A avaliação da NIST sobre a DeepSeek é um ataque político disfarçado de ciência

 (erichartford.com)
2 pontos por GN⁺ 2025-10-07 | 1 comentários | Compartilhar no WhatsApp
  • O relatório de avaliação dos modelos de IA da DeepSeek publicado pela NIST em setembro de 2025 é um documento com finalidade política, não uma avaliação técnica neutra, e carrega a intenção de conter a IA open source chinesa sem apresentar evidências de ameaças reais à segurança
  • O relatório não conseguiu apresentar qualquer evidência de backdoor, spyware ou vazamento de dados nos modelos da DeepSeek, apontando apenas que eles foram menos ajustados para segurança, são mais fáceis de contornar por jailbreak e refletem pontos de vista do governo chinês
  • A DeepSeek contribuiu enormemente para a pesquisa aberta em IA ao divulgar completamente pesos do modelo, arquitetura e metodologia de treinamento sob licença Apache 2.0, mas o governo dos EUA a classificou como uma "IA adversária"
  • A NIST confunde deliberadamente execução local com uso via API, omite comparações com outros modelos open source e não testa vieses de modelos americanos, usando uma metodologia enviesada
  • O relatório faz parte de uma política industrial para conter a DeepSeek, que comprovou a competitividade da IA open source, a fim de proteger a posição monopolista das empresas americanas de IA, priorizando interesses comerciais e estratégicos acima da neutralidade científica

A natureza do relatório de avaliação da NIST sobre a DeepSeek

  • O relatório da NIST sobre a DeepSeek, de 30 de setembro de 2025, é um documento de ataque político, não uma avaliação técnica neutra
    • Não há absolutamente nenhuma evidência de backdoors, spyware ou vazamento de dados
    • É uma tentativa do governo dos EUA de usar medo e desinformação para atrapalhar open science, open research e open source
    • Ataca, com política e falsidades, uma contribuição para a humanidade a fim de proteger poder corporativo e manter controle
  • Após a publicação do relatório, houve pânico online
    • Alegações de que os pesos da DeepSeek estavam comprometidos
    • Alegações de que a China estaria espionando por meio do modelo
    • Alegações de que o simples download já seria um risco de segurança
    • Todas essas alegações são falsas

As conquistas reais da DeepSeek

  • Desenvolvimento de modelos de IA competitivos
    • Alcançou desempenho de nível de ponta com um orçamento muito menor que OpenAI ou Anthropic
    • Não é perfeito, mas é um resultado impressionante para o orçamento utilizado
  • Abertura total sob licença Apache 2.0
    • Pesos do modelo
    • Arquitetura
    • Metodologia de treinamento
    • Artigos de pesquisa
  • Permitiu que qualquer pessoa reproduzisse o trabalho e executasse modelos em escala de fronteira localmente
    • Tornando possível recriar tudo do zero
    • Uma das maiores contribuições para a pesquisa aberta em IA dos últimos anos
  • Reação do governo dos EUA: rotular como "IA adversária" e insinuar espionagem

A principal estratégia de engano da NIST

  • Confusão deliberada de três cenários
    • Cenário A: ao usar o app/API da DeepSeek, prompts são enviados para servidores na China (questão real de soberania de dados)
    • Cenário B: ao baixar pesos abertos e executar localmente, os dados não saem do dispositivo
    • Cenário C: ao hospedar em serviços terceirizados confiáveis como OpenRouter, Fireworks e Chutes, o controle de infraestrutura e privacidade depende do provedor de hospedagem
  • A NIST mistura intencionalmente essas situações totalmente diferentes
    • Soma downloads locais enquanto alerta sobre um "risco à segurança nacional"
    • Qualquer pessoa com conhecimento técnico básico sabe que isso é enganoso
  • Essa confusão se torna a base para o restante do enquadramento enganoso do relatório

