Leggi in app
Dario Amodei, ceo di Anthropic
Project Glasswing è un’iniziativa lanciata da Anthropic con l’obiettivo di aumentare la sicurezza del codice utilizzato per sviluppare i programmi che ormai gestiscono ogni aspetto della nostra vita. Attualmente, hanno aderito a Glasswing importanti aziende del settore tecnologico come Apple e Microsoft, produttori di hardware come Cisco e anche la Linux Foundation, promotrice del software libero.
La ragione di questa vasta adesione è rappresentata da Claude Mythos, una variante del modello di Anthropic così efficace nel rilevare vulnerabilità software da non essere resa pubblicamente accessibile a chiunque, poiché considerata troppo rischiosa.
Mythos ha infatti dimostrato di poter identificare un numero considerevole di vulnerabilità “Zero-Days” — sconosciute anche agli sviluppatori — non solo in software che tradizionalmente non si sono distinti per la loro sicurezza, ma anche in sistemi come OpenBSD (una sola vulnerabilità, già risolta, ma rimasta inattiva per 27 anni). Pertanto, in Anthropic hanno concluso che è preferibile evitare la diffusione incontrollata di informazioni che potrebbero essere utilizzate non solo per “riparare” software difettosi, ma anche per compiere atti illeciti o attacchi sponsorizzati dallo Stato.
Fino a questo punto, la narrazione promossa dal marketing di Anthropic; da qui, alcune riflessioni.
Il colosso non ha più solo i piedi d’argilla
La prima riflessione è di natura quasi filosofica: in passato, l’industria del software ha creato il problema diffondendo per decenni software mal progettato e ora pretende di vendere la “soluzione” al problema che essa stessa ha generato.
A questo si aggiunge il fatto che il “vibe coding” (ossia la “programmazione analfabeta”) e la generazione automatica di codice stanno producendo un’enorme quantità di programmi. Pertanto, se in precedenza si parlava di un colosso dai piedi d’argilla, ora non sono più solo i piedi del colosso in continua espansione a essere realizzati con materiale così fragile.
Se i risultati comunicati da Anthropic sono corretti e la portata delle vulnerabilità è realmente così vasta, non si comprende cosa stia aspettando l’Unione Europea per stabilire in modo definitivo che il software è un prodotto e che chi lo sviluppa è civilmente e penalmente responsabile per gli errori di progettazione e per la decisione di commercializzarlo se non è adeguatamente testato.
Tuttavia, ciò non avverrà e, a causa della mancanza di decisioni da parte della UE, continueremo a considerare il software come una poesia o una canzone, anche di fronte a crolli strutturali di infrastrutture critiche e piattaforme.
La cybersecurity diventa un monopolio
La seconda riflessione è di natura economica: Mythos, afferma l’azienda di Amodei, è in grado di svolgere autonomamente e più rapidamente ciò che un numero limitato di persone, dotate di elevate capacità intellettuali e competenze tecniche, potrebbe realizzare. Se ciò è vero, il mercato dei servizi di cybersecurity subirà una trasformazione radicale. Mythos diventerà il golden standard che tutti dovranno considerare per rispettare le normative burocratiche sulla sicurezza di infrastrutture, sistemi e dati.
Questo implica che le aziende di cybersecurity (non solo quelle piccole ma anche quelle più grandi, comprese le partecipate statali) che non dispongono di strumenti simili o che non utilizzano Mythos non saranno in grado di competere con chi fa parte di Glasswing. Lo stesso discorso vale per i produttori di hardware che, ad esempio, a causa del regolamento sulla cyber resilienza, devono certificare la sicurezza dei propri software.
Di conseguenza, il mercato della cybersecurity parlerà sempre di più American English e sempre meno delle lingue dell’UE.
Big Tech è sempre più integrata nella geopolitica USA
La terza riflessione è di natura geopolitica: come rivelato nel 2016 dallo scandalo Shadow Brokers, diversi bug zero-day, probabilmente in possesso della National Security Agency americana, erano stati utilizzati per condurre operazioni di spionaggio. All’epoca, il numero di queste vulnerabilità non era così elevato, ma la notizia della loro esistenza sollevò una serie di interrogativi che, ancora una volta, non furono considerati dal legislatore statunitense, ma nemmeno da quello europeo.
Oggi, se Mythos funzionasse realmente, conferirebbe agli Stati Uniti una superiorità strategica e tattica senza precedenti nei confronti di avversari, alleati e partner. Ciò è perfettamente in linea con la posizione assunta da Anthropic riguardo alla militarizzazione dei propri modelli: tutto è possibile, purché non sia contro i cittadini americani.
Cittadini senza (reale) protezione
In concreto, è sicuramente prematuro ipotizzare scenari catastrofici, ma ciò non implica che le prospettive evidenziate siano irrealistiche e che non sia necessario prendere decisioni strutturali per garantire la sopravvivenza dell’ecosistema tecnologico che abbiamo lasciato crescere in modo così distopico.
Possiamo certamente continuare a ignorare le vulnerabilità strutturali delle infrastrutture che regolano la nostra vita, causate dalla miopia dei legislatori, dalla spregiudicatezza delle aziende e dall’indifferenza delle persone, ma a un certo punto la realtà chiederà il conto.
E non ci sono molti dubbi su chi dovrà sostenerne il costo.
I commenti sono chiusi.