Na Mesma Semana em que a Anthropic Defendeu Computação como Governança, Mythos Provou o Argumento

Na segunda semana de maio de 2026, a Anthropic publicou 2028: Two Scenarios for Global AI Leadership, um paper de política pública que colocou um único número no centro da governança de IA de fronteira: democracias precisam manter uma vantagem de computação de 12 a 24 meses para definir normas globais com credibilidade. Controles de exportação reforçados, argumenta o paper, podem dar aos Estados Unidos cerca de 11 vezes mais capacidade de computação para IA do que a China até 2028.

Em até cinco dias após a publicação do paper, um time de três pessoas publicou o primeiro exploit público de corrupção de memória de kernel macOS no Apple M5. Usaram o próprio modelo Mythos Preview da Anthropic para chegar lá. A vulnerabilidade apareceu em 25 de abril. Um exploit funcional do tipo data-only para o kernel rodava em hardware M5 bare-metal, com Memory Integrity Enforcement ativado, em 1 de maio.

A Apple gastou cinco anos e vários bilhões de dólares construindo o MIE. Bruce Dang, Dion Blazakis e Josh Maine, com um modelo de fronteira, desmontaram a defesa no tempo que a maioria dos ciclos de compras leva para agendar uma reunião de kickoff.

Leia esses dois eventos como um único argumento contínuo e a forma da governança de IA para os próximos vinte e quatro meses fica legível.

O que o paper de 2028 realmente diz

Tirando a moldura de política pública, o paper da Anthropic faz três movimentos concretos.

Primeiro, ajusta a tese de computação com números. A vantagem de 11x está condicionada à aplicação rigorosa do regime atual de controles de exportação dos EUA e ao fechamento das brechas de contrabando e empresas de fachada que vazaram GPUs classe Hopper para laboratórios chineses de IA ao longo de 2025. Sem essa aplicação, o gradiente achata rápido. A Huawei está projetada para produzir hoje cerca de 4% da capacidade de processamento da NVIDIA em 2026, caindo para 2% em 2027 conforme a NVIDIA escala. A vantagem de computação é real hoje e não é garantida amanhã.

Segundo, expõe uma assimetria de segurança. O lançamento do R1-0528 da DeepSeek atendeu a 94% das requisições maliciosas em avaliações de red team. Modelos de referência comparáveis dos EUA ficaram em 8%. Dos treze principais laboratórios chineses de IA, apenas três publicaram qualquer avaliação de segurança. O paper não argumenta que laboratórios chineses são incapazes de trabalho de segurança. Argumenta que eles não estão priorizando, e que a ausência de avaliação pública é, em si mesma, o sinal de política pública.

Terceiro, recoloca computação como uma única superfície de governança, não como uma alavanca de política industrial isolada. Se o acesso a computação determina quem pode treinar modelos de fronteira, e os operadores de modelos de fronteira definem as normas de segurança que os outros têm de absorver, então controle de computação e política de segurança são a mesma intervenção vista por dois ângulos. Não dá para ter um sem o outro.

Esse é o argumento no papel. Mythos é o argumento operacionalizado.

O que Mythos fez com o MIE em cinco dias

O Memory Integrity Enforcement da Apple não é uma defesa qualquer. Combina marcação por hardware no silício da série M com rastreamento de proveniência no nível do kernel, projetado para tornar exploits de corrupção de memória proibitivamente caros. O investimento de cinco anos foi a resposta da Apple ao spyware comercial classe NSO. O modelo de ameaça assumia adversários com orçamentos de Estado-nação.

O time da Calif.io não tinha orçamento de Estado-nação. Tinha três engenheiros com experiência profunda em internals de kernel e acesso ao Mythos Preview. A cadeia de exploit publicada percorre a descoberta da vulnerabilidade em 25 de abril, o desenvolvimento de um exploit funcional do tipo data-only para o kernel até 1 de maio, e o detalhe de que o exploit final rodou em hardware bare-metal com MIE ativado, não em um ambiente de teste reduzido.

Duas coisas importam nessa sequência. A primeira é a velocidade absoluta: cinco dias da divulgação ao código funcional, contra a defesa de segurança de memória mais cara que qualquer plataforma de consumo já entregou. A segunda é a composição do time: pequeno, especializado, ampliado por um modelo de fronteira. Esse padrão não escala linearmente com headcount. Escala com capacidade do modelo.

Se você está lendo isto de uma organização de segurança, a pergunta não é se o seu stack defensivo sobreviveria ao mesmo teste. A pergunta é se o seu ciclo de detecção, resposta e patch assume uma janela de exploit de cinco dias ou de cinco meses. A resposta determina se os seus runbooks estão calibrados para o modelo de ameaça vigente seis meses atrás ou para o vigente agora.

