Leggi in app
Dario Amodei, ceo di Anthropic
Project Glasswing è un’iniziativa lanciata da Anthropic con l’obiettivo di incrementare la sicurezza del codice utilizzato per sviluppare i programmi che oggi gestiscono praticamente ogni aspetto della nostra vita. Attualmente, hanno aderito a Glasswing importanti aziende del settore tecnologico come Apple e Microsoft, produttori di hardware come Cisco e anche la Linux Foundation, che rappresenta il cuore del software libero.
La ragione di questa vasta adesione risiede in Claude Mythos, una variante del modello di Anthropic estremamente abile nel rilevare vulnerabilità software, tanto da non essere resa accessibile al pubblico per il suo potenziale pericolo.
Mythos ha dimostrato di poter identificare un numero considerevole di vulnerabilità “Zero-Days” — sconosciute persino agli sviluppatori — non solo in software che storicamente non si sono distinti per la loro sicurezza, ma anche in sistemi come OpenBSD (dove è stata trovata una sola vulnerabilità, già risolta, ma rimasta inattiva per 27 anni). Pertanto, in Anthropic hanno concluso che è preferibile evitare la diffusione incontrollata di informazioni che potrebbero essere utilizzate non solo per “correggere” software difettosi, ma anche per attività illecite o attacchi sponsorizzati dallo Stato.
Fino a questo punto, si tratta della narrazione promossa dal marketing di Anthropic; da qui, alcune riflessioni.
Il gigante non ha più solo i piedi d’argilla
La prima considerazione è di natura quasi filosofica: l’industria del software ha creato il problema diffondendo per decenni software mal progettato e ora si aspetta di vendere la “soluzione” al problema che essa stessa ha generato.
A questo si aggiunge il fatto che il “vibe coding” (ossia la “programmazione analfabeta”) e la generazione automatica di codice stanno producendo un’enorme quantità di programmi. Pertanto, se in passato si parlava di un gigante dai piedi d’argilla, ora non sono più solo i piedi del gigante in continua espansione a essere composti da materiale così fragile.
Se i risultati dichiarati da Anthropic sono corretti e la portata delle vulnerabilità è effettivamente così vasta, non si comprende cosa stia aspettando l’Unione Europea per stabilire in modo definitivo che il software è un prodotto e che chi lo sviluppa è civilmente e penalmente responsabile per gli errori di progettazione e per la decisione di commercializzarlo se non è adeguatamente testato.
Tuttavia, ciò non accadrà e, a causa della non-scelta dell’UE, continueremo a considerare il software come una poesia o una canzone, anche di fronte a crolli strutturali di infrastrutture critiche e piattaforme.
La cybersecurity diventa un monopolio
La seconda considerazione è di natura economica: Mythos, afferma l’azienda di Amodei, è in grado di svolgere autonomamente e più rapidamente ciò che un numero limitato di persone, dotate di elevate capacità intellettuali e competenze tecniche, potrebbe realizzare. Se ciò è vero, il mercato dei servizi di cybersecurity subirà una trasformazione radicale. Mythos diventerà lo standard d’oro che tutti dovranno considerare per rispettare le normative burocratiche sulla sicurezza di infrastrutture, sistemi e dati.
Questo implica che le aziende di cybersecurity (non solo quelle piccole ma anche quelle più grandi, comprese le partecipate statali) che non dispongono di strumenti simili o che non utilizzano Mythos non saranno in grado di competere con chi fa parte di Glasswing. Lo stesso discorso vale per i produttori di hardware che, ad esempio, a causa del regolamento sulla cyber resilienza, devono certificare la sicurezza dei propri software.
Di conseguenza, il mercato della cybersecurity parlerà sempre di più American English e sempre meno delle lingue dell’UE.
Big Tech è sempre più integrata nella geopolitica USA
La terza considerazione è di natura geopolitica: come emerso nel 2016 dallo scandalo Shadow Brokers, diversi bug zero-day, probabilmente in possesso della National Security Agency americana, erano stati utilizzati per compiere operazioni di spionaggio. All’epoca, il numero di queste vulnerabilità non era così elevato, ma la notizia della loro esistenza sollevò una serie di interrogativi che, ancora una volta, non furono presi in considerazione tanto dal legislatore USA quanto da quello europeo.
Oggi, se Mythos funzionasse realmente, conferirebbe agli Stati Uniti una superiorità strategica e tattica senza pari nei confronti di avversari, alleati e partner. Questo è perfettamente in linea con la posizione assunta da Anthropic riguardo alla militarizzazione dei propri modelli: tutto è possibile, purché non sia contro i cittadini americani.
Cittadini senza (reale) protezione
In concreto, è certamente prematuro ipotizzare scenari catastrofici, ma ciò non implica che le prospettive evidenziate siano irrealistiche e che non sia necessario prendere decisioni strutturali per garantire la sopravvivenza dell’ecosistema tecnologico che abbiamo lasciato crescere in modo così distopico.
Possiamo certamente continuare a ignorare le vulnerabilità strutturali delle infrastrutture che regolano la nostra vita, causate dalla miopia dei legislatori, dalla spregiudicatezza delle aziende e dall’indifferenza delle persone, ma a un certo punto la realtà presenterà il conto.
E non ci sono molti dubbi su chi dovrà sostenerne il costo.
I commenti sono chiusi.