Il divieto statunitense sui modelli IA avanzati è un regalo per gli hacker

Mentre il governo degli Stati Uniti sostiene che il suo recente divieto di esportazione sui modelli più potenti di Anthropic sia una vittoria per la sicurezza nazionale, la realtà è molto più instabile. Washington ritiene che, blindando l'intelligenza artificiale più recente, impedisca agli avversari stranieri di trovare falle nell'infrastruttura americana. Tuttavia, le persone che trascorrono effettivamente la vita a difendere i nostri confini digitali affermano che questa mossa produce l'esatto contrario. Un gruppo di 76 veterani della cybersicurezza ha recentemente firmato una lettera aperta alla Casa Bianca, sostenendo che questo divieto ha tolto i migliori strumenti ai protettori mentre gli aggressori continuano ad avanzare a tutta velocità.

Questo conflitto è un classico esempio di una politica progettata per un mondo fisico applicata a uno digitale. Nel mondo fisico, puoi chiudere un prototipo in un caveau per mantenerlo segreto. Nel mondo del software, l'unico modo per mantenere un sistema sicuro è trovare i suoi difetti prima che lo faccia qualcun altro. Limitando l'accesso a questi modelli avanzati, il governo ha essenzialmente bendato le guardie di sicurezza mentre gli intrusi sono già all'interno dell'edificio con torce ad alta tecnologia.

Il cambio di rotta politico che ha bendato le guardie

Il problema è iniziato venerdì quando il governo degli Stati Uniti ha ordinato ad Anthropic di limitare l'esportazione dei suoi due modelli di IA più avanzati: Fable e Mythos. Il governo ha citato preoccupazioni per la sicurezza nazionale, ma non ha fornito dettagli specifici sul motivo per cui questi modelli siano improvvisamente troppo pericolosi per l'uso pubblico. In risposta, Anthropic ha sospeso l'accesso a questi modelli per tutti gli utenti in tutto il mondo. Questa decisione non è solo un intoppo aziendale; è un'interruzione sistemica per l'industria della cybersicurezza.

Per l'utente medio, questo potrebbe sembrare un piccolo battibecco tra un'azienda tecnologica e un regolatore. Guardando il quadro generale, questi modelli sono il petrolio greggio digitale del mondo della sicurezza. Le aziende di sicurezza li usano per scansionare milioni di righe di codice in pochi secondi. Agiscono come un instancabile stagista che non dorme mai, a caccia dei piccoli errori che portano a massicce violazioni dei dati. Quando il governo ritira questi strumenti dal mercato, gli sviluppatori di software perdono il loro modo più efficiente per correggere le app che usi ogni giorno, dal tuo portale di mobile banking al termostato della tua casa intelligente.

Comprendere la potenza di Mythos e Fable

Per capire perché questi esperti sono arrabbiati, dobbiamo guardare sotto il cofano di ciò che Anthropic ha effettivamente costruito. Mythos è la versione ad alte prestazioni della loro IA. Quando è stata lanciata in una fase di anteprima ad aprile, Anthropic ne ha riconosciuto la potenza. Era così efficace nell'identificare le vulnerabilità di sicurezza che l'azienda inizialmente ha limitato l'accesso a un piccolo gruppo di 150 organizzazioni in 15 paesi. Questi erano i difensori "verificati" che usavano l'IA per blindare i loro sistemi contro gli attacchi.

Fable era la versione pubblica. Aveva rigidi guardrail progettati per impedirne l'uso per scopi dannosi, come la creazione di armi biologiche o la scrittura di malware. Tuttavia, quei guardrail erano così aggressivi che Fable spesso rifiutava di aiutare in compiti di sicurezza legittimi. Se un ricercatore chiedeva a Fable di trovare un bug in un pezzo di codice, l'IA avrebbe spesso declinato, temendo che l'informazione potesse essere usata per nuocere. Ciò ha creato un paradosso in cui la versione "sicura" del modello era inutile proprio per le persone che cercavano di rendere internet più sicuro.

La ricerca di Amazon che ha scatenato il divieto

La giustificazione per il divieto del governo sembra derivare da un rapporto dei ricercatori di Amazon. Questo rapporto, che non è ancora pubblico, sosterrebbe che esiste un modo per aggirare — o fare il jailbreak — dei guardrail sul modello Fable per sbloccare la sua piena potenza a livello di Mythos. La Casa Bianca probabilmente ha visto questo come un segnale d'allarme, temendo che se Fable è facile da hackerare, allora qualsiasi avversario potrebbe usarlo per trovare vulnerabilità zero-day nel software americano.

Katie Moussouris, fondatrice di Luta Security e firmataria della lettera aperta, ha esaminato quel documento e non concorda con le sue conclusioni. Sostiene che i ricercatori non abbiano effettivamente trovato un jailbreak. Invece, hanno semplicemente chiesto all'IA di correggere codice pubblico e open-source che presentava bug noti. Quando l'IA inizialmente ha rifiutato, hanno riformulato la richiesta finché non ha acconsentito. Moussouris sottolinea che questo non è un fallimento della sicurezza; è la funzione primaria del modello. Chiedere a un'IA di correggere un bug è la cosa più preziosa che possa fare per la sicurezza difensiva. Etichettare questo come un "jailbreak" è come dire che un fabbro è un criminale perché sa come riparare una serratura rotta.

