O Desafio da Descontinuação de Tecnologia: A Saída da Anthropic
O recente decreto federal que ordena a todas as agências governamentais dos EUA a cessarem o uso da tecnologia da Anthropic trouxe um desafio significativo: um prazo de seis meses para a transição. O problema se agrava quando consideramos que a maioria das organizações desconhece onde os modelos da Anthropic estão integrados em seus fluxos de trabalho.
Dependências Ocultas e Riscos de Segurança
O abismo entre o que as empresas acreditam ter aprovado e o que efetivamente está em operação é mais amplo do que muitos líderes de segurança percebem. As dependências de fornecedores de IA não terminam no contrato assinado; elas se estendem através dos fornecedores, dos fornecedores dos fornecedores e das plataformas SaaS adotadas sem uma revisão de compra.
- Uma pesquisa da Panorays de janeiro de 2026 revelou que apenas 15% dos CISOs dos EUA têm visibilidade total de suas cadeias de suprimentos de software.
- 49% dos trabalhadores adotaram ferramentas de IA sem aprovação empregatícia, segundo um levantamento da BlackFog.
Esse é o cenário onde as dependências de IA não documentadas se acumulam, invisíveis até que uma migração forçada as torne um problema coletivo.
O Impacto da Migração Forçada
A diretiva governamental cria uma migração forçada sem precedentes. Empresas que dependem de um único fornecedor de IA para fluxos de trabalho críticos enfrentarão problemas semelhantes se esse fornecedor desaparecer. Incidentes de “Shadow AI” agora representam 20% de todas as violações, aumentando em até $670.000 os custos médios de violações de dados, conforme o relatório da IBM de 2025.
Riscos na Cadeia de Suprimentos de IA
A Anthropic afirmou que oito das dez maiores empresas dos EUA utilizam o Claude, seu principal modelo. Organizações na cadeia de suprimentos dessas empresas têm exposição indireta à Anthropic, independentemente de terem contratado ou não.
Desafios da Integração de Modelos
Merritt Baer, CSO na Enkrypt AI, destaca que “os modelos não são intercambiáveis”. Trocar de fornecedor altera formatos de saída, características de latência, filtros de segurança e perfis de alucinação, o que implica em revalidação de controles.
Visibilidade e Controle das Dependências
A vasta adoção de tecnologia SaaS ensinou às equipes de segurança sobre os riscos de tecnologias não sancionadas. No entanto, as dependências de fornecedores de IA são mais complexas e menos visíveis, não deixando rastros claros nos sistemas de logs.
Ações Concretas para Mitigar Riscos
A diretiva federal não criou o problema de visibilidade da cadeia de suprimentos de IA, apenas o evidenciou. Merritt Baer sugere quatro passos concretos que podem ser executados em 30 dias:
- Mapeie os caminhos de execução, não apenas os fornecedores.
- Identifique pontos de controle que você realmente possui.
- Realize um teste de interrupção no seu principal fornecedor de IA.
- Force a divulgação de subprocessadores e modelos pelos seus fornecedores de IA.
Conclusão
A ilusão de controle pode ser perigosa. As organizações que mapearam suas cadeias de suprimento de IA antes da “tempestade” estarão mais preparadas para se recuperar. Portanto, mapear as dependências de fornecedores de IA até o subnível é crucial. Realize o teste de interrupção. Exija a divulgação. Dê a si mesmo 30 dias. A próxima migração forçada pode não vir com um aviso de seis meses.
