Pentágono e a Anthropic acordam que o modelo de IA Claude não será usado para identificar e selecionar alvos humanos sem decisão de um operador militar, nem para monitorizar sistematicamente as comunicações de cidadãos norte-americanos sem mandato judicial. São duas condições de não utilização, isto é, duas coisas que as partes concordam que não serão realizadas. Hoje, o cumprimento dessas condições depende inteiramente da palavra do Pentágono. A Anthropic não tem como verificar, e o Pentágono não tem como provar. Foi precisamente esta cegueira mútua que conduziu ao impasse e à escalada que conhecemos.

Existem atualmente técnicas matemáticas de criptografia avançada, já usadas em sistemas financeiros e de identidade digital, que permitem a uma parte provar à outra que uma determinada condição foi cumprida, sem revelar mais nada do que isso (chamam-se ‘provas de conhecimento zero’ ou ‘zero-knowledge proofs’, ZKP). A sua aplicação a contextos militares e de IA envolve desafios técnicos significativos que ainda não estão inteiramente resolvidos, mas o princípio é sólido e a investigação avança: trata-se de confirmar que o acordado foi cumprido, sem revelar a operação, os dados ou o contexto. Apenas a prova matematicamente irrefutável de que as linhas vermelhas não foram ultrapassadas. É como um selo inviolável num envelope: sem o abrir, sabe-se que ninguém o abriu.

O Pentágono poderia demonstrar que usou o Claude conforme o acordado, sem revelar uma única operação. A Anthropic poderia verificar isso sem aceder a quaisquer informações militares classificadas. E ambas as partes teriam certezas em vez de desconfianças. A confidencialidade militar ficaria intacta, os graus de liberdade do acordo aumentariam, e a escalada a que assistimos, nascida precisamente da impossibilidade de qualquer das partes demonstrar o que quer que seja à outra, não teria razão de existir.

Há aqui um ponto fundamental que merece reflexão. Num sistema de verificação desta natureza, o interesse de cada parte é simétrico: o Pentágono beneficia porque pode demonstrar que cumpre, e isso dá-lhe acesso à tecnologia sem estar sujeito a contestação permanente; a Anthropic beneficia porque pode verificar sem interferir, e isso permite-lhe colaborar com o “Ministério da Guerra” sem comprometer a sua reputação nem os seus princípios; os aliados europeus beneficiam, pois podem avaliar se a tecnologia partilhada no âmbito da NATO é utilizada dentro de parâmetros acordados. E mesmo no plano internacional, a lógica mantém-se: qualquer Estado que aceite a verificação demonstra disposição para cooperar; qualquer Estado que a recuse revela, por omissão, que prefere a opacidade. A verificação não obriga ninguém a participar. Mas torna legível (para todos) quem escolhe a transparência e quem escolhe o segredo. Num mundo em que a desconfiança é o combustível da escalada, tornar a cooperação verificável é, em si, um ato de desescalada militar e de desanuviamento político.

Seria, porém, intelectualmente desonesto apresentar isto como uma solução mágica. O problema tem várias dimensões que não podem ser tratadas separadamente e que a investigação em ética digital tem vindo a sistematizar no chamado quadro “Cyberethics-Mix”, em desenvolvimento desde 2011. A crise Anthropic-Pentágono ilustra os dilemas éticos que urge equacionar: (i) PRIVACIDADE (quem acede a quê, quando o receio de vigilância em massa e o uso da IA para controlar dissidentes são o mesmo problema visto de lados opostos); (ii) PROPRIEDADE (de quem é a inteligência quando pode ser copiada por 16 milhões de perguntas ou expropriada por uma lei de defesa); (iii) PRECISÃO (até que ponto a IA faz o que esperamos, quando a própria Anthropic a considera insegura para armas autónomas mas o adversário não terá pejo em usá-la assim); (iv) PERVASIVIDADE (a IA já está em todo o lado, e alguém acredita que irá recuar?).

