Vera Rubin NVL72 da Nvidia, anunciado na CES 2026, criptografa todos os barramentos em 72 GPUs, 36 CPUs e toda a estrutura NVLink. É a primeira plataforma em escala de rack a fornecer computação confidencial em domínios de CPU, GPU e NVLink.
Para os líderes de segurança, isto muda fundamentalmente a conversa. Em vez de tentar proteger configurações complexas de nuvem híbrida por meio de confiança contratual com provedores de nuvem, eles podem verificá-las criptograficamente. Esta é uma distinção crítica que importa quando os adversários dos Estados-nação provam que são capazes de lançar ataques cibernéticos direcionados à velocidade da máquina.
A economia brutal da IA desprotegida
Pesquisa de IA da época mostra que os custos de formação de fronteira cresceram 2,4x anualmente desde 2016, o que significa que cursos de formação de milhares de milhões de dólares poderão ser uma realidade dentro de poucos anos. No entanto, a infraestrutura que protege estes investimentos permanece fundamentalmente insegura na maioria das implementações. Os orçamentos de segurança criados para proteger modelos de formação de fronteira não estão a acompanhar o ritmo excepcionalmente rápido da formação de modelos. O resultado é que mais modelos estão sob ameaça, uma vez que as abordagens existentes não conseguem escalar e acompanhar o trabalho dos adversários.
Relatório de custo de violação de dados de 2025 da IBM descobriram que 13% das organizações sofreram violações de modelos ou aplicações de IA. Entre os violados, 97% não possuíam controles de acesso de IA adequados.
Os incidentes de Shadow AI custam em média US$ 4,63 milhões, ou US$ 670.000 a mais do que as violações padrão, com uma em cada cinco violações envolvendo agora ferramentas não sancionadas que expõem desproporcionalmente PII do cliente (65%) e propriedade intelectual (40%).
Pense no que isso significa para as organizações que gastam US$ 50 milhões ou US$ 500 milhões em treinamentos. Seus pesos de modelo ficam em ambientes multilocatários onde os provedores de nuvem podem inspecionar os dados. A criptografia em nível de {hardware} que prova que o ambiente não foi adulterado altera totalmente essa equação financeira.
A chamada de despertar GTG-1002
Em novembro de 2025, a Anthropic revelou algo sem precedentes: um grupo patrocinado pelo Estado chinês, designado GTG-1002, manipulou Claude Code para conduzir o que a empresa descreveu como o primeiro caso documentado de um ataque cibernético em grande escala executado sem intervenção humana substancial.
Adversários patrocinados pelo Estado transformaram-no num agente de intrusão autónomo que descobriu vulnerabilidades, criou explorações, recolheu credenciais, moveu-se lateralmente através de redes e classificou dados roubados por valor de inteligência. Os operadores humanos intervieram apenas em momentos críticos. De acordo com a análise da Antrópica, a IA executou cerca de 80 a 90% de todo o trabalho tático de forma independente.
As implicações vão além deste único incidente. Superfícies de ataque que antes exigiam equipes de atacantes experientes agora podem ser investigadas na velocidade da máquina por oponentes com acesso a modelos básicos.
Comparando o desempenho de Blackwell vs. Rubin
|
Especificação |
Blackwell GB300 NVL72 |
Rubin NVL72 |
|
Computação de inferência (FP4) |
1,44 exaFLOPS |
3.6 exaFLOPS |
|
NVFP4 por GPU (inferência) |
20 PFLOPS |
50 PFLOPS |
|
Largura de banda NVLink por GPU |
1,8 TB/s |
3,6 TB/s |
|
Largura de banda NVLink do rack |
130 TB/s |
260 TB/s |
|
Largura de banda HBM por GPU |
~8 TB/s |
~22 TB/s |
Impulso da indústria e alternativa da AMD
A Nvidia não está operando isoladamente. Pesquisa do Confidential Computing Consortium e IDCdivulgado em dezembro, descobriu que 75% das organizações estão adotando a computação confidencial, com 18% já em produção e 57% em implantações piloto.
