Você usa Chrome, Windows, macOS ou iOS todo santo dia. Em algum lugar nos bastidores, equipes de segurança caçam vulnerabilidades no código ao qual você confia seus dados. Desde esta semana, onze dessas equipes passam essa caçada por uma única startup de IA.
Em 7 de abril, a Anthropic lançou o Project Glasswing — entregando seu modelo inédito Claude Mythos Preview a onze organizações: Apple, Microsoft, Google, AWS, Nvidia, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks e a Linux Foundation. Os termos: US$ 100 milhões em créditos gratuitos, acesso apenas por convite e um modelo que a Anthropic nunca vai vender ao público. Já cobrimos o que o Mythos consegue fazer — milhares de vulnerabilidades zero-day, cadeias de exploits que levavam semanas para equipes humanas comprimidas em horas por menos de US$ 2.000 em computação. A questão agora não é capacidade. É dependência.
Onze organizações dependem do modelo inédito de uma startup para auditar código que elas mesmas escreveram. A Anthropic enxerga as vulnerabilidades de todo mundo. Ninguém mais tem a ferramenta. Os US$ 100M em créditos grátis não são caridade — é a primeira dose. O preço pós-preview fica em US$ 25/US$ 125 por milhão de tokens de entrada/saída (tokens são os pedaços de palavras que a IA processa — aproximadamente ¾ de uma palavra em inglês). Quando o período grátis acabar, cada parceiro enfrenta uma escolha: pagar a tabela da Anthropic ou perder o único modelo que supera seus próprios red teams por ordens de magnitude.
Isso é economia de plataforma clássica vestida de jaleco. O modelo encontra seus bugs. O modelo conhece seus bugs. E só uma empresa controla o modelo.
Agora, o timing. Um dia depois do lançamento do Glasswing, em 8 de abril, um tribunal federal de apelações em Washington negou o pedido de emergência da Anthropic contra a designação de risco na cadeia de suprimentos do Pentágono — um rótulo que o Pentágono historicamente reserva para adversários estrangeiros como a Huawei, agora colado numa empresa americana de IA. O tribunal decidiu que "o equilíbrio equitativo aqui pende a favor do governo." A designação proíbe contratantes de defesa de usar o Claude.
O contexto: em 27 de fevereiro, o Pentágono agiu para colocar a Anthropic na lista negra após uma negociação fracassada de contrato de US$ 200M. A Anthropic se recusou a permitir uso para "todos os fins legais", citando preocupações com vigilância em massa e armas autônomas. Os militares rotularam a empresa como risco à segurança nacional. Um juiz de São Francisco inicialmente bloqueou a designação em março, decidindo que a Anthropic estava sendo "rotulada como potencial adversária" por discordar de uma política. O tribunal de DC derrubou essa proteção.
Então a empresa que acabou de se tornar a espinha dorsal de cibersegurança da Apple, Microsoft e Google simultaneamente perdeu acesso ao único cliente com orçamento e mandato para financiar uma capacidade concorrente. O Pentágono não pode usar a melhor ferramenta de detecção de vulnerabilidades que existe. A Anthropic não pode construir a alternativa governamental. Ninguém mais tem o modelo para tentar.
As ações de cibersegurança caíram de 5 a 11% com o anúncio do Glasswing. O mercado entendeu antes de qualquer explicação: isso não é lançamento de produto. É um fosso. O Glasswing prende onze parceiros em dependência. O tribunal de apelações tranca o governo do lado de fora da única alternativa. E o software que você usa todo dia — seu navegador, seu sistema operacional, sua nuvem — agora confia sua segurança a uma empresa que um braço do governo arma com US$ 100M em créditos enquanto outro braço chama de ameaça à segurança nacional.
