Quem decide o que é perigoso?

🇺🇲English:

Duas decisões. Uma mesma empresa. E uma tensão que merece ser examinada sem pressa.

A primeira aconteceu esta semana. A Anthropic anunciou o Claude Mythos Preview — descrito internamente como o modelo mais poderoso que a empresa já desenvolveu. Não foi treinado especificamente para cibersegurança: suas capacidades emergiram de melhorias gerais em raciocínio e programação. Mas o resultado é inédito. Nos testes, o modelo identificou milhares de vulnerabilidades críticas em todos os principais sistemas operacionais e navegadores do mundo — algumas com décadas de existência, incluindo uma falha de 27 anos no OpenBSD, sistema operacional conhecido justamente por sua robustez em segurança. Em muitos casos, o Mythos não apenas encontrou a vulnerabilidade: desenvolveu automaticamente um exploit funcional para explorá-la. No teste mais documentado publicamente, contra o motor JavaScript do Firefox, o modelo produziu exploits funcionais em 72% das tentativas — comparado a menos de 1% do modelo anterior da Anthropic. O desempenho varia por contexto: no kernel do Linux, o modelo encontrou múltiplas vulnerabilidades, mas não conseguiu explorá-las de forma autônoma, dadas as camadas de proteção do sistema.

A empresa optou por não torná-lo público. Em vez disso, criou o Project Glasswing: um consórcio restrito de cerca de 50 organizações — entre elas Amazon, Apple, Google, Microsoft, Nvidia, Cisco e JPMorgan — que terão acesso ao modelo para trabalho defensivo. O acesso ao público geral está descartado por prazo indeterminado.

A segunda decisão veio alguns meses antes. Em julho de 2025, a Anthropic havia assinado um contrato de 200 milhões de dólares com o Pentágono. O Claude se tornara o primeiro modelo de fronteira aprovado para uso em redes classificadas do governo americano, incluindo laboratórios nucleares e análise de inteligência. As negociações para expandir esse uso travaram em setembro, quando o Departamento de Defesa exigiu que a empresa removesse duas restrições: o modelo não poderia ser usado em armas totalmente autônomas e não poderia ser empregado em vigilância em massa de cidadãos americanos. A Anthropic recusou. Em 27 de fevereiro de 2026, após um ultimato do secretário de Defesa Pete Hegseth, a empresa manteve sua posição. A resposta de Washington foi classificá-la como “risco à cadeia de suprimentos” — uma designação historicamente reservada a empresas ligadas a adversários estrangeiros, como a Huawei. Horas depois, a OpenAI anunciou que havia fechado acordo com o Pentágono. Uma juíza federal posteriormente suspendeu a designação, descrevendo-a como retaliação por discordância pública — e abrindo um precedente jurídico inédito no setor.

Lidas separadamente, cada uma dessas decisões tem uma lógica própria. Lidas juntas, revelam algo mais complexo.

-----

*O que cada recusa revela*

No caso militar, a linha da Anthropic foi específica: não armas totalmente autônomas, não vigilância doméstica em massa. O CEO Dario Amodei foi direto: modelos de fronteira ainda produzem erros estruturais e respostas imprecisas. Delegar a esses sistemas decisões letais sem supervisão humana seria, na avaliação da empresa, uma irresponsabilidade técnica com potencial para crimes de guerra em escala.

É um argumento que merece ser levado a sério. A história da automação de decisões críticas oferece exemplos de sobra de sistemas confiantes e errados. E a especificidade das restrições — não uma recusa genérica ao uso militar, mas uma demarcação de onde a tecnologia, em seu estado atual, não deveria operar — sugere coerência, não apenas postura.

No caso do Mythos, a decisão foi diferente: restringir, mas não recusar. O acesso existe — direcionado a parceiros selecionados, empresas que constroem ou mantêm infraestrutura crítica de software.

Essa distinção importa. Porque as duas situações, embora simétricas na forma — a empresa delimita o uso —, têm estruturas de risco e incentivo muito diferentes.

No caso do Pentágono, a Anthropic recusou e pagou um custo real: perdeu um contrato de 200 milhões de dólares, foi classificada como ameaça nacional, enfrentou pressão jurídica e viu a OpenAI ocupar seu lugar na mesa.

No caso do Mythos, restringir o acesso tem benefícios concretos: reputação de responsabilidade, relações estratégicas com as maiores empresas de tecnologia do mundo, e um posicionamento favorável às vésperas do que o Wall Street Journal descreve como uma abertura de capital prevista para este ano. Alguns especialistas em segurança já apontaram publicamente essa coincidência de interesses.

Isso não invalida as razões de segurança — que são reais e documentadas. Mas é honesto reconhecer que as duas decisões têm perfis de custo-benefício muito diferentes.