O que a NIST realmente encontrou

  • O que sobra ao remover a linguagem sensacionalista
    1. Os modelos da DeepSeek são mais fáceis de contornar por jailbreak do que modelos americanos ajustados para segurança
    2. Às vezes refletem o ponto de vista do governo chinês
    3. Têm desempenho ligeiramente inferior em certos benchmarks
    4. Alega-se que o custo por token é mais alto (sem metodologia fornecida)
  • É só isso
    • Nenhuma evidência de comportamento malicioso
    • Nenhuma evidência de vazamento de dados
    • Nenhuma evidência de que o modelo cometa atos maliciosos além de "responder a prompts de uma forma de que não gostamos"
  • Análise da descoberta sobre jailbreak
    • Porque a DeepSeek investiu menos em treinamento de segurança (questão de recursos)
    • A NIST não testou modelos americanos antigos para comparação
    • Enquanto isso, o gpt-oss-120b da OpenAI é muito fácil de quebrar via jailbreak
  • Análise da descoberta sobre a "narrativa do Partido Comunista Chinês"
    • Não é surpreendente que um modelo treinado com dados chineses reflita pontos de vista chineses
    • Ele está sujeito às leis de censura da China
    • Isso não é uma vulnerabilidade de segurança

Comparações que a NIST não fez

  • Não compara com outros modelos abertos
    • Onde estão Llama, Mistral e Falcon?
    • Se comparasse, mostraria que isso não é um problema da DeepSeek, mas sim que modelos abertos em geral têm menos camadas de segurança do que modelos monopolistas
  • Não compara com modelos americanos mais antigos
    • Como era a vulnerabilidade a jailbreak do GPT-3 em 2020?
    • Essa comparação enfraqueceria a narrativa, por isso não é feita
  • Não testa viés americano em modelos americanos
    • Parece que apenas o viés chinês é tratado como risco de segurança
  • Usa benchmarks fechados
    • "Benchmarks fechados construídos pela CAISI" que não permitem reprodução nem verificação
    • Isso não é ciência, é pesquisa de defesa de causa

O que o relatório realmente diz

  • Lendo nas entrelinhas
    1. Os modelos da DeepSeek são menos polidos — como houve menos investimento em desenvolvimento, é natural que tenham arestas
    2. Os modelos chineses são competitivos o bastante para preocupar — se não ameaçassem participação de mercado, esse relatório não existiria
    3. Os EUA temem perder a dominância em IA — o relatório foi explicitamente encomendado sob o "Plano de Ação para IA" de Trump. A declaração do secretário de Comércio deixa claro que se trata de política industrial, não de avaliação neutra

A ameaça real (dica: não é sobre você)

  • O que a DeepSeek realmente ameaçou: o monopólio
    • O verdadeiro crime da DeepSeek foi mostrar que open source funciona
    • Provou que é possível construir modelos poderosos sem bilhões em venture capital nem APIs fechadas
  • Isso aterroriza empresas que vendem acesso à IA por preços premium
    • Quando a DeepSeek disse "aqui estão os pesos, execute você mesmo", atacou o fosso econômico do qual essas empresas dependem
  • É por isso que o relatório da NIST existe
    • Porque a DeepSeek provou que a abertura pode competir com sistemas fechados
    • E o establishment precisa barrar isso

A hipocrisia

  • Avisos da NIST vs realidade
    • NIST: alerta que modelos da DeepSeek podem responder a prompts maliciosos em ambiente simulado
    • Realidade: modelos americanos de fato enviam dados reais para servidores externos
  • O caso da OpenAI
    • Lembra quando as conversas do ChatGPT eram usadas para treinamento?
    • Só depois da reação negativa foi adicionada a opção de opt-out
  • Comparação
    • Executar pesos da DeepSeek localmente = zero envio de dados
    • Usar a API da OpenAI = envio contínuo de dados para servidores
    • Qual dos dois é o risco de privacidade?
  • O relatório alerta sobre "adoção de IA estrangeira", enquanto ignora que toda API em nuvem, americana ou não, exige confiar na infraestrutura de terceiros
    • Pesos abertos rodando localmente são mais auditáveis e mais seguros do que qualquer serviço em nuvem
  • Mas essa não é a mensagem. Porque isso nunca foi sobre segurança. Foi sobre controle de narrativa

