OpenAI, Anthropic e Google se aliam contra cópia de modelos pela China — DeepSeek usou Claude para construir censura

OpenAI, Anthropic e Google se aliam contra cópia de modelos pela China — DeepSeek usou Claude para construir censura

OpenAI, Anthropic e Google decidiram fazer algo raro: colaborar. As três maiores rivais de IA dos Estados Unidos começaram a compartilhar inteligência sobre ataques de “destilação adversarial” — conduzidos por laboratórios chineses. A iniciativa opera via Frontier Model Forum. O motivo é concreto: a escala do problema passou do tolerável.

24 mil contas falsas e 16 milhões de conversas

Os números que a Anthropic divulgou são o tipo de coisa que faz engenheiro de segurança perder o sono. A empresa identificou 24.000 contas falsas operando de forma coordenada, acumulando 16 milhões de trocas com o Claude. Os operadores? Labs chineses — com destaque para DeepSeek, Moonshot AI e MiniMax.

A mecânica é conhecida no meio acadêmico, mas a escala é inédita. Destilação adversarial funciona assim: você usa um modelo de frontier (Claude, GPT-4, Gemini) como professor. Faz milhões de perguntas calibradas, coleta as respostas e usa esse dataset para treinar um modelo menor e mais barato. É como copiar o trabalho de alguém — só que o “alguém” custou centenas de milhões de dólares para treinar.

A analogia mais próxima é a de espionagem industrial, mas feita via API. Não é invasão de sistema. É uso massivo e coordenado de um produto comercial para extrair o conhecimento embutido no modelo. Juridicamente, é uma zona cinzenta. Tecnicamente, é devastador.

DeepSeek usou Claude para construir censura

A parte mais irônica da história: a DeepSeek usou o Claude — um modelo construído com ênfase em segurança e alinhamento — para desenvolver mecanismos de censura para o governo chinês. A Anthropic confirmou que parte das interações identificadas envolvia prompts sistematicamente desenhados para extrair capacidades de moderação de conteúdo, filtragem de tópicos sensíveis e classificação de informação segundo critérios de censura estatal.

É o tipo de uso que os safety researchers da Anthropic passam noite pensando em como prevenir. E mesmo assim aconteceu, em escala, durante meses.

O episódio expõe uma tensão fundamental: quanto mais capaz o modelo, mais útil ele é para quem quer copiar suas capacidades ou usá-lo para fins que seus criadores tentam evitar. Os guardrails funcionam na maioria dos casos. Mas contra operações coordenadas com milhares de contas e milhões de queries, a defesa precisa ser igualmente coordenada.

Por que as rivais resolveram cooperar

A decisão de OpenAI, Anthropic e Google atuarem juntas pelo Frontier Model Forum não é altruísmo. É autodefesa coordenada.

Cada empresa percebeu que, sozinha, consegue detectar e bloquear parte das contas falsas. Mas os operadores migram de um modelo para outro. Quando a Anthropic fecha uma rede de contas, as mesmas entidades aparecem na OpenAI. Quando a OpenAI bloqueia, migram para o Gemini. É um jogo de whack-a-mole que nenhuma empresa vence isoladamente.

A cooperação é pragmática: compartilhar indicadores de comprometimento (IOCs), padrões de comportamento de contas, e inteligência sobre novas técnicas de destilação. É o mesmo modelo que o setor financeiro usa contra fraude — concorrentes que competem em tudo, menos em segurança.

O contexto geopolítico amplifica a urgência. Os controles de exportação de chips dos EUA limitaram o acesso da China a hardware de ponta. A destilação adversarial é a resposta: se não pode treinar modelos de frontier do zero (por falta de GPUs), copia o conhecimento de quem treinou.

Três implicações para o mercado

Rate limits e custos sobem. A defesa contra destilação adversarial exige monitoramento mais agressivo de padrões de uso. Isso significa rate limits mais restritivos, análise de comportamento por conta, e potencialmente verificação de identidade mais rigorosa. Para desenvolvedores legítimos, a fricção aumenta. Para quem paga por API em real, o custo pode subir.

Debate open vs. closed esquenta. Se modelos de frontier são vulneráveis a destilação via API, modelos open-weight são ainda mais. Qualquer pessoa pode baixar os pesos e destilar localmente, sem sequer precisar de conta. A Meta, que acabou de anunciar sua estratégia híbrida (modelos menores abertos, maiores fechados), provavelmente usará esse argumento para justificar a decisão. O campo de modelos totalmente abertos vai precisar de uma resposta convincente.

Contrainteligência como competência. Empresas de IA de frontier agora precisam de times de contrainteligência — não é exagero. Detectar redes de contas falsas, identificar padrões de destilação, e atribuir ataques a entidades específicas são competências que até ontem só existiam em agências de inteligência e grandes bancos. A corrida por talento nessa área já começou.

O que isso significa para o Brasil

Para empresas brasileiras que consomem APIs de modelos de frontier, três pontos de atenção.

Primeiro, os custos. Se as empresas americanas endurecerem o monitoramento, o preço das APIs pode subir — e quem paga em real sente mais. O custo de token do Claude e do GPT já é significativo para startups brasileiras; qualquer aumento percentual impacta.

Segundo, o Marco Legal de IA (PL 2338) precisa considerar a cadeia de suprimentos de modelos. Se um modelo treinado com dados destilados de forma adversarial chega ao Brasil como “modelo open-source”, quem responde pela origem dos dados? A questão é real e não tem resposta regulatória clara.

Terceiro, a concentração. Se apenas três empresas americanas conseguem treinar modelos de frontier, e a defesa contra cópia exige coordenação entre elas, o mercado se consolida ainda mais. Para o ecossistema brasileiro de IA, isso significa dependência crescente de poucos fornecedores.

Minha leitura

O que estamos vendo é uma mudança de fase na competição de IA. Até agora, era uma corrida por capacidade — quem treina o modelo maior, com mais dados, com mais compute. Agora, é também uma corrida por proteção de propriedade intelectual embutida nos modelos.

A aliança entre OpenAI, Anthropic e Google é histórica não pelo tamanho, mas pelo que revela: o problema de destilação adversarial é sistêmico, persistente e grande o suficiente para fazer concorrentes ferozes sentarem na mesma mesa.

A DeepSeek usar Claude para construir censura é a ironia que ninguém queria, mas que todo mundo no campo de AI safety temia. Não há modelo tão bem alinhado que não possa ser usado contra seus próprios princípios quando a operação é suficientemente sofisticada.

A fronteira entre competição comercial, segurança nacional e direitos humanos ficou borrada de vez. E quem trabalha com IA — em qualquer lugar do mundo — precisa entender que essa é a nova paisagem.