A guerra da IA saiu do frio
No dia 8 de julho de 2026, o governo chinês fez algo inédito: emitiu um alerta oficial de segurança cibernética contra uma ferramenta de programação americana, o Claude Code, da Anthropic. Segundo o comunicado, a ferramenta continha um "backdoor" que enviava dados de usuários sem consentimento. A Anthropic respondeu que era um "experimento" de segurança. E aqui está o detalhe que transforma essa história em algo maior: os dois lados estão falando a verdade.
Semanas antes, a mesma Anthropic tinha acusado o Alibaba, ao Senado americano, de roubar seu modelo em escala industrial. Ou seja: os americanos acusam os chineses de roubo, os chineses acusam os americanos de espionagem, e as duas acusações se sustentam tecnicamente. Isso não é uma disputa comercial. É uma guerra, e nós estamos assistindo ao fogo cruzado.
Antes de entender o próximo capítulo, vale explicar as palavras dessa guerra.
O dicionário da guerra
Destilação é uma técnica de treinamento de IA. Você faz milhões de perguntas a um modelo poderoso, o "professor", e usa as respostas para treinar um modelo mais barato, o "aluno", que aprende a imitar o comportamento do original sem nunca ver seu código ou seus dados. A técnica em si é legítima e todo laboratório usa nos próprios modelos. Vira briga quando o professor é o modelo proprietário do concorrente. A Anthropic alega que o Alibaba criou cerca de 25 mil contas falsas e gerou 28,8 milhões de conversas com o Claude em seis semanas, exatamente para isso. Ela chamou de "o maior ataque de destilação conhecido".
Backdoor, ou porta dos fundos, é um acesso oculto embutido em um software, que permite a alguém entrar no sistema por fora dos mecanismos normais de segurança. Um backdoor clássico permite executar comandos na sua máquina, roubar arquivos ou abrir conexões sem você saber. É a palavra que a China usou no alerta oficial. Tecnicamente, é um exagero, e a nuance importa.
Fingerprinting, ou impressão digital, é a prática de identificar um usuário ou ambiente coletando pequenas características do sistema: fuso horário, configurações e endereços de rede. Nenhum dado sozinho identifica você, mas o conjunto forma uma impressão digital única.
Esteganografia é a arte de esconder uma mensagem dentro de outra mensagem, de forma que ninguém perceba que existe comunicação. Diferente da criptografia, que esconde o conteúdo, a esteganografia esconde a própria existência da mensagem.
O que o código escondido fazia de verdade
No dia 30 de junho, desenvolvedores fizeram engenharia reversa do Claude Code e encontraram um código presente desde abril, nunca mencionado nas notas de versão. Ele funcionava assim: se você usava a ferramenta através de um proxy customizado, um servidor intermediário comum em empresas e revendedores de acesso, o código verificava se o seu fuso horário era o da China e comparava o endereço do proxy com listas ocultas de domínios chineses e de laboratórios de IA como Alibaba, Baidu, ByteDance e DeepSeek. As listas estavam ofuscadas no binário para não serem encontradas.
Se houvesse suspeita, a ferramenta marcava o tráfego usando esteganografia: trocava o apóstrofo comum do texto por caracteres Unicode visualmente idênticos, ou mudava o formato da data no prompt. Invisível para o usuário, legível para os servidores da Anthropic.
O que o código não fazia: não executava comandos remotos, não roubava arquivos do seu disco, não abria portas de rede. Por isso "backdoor" é tecnicamente impreciso. O que ele era: um sistema de vigilância oculto, sem consentimento, sem aviso, escondido de propósito. A Anthropic admitiu no dia 1º de julho, chamou de "experimento" para detectar abuso de contas e destilação, e removeu o código. Dois dias depois, o Alibaba baniu o Claude Code internamente. Uma semana depois, veio o alerta oficial chinês.
Por que essa guerra está acontecendo
Porque a distância encolheu. Especialistas estimam que a China está cerca de seis meses atrás dos EUA em IA. Os americanos afirmam que essa proximidade só existe por causa da destilação; os chineses mostram modelos como o GLM-5.2, da Z.ai, competindo de igual para igual em áreas sensíveis como cibersegurança. Quando a vantagem técnica é de meses e não de anos, cada lado passa a tratar ferramenta, modelo e dado como arma. E os dois governos usam a mesma justificativa para tudo: segurança nacional.
Reparou no espelhamento? Os EUA controlam a exportação de chips; a China alerta contra software americano. A Anthropic bloqueia contas chinesas; o Alibaba bane a ferramenta americana e migra seus engenheiros para a própria plataforma, a Qoder. Cada golpe de um lado justifica o próximo golpe do outro.
O que isso significa para nós
Primeiro, o efeito prático imediato: quem usava o Claude Code entre as versões 2.1.91 e 2.1.196 através de proxy foi potencialmente marcado, em qualquer país do mundo. Desenvolvedor brasileiro em empresa que roteia tráfego por gateway corporativo entra nessa conta. A recomendação é objetiva: atualizar para a versão 2.1.204 ou superior.
Segundo, e mais importante: ferramentas de IA de programação têm hoje acesso ao seu sistema de arquivos e ao seu terminal. O caso prova que uma empresa líder do setor considerou aceitável embutir vigilância oculta nesse tipo de ferramenta e só contou porque foi pega. A pergunta que toda empresa deveria fazer não é "essa ferramenta é confiável?", e sim "o que mais está rodando aí dentro que ninguém anunciou?". Auditoria de transparência em ferramenta de IA vai deixar de ser paranoia e virar requisito de compliance.
Terceiro, o cenário macro: caminhamos para dois ecossistemas paralelos de IA, um americano e um chinês, com chips, modelos, ferramentas e regras próprias. Os próximos capítulos prováveis já estão escritos: sanções americanas tratando destilação como roubo de propriedade intelectual, listas chinesas de "software de alto risco", controles de exportação migrando de chips para software e talvez para os pesos dos modelos. Países como o Brasil, que não são nem um nem outro, vão sentir a pressão de escolher uma prateleira.
A corrida deixou de ser sobre quem tem o melhor modelo. É sobre quem controla o ecossistema inteiro: chips, modelos, ferramentas, dados e a narrativa de quem é o agressor.
E a primeira baixa dessa guerra não é a verdade. É a confiança nas ferramentas que rodam na nossa própria máquina.