Como a Tecnologia de Duas Letras Verifica uma Organização de Três Letras
Uma nova abordagem de auditoria, combinando IA isolada e criptografia de conhecimento zero, promete resolver o dilema secular de verificar organizações secretas sem comprometer sua confidencialidade.
MundiX News·19 de junho de 2026·9 min de leitura·👁 5 views
Existem questões que a humanidade silenciosamente arquivou na pasta "é assim que o mundo funciona". Não porque sejam irrelevantes, mas porque por muito tempo bateram na mesma parede. Uma delas é a necessidade de verificar organizações que, por lei, devem permanecer fechadas: inteligência, contrainteligência, estruturas de defesa específicas. O sigilo delas não é um capricho, mas uma exigência de sobrevivência do Estado. Expor planos de operações, fontes e métodos pode custar vidas humanas. Não há como argumentar contra isso.
No entanto, toda sombra tem uma característica: nela se aninham aqueles que se escondem. Não porque as agências secretas empreguem canalhas, mas porque a ausência de supervisão, mais cedo ou mais tarde, será explorada – sempre, em toda parte. É uma propriedade do sistema, não das pessoas. Onde ninguém pode olhar, a corrupção, os abusos de poder e as operações não sancionadas lentamente se instalam. E assim temos um círculo vicioso, que sustenta metade dos romances de espionagem. Para verificar, é preciso ver. Para manter o segredo, não se pode mostrar. O controle exige acesso. O sigilo proíbe o acesso. E, o que é particularmente frustrante, ambos os lados estão corretos. Por séculos, escolhemos entre dois males: ou confiamos na agência cegamente e ignoramos o que acontece internamente, ou enviamos inspetores e nos despedimos do segredo, pois a pessoa com acesso é, por si só, um vazamento em potencial. Não havia terceira opção. Pelo menos, era o que se pensava. E, francamente, eu também pensava assim – até juntar várias coisas que já existem separadamente. Ao juntá-las, senti aquela rara sensação pela qual vale a pena escrever: parece que a antiga questão está ganhando uma resposta não filosófica, mas de engenharia.
A tarefa de "confirmar uma propriedade sem revelar o objeto em si" soa como um truque de um livro de lógica sem solução. Mas ela já foi resolvida – e não em qualquer lugar, mas na área mais paranoica que se possa imaginar: o controle de armas nucleares. Imagine negociações de desarmamento. Um país deve provar aos inspetores de outro que o item apresentado para descarte é uma ogiva real, e não um invólucro vazio para enganar. Mas mostrar o design de uma ogiva é impossível: esse é precisamente o segredo que é guardado com mais fervor. Provar é uma obrigação. Revelar é proibido. O mesmo impasse, palavra por palavra. E foi contornado. Em 2014, a Nature publicou um trabalho de Glazer, Barak e Goldston: um protocolo de conhecimento zero para verificação de ogivas. O inspetor recebe um "sim, é uma ogiva real" matematicamente irrefutável – e não aprende absolutamente nada sobre seu design. A ideia foi aprimorada ao longo dos anos: Glazer, Barak, Goldston – Nature 510 (2014). O protocolo original de conhecimento zero para verificação de ogivas. Philippe, Glazer, Felten (arXiv: 1809.04170) – depósito criptográfico de parâmetros: o Estado registra uma declaração completa antecipadamente e revela informações sensíveis gradualmente, passo a passo. McDonald, Kemp (arXiv: 1811.10375) – estimativa de quanta informação é vazada através da própria medição (uma medida de privacidade do protocolo). Perry, Zhukov (arXiv: 2507.20074) – um "passaporte de ogiva" moderno baseado em zkSNARK: uma cadeia de compromissos sobre o ciclo de vida do produto com verificação periódica de conformidade com o contrato. O que é importante aqui é que a tarefa de "verificar sem mostrar" deixou de ser ficção científica há uma década. Ela está sendo resolvida onde o preço do erro é a guerra nuclear. Simplesmente, a solução tem sido aplicada a uma lâmpada que acende "sim" ou "não". E se a aplicarmos não a uma ogiva, mas a uma agência inteira?
