Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Anthropic AI ha sviluppato un nuovo modello che riesce ad individuare vulnerabilità informatiche con velocità e precisione, correlando debolezze tra sistemi diversi. Di fronte al rischio di abusi e dei potenziali impatti globali, l’azienda ha scelto di non rilasciarlo pubblicamente, limitandone l’accesso. La decisione ha evidenziato un problema che diventa sempre più evidente: le tecnologie con implicazioni di cyber warfare sono sempre più nelle mani di aziende private. Questo solleva interrogativi su governance, sicurezza e controllo.
Anthropic AI è uno dei principali sviluppatori di modelli di Intelligenza Artificiale e stava lavorando a uno strumento che, nelle intenzioni, era destinato al supporto allo sviluppo software.
Durante la sua implementazione, tuttavia, il modello ha mostrato una significativa capacità anche nel campo della cybersecurity: il sistema, infatti, era in grado di individuare vulnerabilità informatiche con una velocità ed una accuratezza decisamente superiori anche a quelle di esperti informatici, ma soprattutto si è mostrato in grado di correlare tra loro debolezze apparentemente indipendenti,
sviluppando nuovi scenari di rischio.
Anthropic si è trovata davanti a una decisione etica e morale piuttosto netta: che cosa fare quando si scopre di possedere un potere che non si è certi di saper governare? Perché, per dirla con una citazione cinematografica di cui abuso: “da un grande potere derivano grandi responsabilità”.
Viviamo in una realtà in cui la vita quotidiana di cittadini, imprese e istituzioni dipende sempre più da sistemi informatici: dai risparmi personali ai contratti, fino ai rapporti con la Pubblica Amministrazione, e in cui le infrastrutture critiche mondiali poggiano su software sviluppati e distribuiti da un ristretto numero di grandi produttori.
Questa ridotta offerta tecnologica crea infatti pochi, determinanti “punti di rottura” per cui individuare una vulnerabilità in uno di questi nodi, può consentire di generare impatti massivi sull’intero ecosistema digitale mondiale. Tutto con una singola azione.
Di fronte a questo scenario, Anthropic ha ritenuto che rendere pubblicamente disponibile, da subito, il modello sarebbe stato troppo rischioso poiché questo potente strumento può essere un vantaggio per chi sviluppa software, ma anche per chi vuole trovare vulnerabilità da sfruttare per fini criminali. L’azienda ha quindi adottato una scelta apparentemente controintuitiva rispetto alle logiche di mercato: il modello non è stato rilasciato, ma condiviso solo con un gruppo ristretto di interlocutori selezionati che sono i principali produttori globali (tendenzialmente occidentali) di software, alcuni anche concorrenti diretti dell’azienda in questione. La ragione è quella di svilupparne le potenzialità in modo controllato e orientato alla difesa dei sistemi informatici più diffusi nel globo, i cui produttori sono tutti seduti intorno al tavolo del progetto Glasswing. Va detto, tuttavia, che dal punto di vista commerciale, da questo annuncio e da questa mossa straordinaria si è creato un incredibile hype e siamo tutti in attesa di vedere queste mostruose potenzialità dello strumento in via di sviluppo.
Insomma, l’idea è quella di costruire competenze e strumenti difensivi avanzati prima che una tecnologia di questo tipo, resa pubblica, possa essere utilizzata anche da attori malevoli.
La scelta di non rendere pubblico il modello rappresenta quindi una decisione di auto contenimento. Invece di affidarsi alle logiche commerciali e alla possibilità di acquisire una posizione dominante sul mercato digitale, Anthropic ha optato per una condivisione ristretta, selettiva, orientata a scopi dichiaratamente difensivi.
Ma proprio qui emerge il nodo etico più profondo.
Questa vicenda (mi) solleva diversi interrogativi.
Il presupposto è che nel contesto attuale di guerra ibrida la cybersicurezza è uno strumento bellico a tutti gli effetti. Ciò detto, storicamente lo sviluppo di armi basato su scoperte scientifiche è stato appannaggio degli Stati e dei cosiddetti “sistemi paese”, soggetti a (quantomeno teorici) meccanismi di controllo politico, democratico e da meno teoriche convenzioni e sanzioni internazionali.
Oggi, invece, aziende private dispongono delle risorse finanziarie, tecniche e organizzative necessarie per sviluppare strumenti utilmente ed efficacemente utilizzabili in scenari bellici, e possono decidere autonomamente chi possa o non possa accedervi.
Queste decisioni potrebbero essere influenzate non solo da considerazioni etiche o di sicurezza collettiva, ma anche da interessi economici, strategici o commerciali. Il fatto che tecnologie con la potenzialità di ridefinire gli equilibri di potere globali non nascano da decisioni di organi democratici e rappresentativi bensì da strategie aziendali e organi di business che non rispondono a una democrazia globale, inevitabilmente ispirate da interessi economici, competitivi e geopolitici trasforma l’etica pubblica in fiducia.
L’iniziativa di Anthropic viene oggi lodata, a ragione, per la scelta prudente di non immettere sul mercato uno strumento di cui non sono ancora pienamente note le capacità e le implicazioni. Ma il vero interrogativo è cosa accadrà domani.
Fino a che l’utilizzo di tali strumenti resta confinato a funzioni difensive, come l’individuazione di vulnerabilità da correggere per aumentare la sicurezza dei sistemi informatici, è accettabile giustificare la diffusione controllata e ispirata a logiche di mercato finalizzate alla messa in sicurezza dei propri prodotti commerciali.
Tuttavia, in un contesto in cui si comincia a parlare di cybersecurity reattiva, di contro-offensive digitali e perfino di attacchi preventivi contro “potenziali” aggressori, il confine tra difesa e attacco diventa sempre più sottile e ambiguo.
In questo scenario, la gestione privata di tecnologie utilmente utilizzabili in scenari bellici pone una questione di governance collettiva: chi decide come, quando e contro chi possono essere utilizzate? A chi possono essere distribuite? Sulla base di quali principi? Possiamo davvero fidarci e affidarci esclusivamente alle scelte aziendali degli attori più potenti sul mercato.
Di fronte a questi scenari, quanto sembra lontana l’epoca in cui alcuni esperti redigevano una lettera aperta in cui si chiedeva una moratoria etica sullo sviluppo dell’AI. Eppure sono passati solo 3 anni. Ma la questione sul tavolo, seppure in contesti diversi, è sempre quella: “queste decisioni non devono essere delegate a leader tecnologici non eletti”.
