Ordem executiva de IA dos EUA cria ‘cybersecurity clearinghouse’ e revisao voluntaria de modelos de fronteira
Em 2 de junho, Trump assinou ordem executiva que cria clearinghouse de cybersecurity de IA, revisao voluntaria de modelos de fronteira e benchmark classificado.
Resumo: Em 2 de junho de 2026, o presidente Donald Trump assinou a executive order Promoting Advanced Artificial Intelligence Innovation and Security. O texto cria três alavancas centrais: um AI cybersecurity clearinghouse coordenado por Tesouro, NSA e CISA, em colaboração voluntária com a indústria; um processo no qual desenvolvedores fornecem ao governo acesso prévio a modelos por até 30 dias antes do lançamento; e um benchmark classificado para definir o que vira covered frontier model. Para o Brasil, é referência regulatória que deve influenciar o PL 2338/2023 (Marco da IA) e atualizações da LGPD.
O que a ordem cria, na prática
A clearinghouse coordena vulnerability scanning, descoberta, validação e distribuição de patches em sistemas de IA e infraestrutura crítica. Participação privada é voluntária — uma diferença marcante em relação à abordagem da União Europeia (AI Act, obrigatório por categoria de risco). O prazo é apertado: a clearinghouse deve ser estabelecida em 30 dias (até cerca de 2 de julho), e o benchmark classificado em 60 dias (1 de agosto).
O benchmark é desenvolvido por Tesouro, NSA, CISA, NIST e equipe da Casa Branca. Ele define quais modelos têm capacidades cibernéticas avançadas suficientes para serem considerados frontier — e portanto sujeitos a revisão prévia. Atores envolvidos: Secretary of the Treasury, National Cyber Director, Secretary of War, Secretary of Homeland Security. O quadro inclui também previsão de financiamento via OMB e OPM para capacidades de defesa cibernética movidas a IA.
Por que importa — e o status no Brasil
A LGPD passa por debate de extensão para sistemas algorítmicos; o PL 2338/2023, conhecido como Marco da IA, está em discussão no Senado, com substitutivo que mira responsabilização objetiva por danos e categorias de risco inspiradas no AI Act. O modelo norte-americano de “voluntariedade + clearinghouse” pode influenciar o debate brasileiro — em especial sobre como conciliar inovação e mitigação de risco sem travar setores estratégicos.
Empresas brasileiras que oferecem serviços a clientes ou órgãos americanos (TIVIT, Stefanini, Eldorado, instituições financeiras com operação nos EUA) podem precisar adotar práticas equivalentes — inventário de vulnerabilidades de modelo, integração com NIST AI RMF e processos de divulgação responsável.
O que muda em vulnerabilidade de IA
Tradicionalmente, vulnerabilidade era código. Agora vira prompt injection, jailbreak, exfiltração de dados de treinamento, data poisoning, ataques a embeddings e abuso de tool-use por agentes. A clearinghouse, na prática, terá que padronizar nomenclatura (parecida com o CVE atual) e processo de divulgação. Espere ver, ao longo de 2026 e 2027, um CWE/CVE específico para LLMs, talvez integrado ao MITRE ATLAS.
Riscos e limitações
A voluntariedade é alvo de crítica: opositores do EO argumentam que, sem obrigatoriedade, fornecedores menos cuidadosos vão ignorar a clearinghouse e gerar incidentes em massa. Há também risco de captura regulatória — quando os mesmos atores que fazem o produto definem o padrão, o resultado pode favorecer incumbentes. Para o Brasil, há risco adicional de perda de soberania: se o framework norte-americano virar padrão de facto, decisões sobre segurança de modelos críticos passam por agências fora do território nacional.
Há ainda insegurança jurídica na janela de 30 dias: empresas que fornecem modelo a clientes globais precisam decidir se atrasam lançamento, se entregam versão diferente ao governo ou se ignoram o processo. Cada caminho tem custo.
Cenário até 2027
Esperamos os primeiros sign-ups voluntários de Anthropic, OpenAI, Google DeepMind, xAI, Meta e Microsoft até agosto de 2026. A primeira lista de covered frontier models deve sair entre setembro e dezembro. No Brasil, a expectativa é de movimento da ANPD, do CGI.br e da CGU para mapear modelos brasileiros que possam ser classificados como críticos — operações bancárias, saúde, defesa e infraestrutura energética. O PL 2338 deve incorporar pelo menos um elemento (clearinghouse de vulnerabilidades) no substitutivo final.
Conclusão prática
Para CIOs, DPOs e CSOs brasileiros, o checklist imediato é: (1) mapear sistemas de IA internos e de fornecedores que poderiam ser classificados como “frontier” (acima de 10^25 FLOPs de treino, ou com capacidade cibernética avançada); (2) iniciar inventário de vulnerabilidades de modelo, com testes de prompt injection e jailbreak; (3) seguir as recomendações do NIST AI RMF 1.0 e ATLAS; (4) acompanhar o substitutivo do PL 2338 no Senado. Quem se antecipa hoje paga menos em adaptação amanhã. Em temas que tocam segurança nacional e dados sensíveis, vale também consultar assessoria jurídica especializada.
Fonte original: Promoting Advanced Artificial Intelligence Innovation and Security — The White House (02/06/2026).