A hipótese é a seguinte: um órgão de supervisão e uma agência secreta concordam antecipadamente sobre um conjunto de perguntas. Houve operações não autorizadas? As despesas correspondem aos objetivos declarados? Não há sinais de que parte da estrutura esteja operando "para si mesma"? Esta é uma instrução acordada. Ambas as partes a veem; nada nela é secreto. Em seguida, um operador traz um dispositivo autônomo – um modelo de linguagem especializado em hardware isolado. Não conectado à internet. Não conectado a nada externo. Ele é levado para uma sala blindada, com acesso apenas à rede interna – aos dados que precisam ser verificados. O modelo opera de acordo com a instrução acordada: lê, compara, procura anomalias. O resultado é um relatório digital, assinado pela chave do próprio modelo. Depois disso, ele é desligado e completamente apagado. Nada vazou para o exterior: o dispositivo é fisicamente incapaz de transmitir qualquer coisa. Apenas o relatório saiu. E o relatório é astuto – consiste em duas partes, com diferentes níveis de sigilo. A versão curta vai para a supervisão: apenas a conclusão – "sem anomalias" ou "há discrepâncias nas categorias X, Y", sem detalhes. Mesmo que esse resumo vaze, não haverá grandes danos. A versão detalhada permanece dentro da agência – para que ela mesma verifique se o modelo não inventou algo. Aqui, o vazamento é impossível por definição: a agência já possui esses segredos. E agora, a parte mais interessante. Por que tudo isso não pode ser confiado a um ser humano? Pareceria simples: coloque um inspetor de confiança, dê acesso, deixe-o verificar. Sempre foi feito assim. E sempre esbarrou na mesma coisa. Uma pessoa agindo como árbitro é, por si só, uma vulnerabilidade. Ela pode ser comprada. Pode ser intimidada. Ela tem família, hipoteca, ambições, ressentimentos, um passado que pode ser explorado. Dê a ela acesso a segredos – e ela instantaneamente se torna um alvo para ambos os lados: a agência teme que ela vaze, a supervisão teme que ela seja comprada ou quebrada. Uma pessoa nesse ponto não é neutra. Ela não pode ser neutra. Ela é viva. Uma máquina isolada muda exatamente isso. Ela não pode ser subornada – não tem desejos. Não pode ser intimidada – não tem nada a perder. Não pode ser chantageada – não tem passado. Ela não levará o segredo para casa, porque não tem casa, e fisicamente não poderá levá-lo para fora. Pela primeira vez na história, algo que é neutro não por nobreza, mas por design, pode ocupar o lugar de árbitro. E a essência da ideia é exatamente essa. A máquina é valiosa aqui não pela velocidade de leitura. Ela é valiosa porque pode ocupar um papel que um ser humano não pode ocupar – sem ser corrompido por ele. E aqui surge uma pergunta legítima: bem, é um belo sonho – mas por que eu deveria acreditar que isso é realizável, e não apenas mais um manifesto do tipo "quem dera"? Justo. Vamos analisar tijolo por tijolo. E o que é intoxicante: quase todos os detalhes já existem. Hoje, quase todas as peças necessárias já existem – em hardware e em produtos em funcionamento. A garantia de que o modelo exato, não adulterado, foi executado. Isso já é possível – via hardware, através de chamadas "ambientes de execução confiáveis". Processadores e aceleradores modernos executam computações em uma área isolada e protegida (chamada de enclave) e fornecem uma confirmação criptográfica: foi executado exatamente este código e estes pesos, ninguém os tocou. Isso não é um laboratório, mas hardware em série – computação confidencial em H100, Intel TDX, AMD SEV-SNP – e os custos adicionais, de acordo com várias medições, são inferiores a dez por cento (Gu, arXiv: 2507.02770; Khrapak, arXiv: 2509.18886; e o trabalho anterior "Slalom" de Tramér e Bone, arXiv: 1806.03287). Uma assinatura que não pode ser falsificada. Dentro do enclave, um par de chaves é gerado. A chave privada não pode ser extraída fisicamente. Com a chave pública, qualquer pessoa pode verificar que o relatório foi assinado por este modelo neste enclave. Criptografia antiga e bem estabelecida. Integridade do conjunto de dados declarado para verificação. Para que a agência não apresente uma versão "maquiada" da realidade, o conjunto declarado é fixado criptograficamente – por árvores de Merkle, manifestos assinados, seguindo a lógica de "Transparência de Certificados" (Certificate Transparency, RFC 6962; trabalhos de Figuera, arXiv: 2606.04193, e Yang, arXiv: 2602.18681). Se algo for alterado internamente, isso será visível. Estreiteza do canal de vazamento no próprio relatório. O relatório também é uma saída, através da qual teoricamente é possível "injetar" um bit extra para