“A Computação Confidencial cresceu de um conceito de nicho para uma estratégia important para segurança de dados e inovação confiável de IA”, disse Nelly Porter, presidente do conselho de administração do Confidential Computing Consortium. Persistem barreiras reais: os desafios de validação de atestados afetam 84% dos entrevistados e uma lacuna de competências prejudica 75%.
Rack Helios da AMD adota uma abordagem diferente. Construído com base na especificação Open Rack Large da Meta, anunciada no OCP World Summit em outubro de 2025, ele oferece aproximadamente 2,9 exaflops de computação FP4 com 31 TB de memória HBM4 e largura de banda agregada de 1,4 PB/s. Enquanto a Nvidia projeta computação confidencial em cada componente, a AMD prioriza padrões abertos por meio dos consórcios Extremely Accelerator Hyperlink e Extremely Ethernet.
A competição entre a Nvidia e a AMD está dando aos líderes de segurança mais opções do que teriam de outra forma. É basic comparar as compensações da abordagem integrada da Nvidia com a flexibilidade de padrões abertos da AMD para suas infraestruturas específicas e modelos de ameaças específicos de negócios.
O que os líderes de segurança estão fazendo agora
A confidencialidade no nível do {hardware} não substitui os princípios de confiança zero; isso lhes dá dentes. O que a Nvidia e a AMD estão construindo permite que os líderes de segurança verifiquem a confiança criptograficamente, em vez de assumi-la contratualmente.
Essa é uma mudança significativa para qualquer pessoa que execute cargas de trabalho confidenciais em infraestrutura compartilhada. E se as afirmações do atestado se mantiverem na produção, esta abordagem poderá permitir que as empresas estendam a aplicação de confiança zero a milhares de nós, sem a expansão de políticas e a sobrecarga do agente que as implementações apenas de software program exigem.
Antes da implantação: Verifique o atestado para confirmar que os ambientes não foram adulterados. A prova criptográfica de conformidade deve ser um pré-requisito para a assinatura de contratos, e não uma reflexão tardia ou, pior, algo bom de se ter. Se o seu provedor de nuvem não puder demonstrar recursos de atestado, essa é uma questão que vale a pena levantar no seu próximo QBR.
Durante a operação: Mantenha enclaves separados para treinamento e inferência e inclua equipes de segurança no pipeline do modelo desde o início. A pesquisa da IBM mostrou que 63% das organizações violadas não tinham nenhuma política de governança de IA. Você não pode ativar a segurança após o desenvolvimento; isso se traduz em um avanço para projetos de segurança medíocres e longas equipes vermelhas que detectam bugs que precisavam ser projetados a partir de um modelo ou aplicativo antecipadamente.
Em toda a organização: Execute exercícios conjuntos entre equipes de segurança e ciência de dados para descobrir vulnerabilidades antes que os invasores as encontrem. Shadow AI foi responsável por 20% das violações e expôs PII e IP de clientes em taxas mais altas do que outros tipos de violação.
Resultado last
A campanha GTG-1002 demonstrou que os adversários podem agora automatizar invasões em grande escala com o mínimo de supervisão humana em grande escala. Quase todas as organizações que sofreram uma violação relacionada à IA não tinham controles de acesso adequados.
Vera Rubin NVL72 da Nvidia transforma racks de passivos potenciais em ativos atestados criptograficamente, criptografando cada barramento. O Helios da AMD oferece uma alternativa de padrões abertos. A confidencialidade do {hardware} por si só não impedirá um adversário determinado, mas combinada com uma governança forte e exercícios de ameaças realistas, a criptografia em escala de rack oferece aos líderes de segurança a base necessária para proteger investimentos avaliados em centenas de milhões de dólares.
A questão que os CISOs enfrentam não é se a infraestrutura atestada vale a pena. A questão é se as organizações que criam modelos de IA de alto valor podem se dar ao luxo de operar sem eles.