A traição ao open source e à open science

  • A comunidade open source construiu a base da IA moderna
    • Linux, Python, PyTorch, Transformers
    • Décadas de desenvolvimento colaborativo, compartilhado livremente
  • A DeepSeek participa dessa tradição
    • Pegou conhecimento aberto, construiu algo impressionante e devolveu à comunidade
  • Resposta das instituições americanas: chamar isso de ameaça
  • Imagine se a China tivesse feito isso quando a Meta lançou o Llama
    • Se tivesse publicado um relatório do governo alegando que os pesos do Llama eram uma ferramenta de vigilância porque são "vulneráveis a jailbreak"
    • Nós chamaríamos isso de protecionismo. Paranóia tecnológica. Ataque à pesquisa aberta
  • Mas quando nós fazemos isso? "Segurança nacional"
  • A pesquisa aberta precisa ser universal
    • Não dá para defender open science só quando convém

Um teste que você mesmo pode fazer

  • Não acredite em mim, não acredite na NIST, verifique por conta própria
  • Baixe os pesos da DeepSeek
    • Use huggingface transformers, vLLM, LM Studio, llama.cpp para executar localmente
    • Abra uma ferramenta de monitoramento de rede
  • Observe
    • Exatamente zero pacotes sendo enviados para qualquer lugar
    • O prompt é processado inteiramente no dispositivo
    • A terrível "ameaça à segurança" está apenas fazendo multiplicação de matrizes sem se conectar a nada
  • Pergunte-se: por que o governo dos EUA está mentindo sobre isso?
  • A "ameaça à segurança" não está no modelo. Está na política

Com o que você realmente deveria se preocupar

  • Existem preocupações legítimas
    • Uso da API da DeepSeek: se você enviar dados sensíveis ao serviço hospedado da DeepSeek, eles passarão por infraestrutura chinesa. É a mesma questão real de soberania de dados que existe ao usar qualquer provedor estrangeiro de nuvem
    • Vulnerabilidade a jailbreak: se você estiver construindo uma aplicação em produção, teste vulnerabilidades em qualquer modelo e implemente proteções no nível da aplicação. Não dependa só das barreiras do modelo. Além disso, use modelos de guarda em tempo de inferência (como LlamaGuard ou Qwen3Guard) para classificar e filtrar tanto prompts quanto respostas
    • Viés e censura: todo modelo reflete seus dados de treinamento. Esteja ciente disso independentemente do modelo usado
  • Esses são desafios de engenharia
    • Não são motivo para evitar por completo modelos open source (ou chineses)

O significado disso para o futuro da IA

  • Isso não é apenas sobre a DeepSeek
    • É sobre se a IA continuará aberta e auditável ou se será cercada por governos e empresas
  • As perguntas
    • Vamos permitir que "open source" seja redefinido como "aberto apenas se for dos EUA"?
    • Vamos exigir evidências reais para alegações de segurança ou aceitar insinuações vagas?
    • A IA continuará sendo um projeto humano compartilhado ou se tornará uma arma geopolítica?
  • A DeepSeek provou que existe outro caminho. É por isso que precisou ser desacreditada

A visão do autor

  • Contexto do autor
    • Executa modelos open source localmente
    • Treina seus próprios modelos
    • Acredita em alinhamento componível e liberdade do usuário
    • Acredita que a IA deve ser uma ferramenta para usuários, não para corporações ou governos
  • Avaliação do relatório da NIST
    • Não é uma avaliação técnica neutra
    • É um documento de política desenhado para impedir a adoção de modelos chineses de IA e proteger interesses comerciais e estratégicos dos EUA
  • Posição sobre a promoção industrial pelo governo dos EUA
    • Não há nada inerentemente errado em o governo dos EUA promover a indústria americana
    • Mas é preciso chamar isso pelo nome
    • Não disfarçar protecionismo como pesquisa de segurança
    • Não fabricar ameaças
    • Não mentir ao público sobre o que as evidências mostram
  • A contribuição da DeepSeek
    • Nos deu um presente valioso
    • Os pesos são apenas dados safetensor
    • Ficam no disco e funcionam conforme o comando
    • Não ligam para casa. Não espionam. Não vazam dados
  • Conclusão
    • Se você está preocupado, provavelmente não entende como a inferência local funciona
    • Se acredita em alarmismo, foi manipulado com sucesso
    • Nada disso é sobre segurança. É sobre poder — quem constrói, compartilha e entende as ferramentas que moldam o futuro

Conclusão

  • O código e a pesquisa são open source e auditáveis. Todo o resto é política
  • Recomendação ao leitor
    • Leia o relatório da NIST e o código por conta própria
    • Procure evidências reais de código malicioso ou funções de vigilância
    • Você não vai encontrar. Porque elas não existem
  • Depois comece a perguntar
    • Por que pedem que você tema o open source quando ele funciona bem demais?