fora. Isso é corrigido com um modelo rígido: o modelo responde estritamente ao formulário, sem texto livre no qual algo possa ser escondido (Metere, arXiv: 2605.20734; Gore, arXiv: 2405.15652). E mais: uma execução honesta de uma rede neural pode ser provada criptograficamente. Para um modelo com 13 bilhões de parâmetros, tal prova já está sendo construída em minutos, e pesa menos de 200 KB (zkLLM, arXiv: 2404.16109). Junte tudo. Confirmação da não adulteração do modelo – existe. Assinatura inautêntica – existe. Fixação de dados – existe. Redução de vazamento – existe. Provas para modelos sérios – já estão sendo consideradas. Nenhum tijolo precisa ser inventado do zero. Resta apenas montá-los para uma nova tarefa. A questão nem é sobre confiança, mas sobre quão difícil é enganar. Deixe-me esclarecer de imediato: essa coisa não é um oráculo que fornece a verdade divina. Ela faz algo mais modesto e importante – substitui o "confie em nós" por algo que pode ser verificado manualmente. Hoje, a supervisão é obrigada a confiar na agência como um todo: confie que não escondemos nada, confie que nos verificamos, confie em nosso relatório. Um bloco opaco contínuo. Aqui, o bloco se desintegra em pedaços, cada um dos quais pode ser examinado separadamente: verifique a montagem do modelo, verifique a completude do conjunto declarado, verifique o conjunto acordado de perguntas. Parte disso é verificada matematicamente. E aqui está a ideia principal. A questão nem é sobre confiança, mas sobre quão difícil é enganar. Confiança é apenas uma consequência: quanto mais difícil a falsificação, menos é preciso confiar cegamente. E falsificar aqui é difícil em cada etapa. Substituir o modelo – não vai dar, a certificação pegará. Falsificar a assinatura – impossível, a chave está trancada no hardware. "Maquiar" os dados – será notado, o conjunto foi fixado antecipadamente. De "confie em nós" passa a ser "tente enganar a verificação" – e essa é uma conversa completamente diferente. E o que é mais importante aqui do que parece. Uma agência não é um monólito. São centenas de pessoas, e cada uma possui um pedaço do quadro, cada uma sabe sobre parte das violações. Mas ninguém quer ser testemunha e geralmente não pode. Enquanto não houver verificações e a agência estiver fechada em si mesma, é fácil envolver um funcionário individual em uma violação – seja ela pequena ou grande: ele tem certeza da impunidade. Agora imagine que há uma verificação regular, cujo resultado é medido e comparado. A aritmética se inverte. Violar sozinho se torna perigoso. E para esconder uma violação de tal verificação, seria necessária uma conspiração silenciosa em massa – e quanto mais pessoas envolvidas, mais improvável que ela se sustente. Não é preciso pegar todo mundo. Basta que a impunidade deixe de ser uma garantia. E sim, a ferramenta tem limites – como qualquer ferramenta. Ela provará que a computação foi honesta, mas não que a conclusão é necessariamente correta – porque a parte detalhada do relatório permanece na agência para re-verificação. Ela verificará o conjunto declarado, mas não o fato de que algo não foi intencionalmente incluído – por isso a regularidade das verificações é mais importante do que uma única vez. Estes não são buracos, mas limites, em torno dos quais tudo é construído. Para quem quiser investigar cada um a fundo – essa é uma conversa técnica separada. Aqui, basta dizer: enganar tornou-se difícil, e, portanto, quase não é mais preciso confiar cegamente. Por que isso é mais do que um gadget esperto? Agora, vamos dar um passo atrás e ver do que essa história é realmente parte. Porque não se trata de agências. Lembre-se do que a internet fez. Ela não foi concebida como uma ferramenta de transparência. Mas, ao se espalhar pelo mundo, tornou o sigilo mais caro e a divulgação mais barata, e com isso remodelou as relações da sociedade com o poder mais do que tomos de reformas. Uma tecnologia criada para transmitir pacotes acabou sendo uma alavanca para a transparência – secundariamente, quase acidentalmente, mas irreversivelmente. Com a inteligência artificial, acho que estamos à beira de algo semelhante – só que quase ninguém fala sobre isso. Sobre o que se fala? Sobre os riscos – alto, alarmante, incessantemente. E sobre os benefícios – mas quase sempre em um único plano: produtividade. Código mais rápido, textos mais baratos, menos pessoas para o mesmo volume. IA como um transportador aprimorado. Aumente a velocidade, diminua a equipe. Mas esse é o seu potencial mais chato. Existe outro, sobre o qual quase não se escreve, e não se trata de "×5 de produção". Existe uma classe inteira de problemas