-----

*A assimetria que se forma*

Quando uma empresa decide quem pode acessar a capacidade de identificar falhas em infraestruturas críticas, ela não está apenas gerenciando risco. Está definindo quem opera nas camadas mais sensíveis do sistema digital — e quem fica de fora.

Como observou a Fortune, a Anthropic está “efetivamente decidindo quem tem acesso a uma das capacidades cibernéticas mais avançadas já desenvolvidas.” Alguns especialistas em segurança e desenvolvedores de software de código aberto argumentam que o mundo seria mais seguro se o Mythos fosse liberado — para que todos os defensores, não apenas os escolhidos, pudessem usar a ferramenta. É um argumento incômodo, mas não é irrazoável.

O que se forma, em qualquer dos cenários, é uma assimetria inédita: o conhecimento sobre vulnerabilidades — e o poder de agir sobre elas — deixa de ser difuso e passa a ser concentrado em poucos atores. Isso acontece independentemente das intenções desses atores — e é o que torna a situação estruturalmente relevante.

Historicamente, esse tipo de poder pertencia — de forma imperfeita, mas ao menos nominalmente accountable — a instituições públicas. O que está emergindo agora é diferente: empresas privadas tomando decisões de distribuição com consequências que são, na prática, regulatórias. Sem os mecanismos que normalmente acompanham esse tipo de autoridade. Sem escrutínio coletivo. Mediadas por critérios que não são inteiramente transparentes.

-----

*O paradoxo que não é periférico*

O confronto com o Pentágono revelou algo que raramente aparece de forma tão explícita: o governo dos Estados Unidos chegou ao ponto de classificar uma empresa americana como potencial ameaça à segurança nacional porque ela se recusou a ceder o controle de sua tecnologia. Uma juíza federal, ao barrar a designação, usou linguagem incomum para o contexto jurídico — descrevendo como “orwelliana” a noção de que uma empresa americana pudesse ser rotulada como sabotadora por discordar publicamente do governo.

É um precedente significativo. Pela primeira vez, um tribunal reconheceu explicitamente que uma empresa de tecnologia tem o direito de impor limites éticos sobre como seu produto é usado — mesmo quando o cliente é o Estado.

Mas o mesmo precedente levanta uma questão que não tem resposta fácil: se uma empresa privada pode resistir ao Estado quando discorda de seu uso da tecnologia, quem fiscaliza a empresa quando ela decide, por conta própria, quem pode e quem não pode acessar capacidades com consequências para todos?

A Anthropic construiu sua identidade pública sobre a ideia de que segurança precede expansão. Essa identidade foi testada — e, no caso do Pentágono, sustentada a um custo real. Isso merece reconhecimento. Mas reconhecer não é o mesmo que não questionar.

Porque quando a tecnologia alcança um nível em que seu uso pode comprometer infraestruturas inteiras — sistemas operacionais, navegadores, redes bancárias, hospitais —, controlar o acesso a ela equivale a controlar um campo de ação que afeta a todos. E, nesse ponto, a linha entre responsabilidade e poder começa a se tornar difusa.

O risco não está apenas no que a inteligência artificial pode fazer.

Está em quem decide quem pode usá-la — e na ausência de estruturas coletivas para questionar essa decisão.

A promessa de segurança pode ser, no limite, a forma mais sofisticada de poder. Não necessariamente por má-fé. Mas porque poder, mesmo quando bem-intencionado, sem accountability, continua sendo poder.

-----

🇺🇲English:

Two decisions. One company. A tension worth examining carefully.

The first came this week. Anthropic announced Claude Mythos Preview — described internally as the most powerful model the company has ever developed. It was not specifically trained for cybersecurity: its capabilities emerged from general improvements in reasoning and coding. But the results are unprecedented. In testing, the model identified thousands of critical vulnerabilities across every major operating system and web browser in the world — some decades old, including a 27-year-old flaw in OpenBSD, an operating system known precisely for its strong security posture. In many cases, Mythos didn’t just find the vulnerability: it autonomously developed a working exploit. In the most publicly documented test — against Firefox’s JavaScript engine — the model produced working exploits 72% of the time, compared to less than 1% for Anthropic’s previous model. Performance varied by context: against the Linux kernel, the model found multiple vulnerabilities but was unable to exploit them autonomously, given the system’s layered defenses.

The company chose not to release it publicly. Instead, it created Project Glasswing: a restricted consortium of roughly 50 organizations — including Amazon, Apple, Google, Microsoft, Nvidia, Cisco, and JPMorgan — that will have access to the model for defensive security work. A general public release has been ruled out indefinitely.