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-07
Opinião no Hacker News
  • Não me surpreende nem um pouco que instituições americanas venham sendo usadas politicamente há muito tempo em assuntos que ultrapassam fronteiras; eu sempre também fui cético em relação a eletrônicos chineses. Concordo que este relatório é falso e xenófobo, mas, se a China vier a ter controle suficiente sobre LLMs, ainda desconfio da possibilidade de que tente algum tipo de manipulação sutil, seja agora ou no futuro. E isso não vale só para a China: os EUA ou qualquer grande potência fariam o mesmo se tivessem poder suficiente. No fim, o importante é manter uma postura de questionar continuamente os modelos, fazer benchmarking e monitorar de forma constante se eles atendem às nossas necessidades, e não às do provedor
    • Você mencionou a possibilidade de manipulação sutil da China por meio de LLMs; fiquei curioso sobre que formas concretas isso poderia assumir
    • A influência governamental ou política obviamente entra em jogo em algum grau; a questão não é se ela existe, mas onde e quanto ela atua. Não faz sentido simplesmente cravar que este relatório é “falso” ou “tendencioso” e descartá-lo. Precisamos filtrar e analisar informações em um mundo complexo
    • Espalhar desinformação sobre produtos estrangeiros não é a solução; seria melhor reconhecer que as pessoas querem modelos open source e liberar o melhor modelo nacional possível, para que ele seja amplamente usado
    • Organizando meus pensamentos sobre a democracia americana: a liderança dos EUA busca a máxima flexibilidade para decidir o que quiser a qualquer momento. Como é uma democracia, precisa manter a ilusão de apoio popular, e o governo cria um ambiente em que pode garantir algum apoio para qualquer decisão ao incutir certas visões e controlar parte do pensamento do público. Se a política mudar ou surgir um novo líder, torna-se possível atribuir os erros ao antecessor e fazer um recomeço moral do tipo “antes era ruim, mas agora mudou”. Isso é algo impossível em regimes autoritários. Por exemplo, mesmo que Putin reconheça as perdas da guerra, ele não pode simplesmente pará-la sem perder legitimidade política. Se a Rússia fosse uma democracia ao estilo dos EUA, teria sido possível eleger um novo líder, recuar, aplicar uma punição formal a Putin e rapidamente até obter isenção de responsabilidade perante a comunidade internacional
    • Essas instituições também são usadas como ferramentas políticas dentro das próprias fronteiras
  • Recomendo a todos que leiam primeiro o relatório original, depois esta análise, e tirem suas próprias conclusões; é importante ler a fonte em vez de se deixar levar por resumos caça-cliques
  • Como alguém que hospeda LLMs para pesquisadores e equipes em uma universidade europeia, isso me toca bastante pessoalmente. Sem modelos chineses, várias das coisas que fazemos hoje seriam impossíveis. Na minha visão, a UE, ou qualquer outro lugar, deveria agradecer aos institutos chineses por publicarem modelos sob licenças tão generosas. Sem eles, as opções seriam péssimas. Se você precisa de um modelo americano poderoso, recebe a recomendação de montar um datacenter da NVIDIA de centenas de milhões de dólares; mesmo as opções da UE exigem pagamento de licença, ainda que hospedadas em hardware próprio, e no fim o know-how continua protegido. Em contraste, a DeepSeek até divulgou “fontes secretas”, ajudando projetos open source como o vLLM a hospedar modelos com mais eficiência, como no nosso caso
  • Depois de ler o relatório de fato, não achei que ele batesse com a descrição do texto
    • O interessante é que até os comentários deste post diferem do conteúdo real do texto; o autor continua forçando a ideia de que se trata de um ataque ao open source, mas os comentários parecem, na verdade, mencionar de forma adequada os possíveis problemas que podem surgir da influência chinesa
    • Este post de blog é muito enganoso; os primeiros parágrafos enfatizam que no relatório do NIST “não houve malware, backdoors nem sinais de vazamento de dados”, mas isso não é algo que o NIST de fato afirma. Se você ler só o post, parece que o NIST alegou a existência de backdoors sem base alguma