que descartamos como "irresolúveis" – e todos eles são estruturados da mesma forma. No cerne de cada um está um papel que deveria ser ocupado por alguém impecavelmente neutro – e não há ninguém neutro para pegar, porque qualquer pessoa nesse cargo é vulnerável e dependente. Um árbitro que pode ser comprado. Uma testemunha que pode ser intimidada. Um auditor que tem sua própria família e seu próprio medo. O controlador de uma agência secreta é apenas o exemplo mais agudo. Mas da mesma forma são feitos a contagem independente de votos, a verificação de que um algoritmo não mente para milhões, e a auditoria de quem se nomeou intocável. Antes, esse papel não podia ser preenchido sem falhas por ninguém. Agora – pela primeira vez – surge um candidato que é neutro não por bravura, mas por design: não tem nada a querer, nada a temer, nenhum lugar para levar o segredo. É aqui, na minha opinião, que reside a verdadeira euforia. Não no fato de que um analista trabalhará dez vezes mais rápido. Mas no fato de que as questões que por dois mil anos estiveram na pasta "é assim que o mundo funciona" de repente vislumbraram uma resposta de engenharia. A IA é capaz não apenas de acelerar as velhas máquinas sociais – ela é capaz de adicionar nós a elas que nunca estiveram lá, porque esses nós não podiam ser feitos de pessoas vivas. Sim, ao lado dessa possibilidade vêm os riscos, e é preciso falar sobre eles com sobriedade. Mas não se pode, olhando apenas para o abismo, deixar de notar a ponte. E a ponte aqui é real, com apoios de trabalhos científicos reais, e não de slogans inspiradores. Não vou superestimar a novidade – tento me controlar. Na literatura, auditam-se sistemas de IA: modelos, treinamento, inferência. Mas a ideia de colocar uma IA isolada como auditora em um instituto secreto – com a ligação "inserir -> ler -> assinar -> apagar" – em sua forma montada, não encontrei em pesquisas. O mais próximo em espírito são as discussões sobre inspeção interestadual de laboratórios de IA (Hendrix, Schmidt, Wang; Sher e Tirgart, "Mechanisms to Verify International Agreements About AI Development"), mas isso é sobre outra coisa e ainda especulativo. Portanto, formulo com cautela: até onde sei, a tarefa não foi formulada dessa forma antes. Se você mostrar uma fonte anterior, terei prazer em me corrigir. E sim, essa ideia tem um inimigo natural. Não um vilão de cinema. Todos aqueles que vivem da opacidade e para quem é muito conveniente que a verificação não seja possível. Haverá resistência, e da parte deles ela é absolutamente racional. É sempre assim com ferramentas que deslocam o equilíbrio de poder. Algumas palavras sobre o método – caso contrário, qualquer parágrafo acima poderia ter sido simplesmente inventado, e você estaria certo em não acreditar. Cada afirmação sobre "já funciona" aqui está ligada a uma fonte primária específica no corpo científico vivo – com sobrenomes e identificadores de trabalhos, e não a um vago "li em algum lugar". Essa é a diferença entre um ensaio visionário e uma bela conversa fiada: por trás de cada "isso é real" há uma referência que pode ser aberta e verificada. Fundamentar teses com um corpo de fontes primárias, e não com a memória do modelo – é uma tarefa de engenharia separada, e estou construindo uma ferramenta para isso (OpenArx): ela pesquisa artigos e para cada afirmação retorna o que a apoia, o que a refuta e onde não há dados. Este artigo é, ao mesmo tempo, um teste de estresse dessa abordagem em um tema onde a tentação de embelezar é particularmente grande. Mas isso já são detalhes. O principal é a ideia. Juvenal perguntou quem vigiaria os vigias, dois mil anos atrás. E todo esse tempo a resposta foi um encolher de ombros. Talvez, agora, pela primeira vez, a resposta deixe de ser filosófica e se torne de engenharia. Tecnicamente, quase tudo para isso já existe; falta a construção montada e a vontade – daqueles que se sentem mais confortáveis na escuridão. E se nos coube viver na era em que tais respostas de repente se tornam possíveis – seria um pecado não aproveitá-las.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Existem questões que a humanidade silenciosamente arquivou na pasta "é assim que o mundo funciona". Não porque sejam irrelevantes, mas porque por muito tempo bateram na mesma parede. Uma delas é a necessidade de verificar organizações que, por lei, devem permanecer fechadas: inteligência, contrainteligência, estruturas de defesa específicas. O sigilo delas não é um capricho, mas uma exigência de sobrevivência do Estado. Expor planos de operações, fontes e métodos pode custar vidas humanas. Não há como argumentar contra isso.