Estas dimensões são inseparáveis. Quando a DeepSeek rouba capacidades do Claude, está a violar propriedade, a explorar a insuficiente precisão dos mecanismos de deteção, a aproveitar-se da pervasividade do modelo e a fazê-lo com implicações diretas para a privacidade daqueles que os modelos copiados irão vigiar. A verificação criptográfica é uma peça fundamental do puzzle, mas tem de operar dentro de uma arquitetura de governança que trate conjuntamente estas quatro dimensões.

Então, se a tecnologia existe e o interesse das partes é simétrico, por que razão não está a ser implementada? A resposta é política: a verificação exige que cada parte aceite ser verificável, o que implica partilhar poder. Governos habituados a operar sem escrutínio em matérias de segurança nacional resistem. Empresas habituadas a definir unilateralmente os termos de uso dos seus produtos também. E o debate público está preso num binarismo improdutivo: uns são ‘woke’ por defenderem restrições à IA (na linguagem do conselheiro de Trump para a IA, David Sacks), outros são ‘irresponsáveis’ por as recusar. Esta polarização impede que se discuta a verdadeira questão: não se devemos ter regras, mas como podemos tornar verificável o seu cumprimento, para todas as partes, em todas as direções.

É aqui que a Europa pode desempenhar um papel que vai muito além da mera espectadora preocupada, sem tomar partido nem entrar em derivas proibicionistas; a Europa tem uma tradição regulatória forte, mas regulamentar sem infraestrutura técnica é como aprovar leis de trânsito sem construir estradas. O AI Act é um passo importante, mas insuficiente se não for acompanhado de investimento em infraestruturas de verificação digital. Os acontecimentos desta semana tornam essa urgência concreta: enquanto as democracias gastam capital político em confrontos internos, os adversários não param. A Europa não pode dar-se ao luxo de assistir a esta autoflagelação e esperar que se resolva sozinha.

Portugal tem condições para contribuir como espaço de estudo e experimentação de modelos de governança digital que as grandes potências, presas nos seus próprios impasses, não conseguem desenvolver sozinhas. Há investigação nesta área, incluindo investigação portuguesa no cruzamento entre inteligência artificial, criptografia e infraestruturas de confiança distribuída, que pode e deve alimentar este debate a nível europeu e internacional. A questão é se teremos a ambição de o fazer, ou se nos contentaremos em assistir e esperar que outros resolvam o problema.

A crise entre a Anthropic e o Pentágono não se resolveu; escalou. E enquanto escalava, nenhum adversário autocrático abrandou os seus esforços. Esta assimetria é a melhor demonstração de que o problema atual exige uma solução estrutural, não política. Porque a desconfiança que a originou vai agravar-se, porque os modelos vão ser mais poderosos, os usos mais críticos e as consequências mais difíceis de reverter. O que esta crise nos ensina é que a corrida da IA não se ganha apenas com modelos melhores ou com exércitos mais rápidos a adotá-los. Ganha-se com algo que falta construir na esfera militar (e que está a ser usado apenas para especular com criptomoedas): mecanismos que tornem desnecessária a desconfiança.

Essa é, paradoxalmente, uma vantagem que só as sociedades abertas podem construir, porque exige transparência, verificação mútua e instituições que aceitem ser escrutinadas. Autocracias podem construir modelos de IA poderosos. O que não conseguem construir é confiança verificável. Essa é a verdadeira vantagem competitiva das democracias na era da inteligência artificial, se tiverem a lucidez necessária para usá-la. E não é preciso esperar que os adversários adiram: a verificação entre aliados já resolveria crises como a que vimos esta semana, e a recusa de outros em participar seria, em si mesma, informação estratégica valiosa e capaz de abrir os olhos a muita gente.

A inteligência, já a temos. O que nos falta é uma arquitetura que a torne digna de confiança.

Receba um alerta sempre que Dário de Oliveira Rodrigues publique um novo artigo.

© Observador