    • No meu caso, senti que o texto correspondia bastante bem ao conteúdo real do relatório
  • Mesmo que modelos chineses virem alvo de difamação, eu vou continuar usando modelos bons e baratos para obter vantagem competitiva
    • A difamação acaba sendo o primeiro passo rumo à criminalização
    • Não encontrei nenhum tom difamatório no artigo do NIST (o original). A definição de “difamação” que tenho em mente é propaganda para demonizar um inimigo; se for outra coisa, gostaria que apontassem exatamente onde isso aparece no relatório. Ver https://www.thefreedictionary.com/demonization
    • É anormal ver gente defendendo modelos fechados que têm desempenho pior, custam várias vezes mais e ainda são mais censurados. As empresas chinesas não parecem tão obcecadas por benchmarks quanto as ocidentais, e na prática, ao usar modelos como Kimi, GLM e Deepseek, sinto que, mesmo com notas menores em benchmarks em inglês, a qualidade percebida é muito superior. O Kimi, em especial, responde perguntas sobre hardware com muito mais detalhe e precisão do que Gemini e Claude. Acho que isso ocorre porque eles aproveitam melhor o treinamento em dados em chinês
  • O autor Eric Hartford disse que era preciso “retirar a linguagem incendiária”, mas no relatório eu não vi esse tipo de linguagem; no geral, o estilo é seco e até meio tedioso
    • Na verdade, o post de blog é que está cheio de linguagem incendiária sem fundamento
    • De fato, acho que este artigo está mais para uma “campanha de difamação” contra o NIST ou os EUA; a linguagem incendiária aparece bem mais no artigo
  • Obrigado por compartilhar bons insights; se alguém aqui já usou na prática o modelo uncensored Dolphin criado pelo autor, tenho curiosidade sobre a experiência
    • Minha opinião é a seguinte: a melhor forma é montar você mesmo um framework de avaliação e testar diretamente. A segunda melhor alternativa é procurar casos externos que tenham conduzido avaliações semelhantes às suas. Mas, sem estabelecer seus próprios critérios, você não tem como saber se a avaliação de outra pessoa é confiável o suficiente. Em especial nas áreas de ML e IA, avalio como baixa a qualidade das discussões no HN; os participantes parecem rápidos, cínicos e faccionalizados, sem realmente buscar a verdade. Ainda assim, quero continuar aqui e contribuir com a discussão. Espero sempre mais clareza, lógica e profundidade; às vezes isso tudo parece https://xkcd.com/386/
  • Considerando que a DeepSeek já teve até um artigo revisado por pares na revista Nature, e que o artigo reconhece alguns problemas apontados por pesquisadores independentes em modelos abertos, penso que esta avaliação do NIST se aproxima mais de um ataque político. Casos como o da CryptoAG, em que agências de inteligência americanas exploraram ganhos tecnológicos para fins de vigilância, ou a controvérsia da Huawei, em que no fim não surgiram grandes evidências maliciosas, alimentam essa inquietação. No fim, é desejável que existam vários modelos abertos, como Kimi e Qwen, para nivelar custo e desempenho, e que desapareça a competição entre países para transformar a IA em um “fosso geopolítico”, o que seria melhor para todo o setor
  • O relatório do NIST já parece defasado, considerando que a China lançou modelos open source muito superiores depois do DeepSeek
  • Fico me perguntando por que o NIST está avaliando desempenho, custo e adoção. Compararam modelos americanos recém-lançados (OpenAI GPT-5 series, Anthropic Opus 4 etc.) com versões antigas do DeepSeek (R1, R1-0528, V3.1), mas o DeepSeek 3.2 atual tem desempenho muito forte. Não é porque um carro faz 0 a 60 milhas em 3 segundos que a avaliação do governo passa a importar; eu preciso dirigir e julgar por mim mesmo. O “modelo de segurança máxima” do DeepSeek foi descrito como tendo taxa de recusa de 6% para solicitações maliciosas, mas, na prática, os modelos GPT americanos hoje também já podem ser abusados praticamente sem restrições. Na minha opinião, este relatório não é uma análise do NIST nem uma crítica de segurança; é apenas material de propaganda dos EUA