No entanto, toda sombra tem uma característica: nela se aninham aqueles que se escondem. Não porque as agências secretas empreguem canalhas, mas porque a ausência de supervisão, mais cedo ou mais tarde, será explorada – sempre, em toda parte. É uma propriedade do sistema, não das pessoas. Onde ninguém pode olhar, a corrupção, os abusos de poder e as operações não sancionadas lentamente se instalam. E assim temos um círculo vicioso, que sustenta metade dos romances de espionagem. Para verificar, é preciso ver. Para manter o segredo, não se pode mostrar. O controle exige acesso. O sigilo proíbe o acesso. E, o que é particularmente frustrante, ambos os lados estão corretos. Por séculos, escolhemos entre dois males: ou confiamos na agência cegamente e ignoramos o que acontece internamente, ou enviamos inspetores e nos despedimos do segredo, pois a pessoa com acesso é, por si só, um vazamento em potencial. Não havia terceira opção. Pelo menos, era o que se pensava. E, francamente, eu também pensava assim – até juntar várias coisas que já existem separadamente. Ao juntá-las, senti aquela rara sensação pela qual vale a pena escrever: parece que a antiga questão está ganhando uma resposta não filosófica, mas de engenharia.
A tarefa de "confirmar uma propriedade sem revelar o objeto em si" soa como um truque de um livro de lógica sem solução. Mas ela já foi resolvida – e não em qualquer lugar, mas na área mais paranoica que se possa imaginar: o controle de armas nucleares. Imagine negociações de desarmamento. Um país deve provar aos inspetores de outro que o item apresentado para descarte é uma ogiva real, e não um invólucro vazio para enganar. Mas mostrar o design de uma ogiva é impossível: esse é precisamente o segredo que é guardado com mais fervor. Provar é uma obrigação. Revelar é proibido. O mesmo impasse, palavra por palavra. E foi contornado. Em 2014, a Nature publicou um trabalho de Glazer, Barak e Goldston: um protocolo de conhecimento zero para verificação de ogivas. O inspetor recebe um "sim, é uma ogiva real" matematicamente irrefutável – e não aprende absolutamente nada sobre seu design. A ideia foi aprimorada ao longo dos anos: Glazer, Barak, Goldston – Nature 510 (2014). O protocolo original de conhecimento zero para verificação de ogivas. Philippe, Glazer, Felten (arXiv: 1809.04170) – depósito criptográfico de parâmetros: o Estado registra uma declaração completa antecipadamente e revela informações sensíveis gradualmente, passo a passo. McDonald, Kemp (arXiv: 1811.10375) – estimativa de quanta informação é vazada através da própria medição (uma medida de privacidade do protocolo). Perry, Zhukov (arXiv: 2507.20074) – um "passaporte de ogiva" moderno baseado em zkSNARK: uma cadeia de compromissos sobre o ciclo de vida do produto com verificação periódica de conformidade com o contrato. O que é importante aqui é que a tarefa de "verificar sem mostrar" deixou de ser ficção científica há uma década. Ela está sendo resolvida onde o preço do erro é a guerra nuclear. Simplesmente, a solução tem sido aplicada a uma lâmpada que acende "sim" ou "não". E se a aplicarmos não a uma ogiva, mas a uma agência inteira?
