Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Palantir non sta semplicemente costruendo software.
Sta riscrivendo il runtime decisionale della guerra moderna, portandolo da un modello umano-centrico a una pipeline computazionale deterministica, dove l’AI non è un assistente ma un orchestratore con accesso privilegiato alla kill chain. Il Maven Smart System (MSS) non è un tool, è un middleware militare che si posiziona tra ingestion layer e action layer, comprimendo la latenza decisionale e trasformando il targeting in una funzione quasi idempotente.
Chi ha messo mano a sistemi distribuiti reali sa che il problema non è mai stato il dato, ma il binding tra dati eterogenei. Prima di Maven, il contesto operativo era una giungla di sistemi legacy: ISR feeds ingestati in pipeline separate, database non normalizzati, API inconsistenti, latenze imprevedibili. Il risultato era una sorta di exploit chain decisionale fragile, dove ogni passaggio introduceva rumore, perdita di contesto e possibilità di errore umano. L’analista diventava di fatto un parser biologico, costretto a fare correlation manuale tra fonti incompatibili.
MSS interviene esattamente qui, introducendo un abstraction layer che funziona come un hypervisor semantico. I dati grezzi vengono virtualizzati in oggetti coerenti, normalizzati e referenziabili. Non è semplice ETL, è una vera e propria compilazione semantica: il pixel diventa entità, l’entità diventa nodo, il nodo entra in un grafo persistente con relazioni dinamiche e attributi versionati. È un knowledge graph, sì, ma con vincoli di consistenza e latenza tipici di un sistema real-time critico.
Se lo guardi con occhi da hacker, quello che stanno facendo è costruire un sistema dove il dato non viene solo processato, ma “eseguito”. Il grafo diventa una memoria attiva, interrogabile in linguaggio naturale ma tradotta in query strutturate su dataset classificati. Gli LLM integrati nel layer AIP non sono frontend, sono interpreti che traducono input umano in operazioni su strutture dati complesse. In pratica, hai un REPL militare su un grafo globale di battlefield intelligence.
Il Project Maven, nato tra il 2016 e il 2017, era solo il bootstrap di questa architettura. Computer vision sui feed drone, classificazione automatica, riduzione del carico cognitivo umano. Ma già lì si intravedeva il pattern: eliminare l’analista come single point of failure. Passare da 2000 operatori a 20 non è ottimizzazione, è una privilege escalation sistemica della macchina rispetto all’uomo.
Oggi MSS funziona come un sistema distribuito event-driven, dove ogni input – satellite, drone, SIGINT, HUMINT – viene ingestato, normalizzato e correlato in tempo quasi reale. Il layer AIP agisce come orchestratore, gestendo flussi, policy e accessi. Gli agenti AI sono runtime agentici che eseguono query complesse, correlano pattern e restituiscono output già contestualizzati. Non c’è più separazione tra analisi e azione: il sistema produce direttamente oggetti operativi.
Il parallelo con la privilege escalation non è casuale. L’utente non accede ai dati raw, ma a una vista mediata, filtrata e controllata. È una sandbox ad alta sicurezza, dove ogni query passa attraverso policy enforcement, auditing e contestualizzazione. Ma a differenza di un sistema IT, qui l’output non è un log o un alert: è una decisione che può attivare un asset reale.
Il punto dove la cosa diventa realmente interessante – e per certi versi inquietante – è la generazione automatica dei Course of Action. MSS non si limita a descrivere lo stato del sistema, ma esegue simulazioni predittive su più scenari, valutando variabili logistiche, tempi, probabilità di successo e impatti collaterali. È un motore di decision intelligence che ricorda da vicino i sistemi di threat modeling automatizzato, ma con un output che esce dal dominio digitale.
Dal punto di vista architetturale, tutto questo gira su un’infrastruttura cloud classificata con requisiti comparabili a IL6. Isolamento forte, controllo degli accessi a granularità fine, segregazione dei workload. Se vogliamo semplificare, è come avere un cluster Kubernetes hardened che esegue workload critici, ma con un threat model militare e non enterprise.
MSS, quindi, non è un prodotto ma una piattaforma modulare. Un ecosistema plug-in dove nuovi sensori, modelli e moduli possono essere integrati senza riscrivere il core. È lo stesso paradigma dei framework offensivi: la potenza non sta nel singolo exploit, ma nella capacità di concatenare moduli in una chain coerente.
Il problema, per chi ha una visione tecnica, non è se funziona. Funziona. Il problema è cosa succede quando deleghi a un sistema deterministico la correlazione e l’interpretazione di segnali ambigui. In cybersecurity, un falso positivo genera rumore. Qui può generare un evento irreversibile.
Stiamo assistendo alla chiusura del loop: sensing, parsing, correlazione, decisione e azione nello stesso sistema. È quello che abbiamo sempre cercato di fare nei sistemi di difesa automatizzata. Solo che ora il target non è un endpoint compromesso, ma un’entità fisica nel mondo reale.
