A sua empresa sobreviveria a perder uma ferramenta de IA de um dia para o outro?
A Anthropic retirou o Claude Fable 5 poucas horas após uma ordem do governo dos EUA. Porque é que todas as empresas na região DACH e no Reino Unido devem agora desenhar as suas dependências de IA para a resiliência.
Na semana passada, a Anthropic retirou o Claude Fable 5 poucas horas após uma ordem do governo dos EUA. O modelo tinha apenas alguns dias, por isso poucas equipas o sentiram. É precisamente isso que o torna uma antevisão de baixo custo de um risco que vale a pena preparar agora, com calma, em toda a região DACH e no Reino Unido.
Na sexta-feira à noite, uma diretiva norte-americana de controlo de exportações ordenou à Anthropic que cortasse o acesso aos seus dois modelos mais recentes e capazes — o Claude Fable 5 e o Claude Mythos 5 — a qualquer cidadão estrangeiro. Para cumprir, a empresa desligou ambos para todos os clientes, em todas as regiões, em poucas horas. Todos os outros modelos Claude continuaram a funcionar. O Fable 5 estava disponível de forma geral há apenas alguns dias, pelo que muito poucas equipas o tinham já integrado em algo que importasse. A perturbação, desta vez, foi pequena.
É exatamente por isso que merece um olhar atento. O que importa é o mecanismo, não o número reduzido de afetados. Um modelo lançado há um ano, entrelaçado em centenas de fluxos de trabalho e por detrás de funcionalidades em que os seus clientes tocam, poderia ser retirado da mesma forma e nas mesmas poucas horas, pelo mesmo tipo de razão. O gatilho aqui foi uma preocupação de segurança real, e um governo deve poder agir sobre uma. Mas a forma da ação — desligar tudo para todos de uma só vez para cumprir — transforma uma decisão de segurança acertada num acontecimento operacional para cada empresa a jusante. Pode concordar que a decisão foi correta e ainda assim precisar de um plano para a manhã em que a ferramenta desaparece.
A maioria das empresas ainda não consegue sequer nomear os serviços externos de que as suas operações dependem. Alguns são óbvios e estão num processo de compras: o ERP, o banco, o alojamento na cloud. Os restantes entraram pela porta do lado. Um engenheiro inscreveu-se num assistente de IA com o cartão da empresa. Uma equipa começou a encaminhar pedidos de clientes através de uma ferramenta que ninguém aprovou formalmente. Nada disso passou por uma revisão, por isso nada disso chegou a um registo, por isso ninguém fez a pergunta que a sexta-feira acabou de tornar concreta: o que continua a funcionar se isto desaparecer amanhã?
Para quem é responsável pela segurança, o caso da IA tem um gume mais afiado. Estas ferramentas espalharam-se mais depressa dentro do próprio trabalho de segurança: triagem, análise de registos, redação de regras de deteção, revisão de código. Um modelo capaz devolve horas reais a uma equipa sobrecarregada. Significa também que parte das suas defesas pode agora apoiar-se em algo que uma ordem de exportação consegue desligar sem aviso — e desligar precisamente porque o modelo é bom em segurança. Quanto melhor a ferramenta, mais vale a pena depender dela, e mais vale a pena ter uma forma de a substituir. Garantir um sistema de IA passou a ser muito mais do que verificar os seus resultados. Inclui agora a questão de saber se ainda consegue operar na manhã em que ele desaparece.
Nada disto é uma nova categoria de risco, e o seu regulador já apontou para ela. Na UE, o DORA dedica uma secção inteira ao risco de terceiros nas TIC e exige que as empresas reguladas mapeiem os seus fornecedores críticos e planeiem a saída, com a concentração mencionada pelo nome; a NIS2 coloca a segurança da cadeia de fornecimento e a continuidade de negócio entre os seus deveres essenciais. No Reino Unido, a FCA e a PRA mantêm há anos um regime de resiliência operacional e, em janeiro de 2025, entrou em vigor um novo regime para terceiros críticos, construído pelo Banco de Inglaterra e pelos reguladores porque demasiado do sistema financeiro tinha passado a depender dos mesmos poucos fornecedores. A ISO 27001 e o framework do NIST incluem controlos de fornecedores e de cloud desde que alguém detém um certificado. O rumo está traçado. Uma ferramenta de IA de ponta juntou-se simplesmente à lista de fornecedores que podem desaparecer — e pode fazê-lo em horas.
A forma da resposta não é segredo. Assenta em três coisas: saber de que ferramentas externas realmente não consegue passar num dia normal, ter uma segunda opção deliberada para as que importam e provar que a mudança funciona antes de precisar dela. A maioria das equipas consegue nomear a primeira ferramenta dessa lista numa única reunião.
A dificuldade nunca é a lista; é o discernimento por baixo dela. Tem de distinguir uma ferramenta de que apenas sentiria falta de outra sem a qual o negócio pararia. A alternativa tem de o cobrir de verdade, e não falhar pela mesma razão no mesmo momento. E a mudança tem de aguentar numa manhã má, não num teste arrumado. É esse discernimento que transforma um registo em resiliência, e foi onde na semana passada se viu quem mal reparou e quem entrou em pânico.
É esta a parte que fazemos, de ambos os lados do Canal da Mancha, e não tem de a resolver sozinho. A Small Scale constrói modelos operacionais e compliance-by-design para PME em toda a região DACH, para que a sua forma de trabalhar continue a funcionar quando um fornecedor não funciona. A CRMG traz uma gestão profunda de risco cibernético ao Reino Unido e mais além, incluindo o risco de terceiros e a garantia de IA de que este episódio depende. Ajudamo-lo a encontrar as dependências que realmente importam e a escolher alternativas que aguentam, para que a mudança se torne algo que ensaiou em vez de algo que receia.
Qual é a única ferramenta que a sua empresa não poderia perder amanhã, e tem uma segunda pronta a ocupar o seu lugar?
Marque uma conversa com a Small Scale →
Alexandre de Sousa Bally é Principal Consultant na Small Scale, que constrói modelos operacionais e compliance-by-design para PME em toda a região DACH.
Este artigo também está disponível na página de insights da Small Scale.
Os comentários ainda não estão configurados.