A hipótese é a seguinte: um órgão de supervisão e uma agência secreta concordam antecipadamente sobre um conjunto de perguntas. Houve operações não autorizadas? As despesas correspondem aos objetivos declarados? Não há sinais de que parte da estrutura esteja operando "para si mesma"? Esta é uma instrução acordada. Ambas as partes a veem; nada nela é secreto. Em seguida, um operador traz um dispositivo autônomo – um modelo de linguagem especializado em hardware isolado. Não conectado à internet. Não conectado a nada externo. Ele é levado para uma sala blindada, com acesso apenas à rede interna – aos dados que precisam ser verificados. O modelo opera de acordo com a instrução acordada: lê, compara, procura anomalias. O resultado é um relatório digital, assinado pela chave do próprio modelo. Depois disso, ele é desligado e completamente apagado. Nada vazou para o exterior: o dispositivo é fisicamente incapaz de transmitir qualquer coisa. Apenas o relatório saiu. E o relatório é astuto – consiste em duas partes, com diferentes níveis de sigilo. A versão curta vai para a supervisão: apenas a conclusão – "sem anomalias" ou "há discrepâncias nas categorias X, Y", sem detalhes. Mesmo que esse resumo vaze, não haverá grandes danos. A versão detalhada permanece dentro da agência – para que ela mesma verifique se o modelo não inventou algo. Aqui, o vazamento é impossível por definição: a agência já possui esses segredos. E agora, a parte mais interessante. Por que tudo isso não pode ser confiado a um ser humano? Pareceria simples: coloque um inspetor de confiança, dê acesso, deixe-o verificar. Sempre foi feito assim. E sempre esbarrou na mesma coisa. Uma pessoa agindo como árbitro é, por si só, uma vulnerabilidade. Ela pode ser comprada. Pode ser intimidada. Ela tem família, hipoteca, ambições, ressentimentos, um passado que pode ser explorado. Dê a ela acesso a segredos – e ela instantaneamente se torna um alvo para ambos os lados: a agência teme que ela vaze, a supervisão teme que ela seja comprada ou quebrada. Uma pessoa nesse ponto não é neutra. Ela não pode ser neutra. Ela é viva. Uma máquina isolada muda exatamente isso. Ela não pode ser subornada – não tem desejos. Não pode ser intimidada – não tem nada a perder. Não pode ser chantageada – não tem passado. Ela não levará o segredo para casa, porque não tem casa, e fisicamente não poderá levá-lo para fora. Pela primeira vez na história, algo que é neutro não por nobreza, mas por design, pode ocupar o lugar de árbitro. E a essência da ideia é exatamente essa. A máquina é valiosa aqui não pela velocidade de leitura. Ela é valiosa porque pode ocupar um papel que um ser humano não pode ocupar – sem ser corrompido por ele. E aqui surge uma pergunta legítima: bem, é um belo sonho – mas por que eu deveria acreditar que isso é realizável, e não apenas mais um manifesto do tipo "quem dera"? Justo. Vamos analisar tijolo por tijolo. E o que é intoxicante: quase todos os detalhes já existem. Hoje, quase todas as peças necessárias já existem – em hardware e em produtos em funcionamento. A garantia de que o modelo exato, não adulterado, foi executado. Isso já é possível – via hardware, através de chamadas "ambientes de execução confiáveis". Processadores e aceleradores modernos executam computações em uma área isolada e protegida (chamada de enclave) e fornecem uma confirmação criptográfica: foi executado exatamente este código e estes pesos, ninguém os tocou. Isso não é um laboratório, mas hardware em série – computação confidencial em H100, Intel TDX, AMD SEV-SNP – e os custos adicionais, de acordo com várias medições, são inferiores a dez por cento (Gu, arXiv: 2507.02770; Khrapak, arXiv: 2509.18886; e o trabalho anterior "Slalom" de Tramér e Bone, arXiv: 1806.03287). Uma assinatura que não pode ser falsificada. Dentro do enclave, um par de chaves é gerado. A chave privada não pode ser extraída fisicamente. Com a chave pública, qualquer pessoa pode verificar que o relatório foi assinado por este modelo neste enclave. Criptografia antiga e bem estabelecida. Integridade do conjunto de dados declarado para verificação. Para que a agência não apresente uma versão "maquiada" da realidade, o conjunto declarado é fixado criptograficamente – por árvores de Merkle, manifestos assinados, seguindo a lógica de "Transparência de Certificados" (Certificate Transparency, RFC 6962; trabalhos de Figuera, arXiv: 2606.04193, e Yang, arXiv: 2602.18681). Se algo for alterado internamente, isso