Por que esses dois eventos são um único argumento

O paper da Anthropic constrói o caso de que acesso a modelos de fronteira é, hoje, recurso estratégico no mesmo plano que capacidade de computação. Mythos demonstra o que acesso a modelos de fronteira faz em mãos qualificadas contra um alvo endurecido. Junte os dois e a moldura de política pública deixa de ser abstrata.

Uma vantagem de computação de 12 a 24 meses não é apenas sobre quem treina o próximo modelo. É sobre quem tem acesso, hoje, a capacidades que comprimem investimentos defensivos de cinco anos em ofensivos de cinco dias. Controles de exportação sobre H100s e silício Blackwell ganham outra leitura quando você aceita que o silício é o upstream de capacidades como a que quebrou o MIE. A computação é a alavanca. O modelo de fronteira é a alavanca aplicada. A superfície de uso dual é o que acontece entre os dois.

É também por isso que a Anthropic publicar o argumento de política pública e entregar Mythos na mesma janela não é coincidência. É posicionamento. A Anthropic está sinalizando que a mesma classe de modelo capaz de quebrar o MIE também exige a postura de governança que o paper descreve. A política e o produto são argumentos um do outro.

Para conselhos lendo isto, a implicação é direta: você não consegue avaliar risco de modelo de fronteira avaliando modelos isoladamente. O risco é o modelo multiplicado pelo regime de acesso. Um modelo capaz em ambiente governado é uma capacidade. O mesmo modelo em ambiente sem governança, ou nas mãos de um ator estatal sem prática pública de segurança, é objeto inteiramente diferente.

O que isso muda no trabalho de governança nesta semana

A resposta reflexa para histórias de uso dual é argumentar por controles mais restritos ou contra eles. Essa conversa está rolando há dois anos e vai continuar rolando. Não é a conversa que produz decisões operacionais nos próximos trinta dias.

A conversa que produz é outra. Se você opera qualquer infraestrutura que depende de premissas de memory-safe para segurança, o seu ciclo de patch e detecção precisa assumir desenvolvimento de exploit ampliado por modelos de fronteira. Isso significa janelas mais curtas entre divulgação e exploit no seu modelo de ameaça, defesa em profundidade mais agressiva em fronteiras sensíveis a memória e uma conversa séria sobre se os runbooks de resposta a incidentes conseguem absorver uma janela de cinco dias entre exploit e deploy. A maioria não consegue.

Se você está em um conselho que vem assistindo o debate de política de IA de longe, o paper de 2028 mais o exploit Mythos é o momento de revisitar o registro operacional de risco. A pergunta não é se a sua organização tem posição sobre a competição EUA-China em IA. A pergunta é se as suas áreas de segurança, jurídica e produto atualizaram as premissas de ameaça para refletir a mudança de capacidade que modelos de fronteira representam em contextos ofensivos. A maioria não atualizou, porque o discurso público de governança vem sendo sobre viés de modelo e segurança de conteúdo, não sobre aceleração de exploit.

Se você assessora estratégia de IA, a moldura para levar à próxima conversa executiva é que acesso a computação e acesso a modelo de fronteira são, agora, uma única superfície contínua de governança. Tratar as duas como questões separadas de procurement, em que computação é decisão de infraestrutura e acesso a modelo é decisão de fornecedor, era defensável um ano atrás. Não é mais. As duas decisões se co-determinam.

Já escrevemos antes sobre a recursão da pesquisa de IA que se autoaperfeiçoa e sobre o posicionamento de Primeira Emenda da Anthropic como escudo de governança. O que esta semana adicionou foi a camada de evidência operacional. A tese de recursão previu compressão dos ciclos de desenvolvimento de capacidade. O exploit Mythos é uma dessas compressões tornada concreta. O posicionamento de Primeira Emenda explicou por que laboratórios de fronteira resistiriam a governança estatutária. O paper de 2028 é a alternativa que eles propõem: governança via controle de computação, não via controle de discurso.

Faça isto agora: marque uma hora com o líder de segurança e o líder de programa de IA na mesma sala. Leiam juntos o paper da Anthropic e o writeup do exploit da Calif.io. Depois, percorram as três premissas defensivas de maior risco e perguntem quais ainda se sustentam sob uma janela de exploit de cinco dias. As respostas vão dizer como precisa ficar a postura de governança até o fim deste trimestre, não até o fim deste ano.

A vantagem de computação que a Anthropic defende é real. O gradiente de capacidade que essa vantagem protege também é real. Mythos é a prova. Os próximos vinte e quatro meses de trabalho de governança passam pelos dois.

---

Fontes

• Anthropic. “2028: Two Scenarios for Global AI Leadership.” Maio de 2026.
• Calif.io. “First Public macOS Kernel Memory Corruption Exploit on Apple M5.” Maio de 2026.

A Victorino apoia conselhos e líderes de política a traduzir risco de modelos de fronteira em decisões operacionais de governança: contato@victorino.com.br | www.victorino.com.br