The second decision came months earlier. In July 2025, Anthropic had signed a $200 million contract with the Pentagon. Claude became the first frontier AI model approved for use on classified U.S. government networks, including nuclear laboratories and intelligence analysis. Negotiations to expand that use stalled in September, when the Department of Defense demanded the company remove two restrictions: the model could not be used in fully autonomous weapons, and it could not be used for mass surveillance of American citizens. Anthropic refused. On February 27, 2026, after an ultimatum from Defense Secretary Pete Hegseth, the company held its position. Washington’s response was to designate it a “supply chain risk” — a classification historically reserved for companies linked to foreign adversaries like Huawei. Hours later, OpenAI announced it had reached a deal with the Pentagon. A federal judge subsequently suspended the designation, describing it as retaliation for public disagreement — setting a legal precedent with no parallel in the industry.

Read separately, each decision has its own logic. Read together, they reveal something more complex.

-----

*What each refusal reveals*

In the military case, Anthropic’s line was specific: no fully autonomous weapons, no domestic mass surveillance. CEO Dario Amodei was direct: frontier models still produce structural errors and imprecise outputs. Delegating lethal decisions to such systems without human oversight would be, in the company’s assessment, a technical irresponsibility with the potential for war crimes at scale.

This argument deserves to be taken seriously. The history of automating critical decisions offers no shortage of examples of confident systems getting things catastrophically wrong. And the specificity of the restrictions — not a blanket refusal of military use, but a delineation of where the technology, in its current state, should not operate — suggests coherence, not posturing.

In the Mythos case, the decision was different: restrict, but don’t refuse. Access exists — directed at selected partners, companies that build or maintain critical software infrastructure.

That distinction matters. Because the two situations, though symmetrical in form — the company limits use — have very different risk and incentive structures.

In the Pentagon case, Anthropic refused and paid a real cost: it lost a $200 million contract, was classified as a national threat, faced legal pressure, and watched OpenAI take its seat at the table.

In the Mythos case, restricting access carries concrete benefits: a reputation for responsibility, strategic relationships with the world’s largest technology companies, and a favorable positioning ahead of what the Wall Street Journal describes as a planned IPO this year. Some security experts have already publicly noted this alignment of interests.

That doesn’t invalidate the security rationale — which is real and documented. But it’s honest to acknowledge that the two decisions have very different cost-benefit profiles.

-----

*The asymmetry taking shape*

When a company decides who can access the ability to identify flaws in critical infrastructure, it is not merely managing risk. It is defining who operates in the most sensitive layers of the digital system — and who does not.

As Fortune observed, Anthropic is “effectively deciding who gets access to one of the most advanced cyber capabilities ever developed.” Some security experts and open-source software developers argue the world would be safer if Mythos were released — so that every defender, not just the chosen ones, could use the tool. It is an uncomfortable argument, but not an unreasonable one.

What emerges, in either scenario, is a new asymmetry: knowledge of vulnerabilities — and the power to act on them — ceases to be diffuse and becomes concentrated in a few actors. This happens regardless of the intentions of those actors — and that is what makes the situation structurally significant.

Historically, this kind of power belonged — imperfectly, but at least nominally accountably — to public institutions. What is emerging now is different: private companies making distribution decisions with consequences that are, in practice, regulatory. Without the mechanisms that normally accompany that kind of authority. Without collective scrutiny. Mediated by criteria that are not fully transparent.

-----

*The paradox that is not peripheral*

The Pentagon confrontation revealed something that rarely surfaces so explicitly: the United States government went so far as to classify an American company as a potential national security threat because it refused to relinquish control over how its technology was used. A federal judge, in blocking the designation, used language unusual for a legal context — describing as “Orwellian” the notion that an American company could be labeled a saboteur for publicly disagreeing with the government.

It is a significant precedent. For the first time, a court explicitly recognized that a technology company has the right to impose ethical limits on how its product is used — even when the customer is the state.

But the same precedent raises a question without an easy answer: if a private company can resist the state when it disagrees with the use of its technology, who holds the company accountable when it decides, on its own terms, who can and cannot access capabilities with consequences for everyone?

Anthropic built its public identity around the idea that safety precedes expansion. That identity was tested — and, in the Pentagon case, upheld at real cost. That deserves acknowledgment. But acknowledgment is not the same as exemption from scrutiny.

Because when technology reaches a level where its misuse can compromise entire infrastructures — operating systems, browsers, banking networks, hospitals — controlling access to it means controlling a field of action that affects everyone. And at that point, the line between responsibility and power begins to blur.

The risk is not only in what artificial intelligence can do.

It is in who decides who can use it — and in the absence of collective structures to question that decision.

The promise of safety may ultimately be the most sophisticated form of power. Not necessarily through bad faith. But because power, even when well-intentioned, without accountability, remains power.