será visível. Estreiteza do canal de vazamento no próprio relatório. O relatório também é uma saída, através da qual teoricamente é possível "injetar" um bit extra para fora. Isso é corrigido com um modelo rígido: o modelo responde estritamente ao formulário, sem texto livre no qual algo possa ser escondido (Metere, arXiv: 2605.20734; Gore, arXiv: 2405.15652). E mais: uma execução honesta de uma rede neural pode ser provada criptograficamente. Para um modelo com 13 bilhões de parâmetros, tal prova já está sendo construída em minutos, e pesa menos de 200 KB (zkLLM, arXiv: 2404.16109). Junte tudo. Confirmação da não adulteração do modelo – existe. Assinatura inautêntica – existe. Fixação de dados – existe. Redução de vazamento – existe. Provas para modelos sérios – já estão sendo consideradas. Nenhum tijolo precisa ser inventado do zero. Resta apenas montá-los para uma nova tarefa. A questão nem é sobre confiança, mas sobre quão difícil é enganar. Deixe-me esclarecer de imediato: essa coisa não é um oráculo que fornece a verdade divina. Ela faz algo mais modesto e importante – substitui o "confie em nós" por algo que pode ser verificado manualmente. Hoje, a supervisão é obrigada a confiar na agência como um todo: confie que não escondemos nada, confie que nos verificamos, confie em nosso relatório. Um bloco opaco contínuo. Aqui, o bloco se desintegra em pedaços, cada um dos quais pode ser examinado separadamente: verifique a montagem do modelo, verifique a completude do conjunto declarado, verifique o conjunto acordado de perguntas. Parte disso é verificada matematicamente. E aqui está a ideia principal. A questão nem é sobre confiança, mas sobre quão difícil é enganar. Confiança é apenas uma consequência: quanto mais difícil a falsificação, menos é preciso confiar cegamente. E falsificar aqui é difícil em cada etapa. Substituir o modelo – não vai dar, a certificação pegará. Falsificar a assinatura – impossível, a chave está trancada no hardware. "Maquiar" os dados – será notado, o conjunto foi fixado antecipadamente. De "confie em nós" passa a ser "tente enganar a verificação" – e essa é uma conversa completamente diferente. E o que é mais importante aqui do que parece. Uma agência não é um monólito. São centenas de pessoas, e cada uma possui um pedaço do quadro, cada uma sabe sobre parte das violações. Mas ninguém quer ser testemunha e geralmente não pode. Enquanto não houver verificações e a agência estiver fechada em si mesma, é fácil envolver um funcionário individual em uma violação – seja ela pequena ou grande: ele tem certeza da impunidade. Agora imagine que há uma verificação regular, cujo resultado é medido e comparado. A aritmética se inverte. Violar sozinho se torna perigoso. E para esconder uma violação de tal verificação, seria necessária uma conspiração silenciosa em massa – e quanto mais pessoas envolvidas, mais improvável que ela se sustente. Não é preciso pegar todo mundo. Basta que a impunidade deixe de ser uma garantia. E sim, a ferramenta tem limites – como qualquer ferramenta. Ela provará que a computação foi honesta, mas não que a conclusão é necessariamente correta – porque a parte detalhada do relatório permanece na agência para re-verificação. Ela verificará o conjunto declarado, mas não o fato de que algo não foi intencionalmente incluído – por isso a regularidade das verificações é mais importante do que uma única vez. Estes não são buracos, mas limites, em torno dos quais tudo é construído. Para quem quiser investigar cada um a fundo – essa é uma conversa técnica separada. Aqui, basta dizer: enganar tornou-se difícil, e, portanto, quase não é mais preciso confiar cegamente. Por que isso é mais do que um gadget esperto? Agora, vamos dar um passo atrás e ver do que essa história é realmente parte. Porque não se trata de agências. Lembre-se do que a internet fez. Ela não foi concebida como uma ferramenta de transparência. Mas, ao se espalhar pelo mundo, tornou o sigilo mais caro e a divulgação mais barata, e com isso remodelou as relações da sociedade com o poder mais do que tomos de reformas. Uma tecnologia criada para transmitir pacotes acabou sendo uma alavanca para a transparência – secundariamente, quase acidentalmente, mas irreversivelmente. Com a inteligência artificial, acho que estamos à beira de algo semelhante – só que quase ninguém fala sobre isso. Sobre o que se fala? Sobre os riscos – alto, alarmante, incessantemente. E sobre os benefícios – mas quase sempre em um único plano: produtividade. Código mais rápido, textos mais baratos, menos pessoas para o mesmo volume. IA como um transportador aprimorado. Aumente a velocidade, diminua a equipe. Mas esse é o seu potencial mais chato. Existe outro, sobre o qual quase não se escreve, e não se trata de "×5 de produção". Existe uma classe inteira de problemas que descartamos como "irresolúveis" – e todos eles são estruturados da mesma forma. No cerne de cada um está um papel que deveria ser ocupado por alguém impecavelmente neutro – e não há ninguém neutro para pegar, porque qualquer pessoa nesse cargo é vulnerável e dependente. Um árbitro que pode ser comprado. Uma testemunha que pode ser intimidada. Um auditor que tem sua própria família e seu próprio medo. O controlador de uma agência secreta é apenas o exemplo mais agudo. Mas da mesma forma são feitos a contagem independente de votos, a verificação de que um algoritmo não mente para milhões, e a auditoria de quem se nomeou intocável. Antes, esse papel não podia ser preenchido sem falhas por ninguém. Agora – pela primeira vez – surge um candidato que é neutro não por bravura, mas por design: não tem nada a querer, nada a temer, nenhum lugar para levar o segredo. É aqui, na minha opinião, que reside a verdadeira euforia. Não no fato de que um analista trabalhará dez vezes mais rápido. Mas no fato de que as questões que por dois mil anos estiveram na pasta "é assim que o mundo funciona" de repente vislumbraram uma resposta de engenharia. A IA é capaz não apenas de acelerar as velhas máquinas sociais – ela é capaz de adicionar nós a elas que nunca estiveram lá, porque esses nós não podiam ser feitos de pessoas vivas. Sim, ao lado dessa possibilidade vêm os riscos, e é preciso falar sobre eles com sobriedade. Mas não se pode, olhando apenas para o abismo, deixar de notar a ponte. E a ponte aqui é real, com apoios de trabalhos científicos reais, e não de slogans inspiradores. Não vou superestimar a novidade – tento me controlar. Na literatura, auditam-se sistemas de IA: modelos, treinamento, inferência. Mas a ideia de colocar uma IA isolada como auditora em um instituto secreto – com a ligação "inserir -> ler -> assinar -> apagar" – em sua forma montada, não encontrei em pesquisas. O mais próximo em espírito são as discussões sobre inspeção interestadual de laboratórios de IA (Hendrix, Schmidt, Wang; Sher e Tirgart, "Mechanisms to Verify International Agreements About AI Development"), mas isso é sobre outra coisa e ainda especulativo. Portanto, formulo com cautela: até onde sei, a tarefa não foi formulada dessa forma antes. Se você mostrar uma fonte anterior, terei prazer em me corrigir. E sim, essa ideia tem um inimigo natural. Não um vilão de cinema. Todos aqueles que vivem da opacidade e para quem é muito conveniente que a verificação não seja possível. Haverá resistência, e da parte deles ela é absolutamente racional. É sempre assim com ferramentas que deslocam o equilíbrio de poder. Algumas palavras sobre o método – caso contrário, qualquer parágrafo acima poderia ter sido simplesmente inventado, e você estaria certo em não acreditar. Cada afirmação sobre "já funciona" aqui está ligada a uma fonte primária específica no corpo científico vivo – com sobrenomes e identificadores de trabalhos, e não a um vago "li em algum lugar". Essa é a diferença entre um ensaio visionário e uma bela conversa fiada: por trás de cada "isso é real" há uma referência que pode ser aberta e verificada. Fundamentar teses com um corpo de fontes primárias, e não com a memória do modelo – é uma tarefa de engenharia separada, e estou construindo uma ferramenta para isso (OpenArx): ela pesquisa artigos e para cada afirmação retorna o que a apoia, o que a refuta e onde não há dados. Este artigo é, ao mesmo tempo, um teste de estresse dessa abordagem em um tema onde a tentação de embelezar é particularmente grande. Mas isso já são detalhes. O principal é a ideia. Juvenal perguntou quem vigiaria os vigias, dois mil anos atrás. E todo esse tempo a resposta foi um encolher de ombros. Talvez, agora, pela primeira vez, a resposta deixe de ser filosófica e se torne de engenharia. Tecnicamente, quase tudo para isso já existe; falta a construção montada e a vontade – daqueles que se sentem mais confortáveis na escuridão. E se nos coube viver na era em que tais respostas de repente se tornam possíveis – seria um pecado não aproveitá-las.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