Perché i veterani della sicurezza lanciano l'allarme

L'elenco delle persone che firmano questa lettera di protesta è il "chi è chi" del mondo della sicurezza. Include Alex Stamos, l'ex capo della sicurezza di Facebook, e Jon Callas, che ha gestito l'architettura di sicurezza di Apple. Sono esperti pragmatici che capiscono come il software viene costruito e violato. La loro preoccupazione principale è che il governo degli Stati Uniti stia prendendo decisioni basate su un malinteso di come l'IA interagisce con il codice.

Nella loro lettera, questi esperti spiegano che il ciclo "trova, correggi e testa" è il processo fondamentale della sicurezza moderna. I difensori devono trovare un bug, scrivere una correzione e poi eseguire test per assicurarsi che la correzione funzioni. I modelli di IA come Mythos possono farlo su una scala che gli esseri umani semplicemente non possono eguagliare. Rimuovendo questi modelli, il governo sta costringendo i difensori a tornare al lavoro manuale mentre gli hacker stanno già utilizzando strumenti automatizzati. Questo è un pericoloso squilibrio che rende ogni pezzo di software sul tuo telefono e computer più vulnerabile a un exploit.

La minaccia di un mercato globale sbilanciato

Uno dei punti più preoccupanti della lettera aperta è che gli Stati Uniti non sono l'unico attore in questo gioco. Mentre la Casa Bianca limita Anthropic, altre aziende e paesi stanno andando avanti. Gli esperti hanno notato che le stesse capacità trovate in Mythos stanno già apparendo in altri modelli, come GPT-5.5 di OpenAI e persino modelli cinesi come Kimi 2.7. La tecnologia è già in circolazione.

In sostanza, il governo degli Stati Uniti sta cercando di fermare la marea con una scopa. Se i difensori americani non possono usare l'IA americana, alla fine dovranno guardare altrove, o semplicemente rimarranno indietro. Storicamente, quando gli Stati Uniti limitano una tecnologia che è già disponibile a livello globale, riescono solo a ostacolare la propria industria. La Cina e altri rivali non smetteranno di sviluppare IA ad alta potenza a causa di un ordine di esportazione statunitense. Semmai, questo divieto offre loro una chiara finestra per guadagnare un vantaggio nella tecnologia di cybersicurezza difensiva — un divario che potrebbe richiedere anni agli Stati Uniti per essere colmato.

Cosa significa questo per la tua sicurezza digitale quotidiana

Per il consumatore medio, questo dibattito potrebbe sembrare distante, ma le implicazioni pratiche sono tangibili. La sicurezza non è un prodotto che si compra; è un processo resiliente di aggiornamenti costanti. Ogni volta che il tuo telefono ti chiede di installare un aggiornamento di sicurezza, è perché uno sviluppatore ha trovato una falla e l'ha corretta. Se quegli sviluppatori perdono l'accesso ai migliori strumenti per trovare quelle falle, quegli aggiornamenti arriveranno più lentamente, o potrebbero non arrivare affatto.

Ci stiamo muovendo verso un mondo in cui il software è troppo complesso perché gli esseri umani possano proteggerlo da soli. Man mano che le nostre vite diventano più interconnesse attraverso l'internet delle cose, il volume di codice su cui facciamo affidamento sta esplodendo. Abbiamo bisogno dell'IA per agire come un sistema immunitario digitale. Quando il governo limita quel sistema immunitario, lascia il corpo di internet esposto alle infezioni. In definitiva, la sicurezza tramite l'oscurità — l'idea di essere al sicuro perché nessuno sa come funziona il tuo sistema — non ha mai funzionato nell'era digitale.

Verso una soluzione trasparente

Gli esperti non chiedono una totale assenza di regolamentazione. Chiedono invece un processo decisionale trasparente e democratico. Vogliono regolamenti basati sulla ricerca scientifica e sull'esperienza del settore piuttosto che su rapporti segreti e paura. Sostengono che qualsiasi restrizione dovrebbe essere la quantità minima necessaria per garantire la sicurezza pubblica, piuttosto che un ampio divieto che colpisce i difensori nel fuoco incrociato.

In definitiva, questo è un appello affinché il governo si fidi delle persone che sono effettivamente in prima linea. L'industria della cybersicurezza ha trascorso decenni imparando che l'apertura è la strada migliore per la sicurezza. Condividendo informazioni sui bug e lavorando insieme per risolverli, la comunità rimane un passo avanti rispetto ai cattivi. Applicare un velo di segretezza agli strumenti di IA rompe questo modello collaborativo e lascia il pubblico in una posizione più precaria. Guardando al futuro, dovremmo dare priorità al fornire ai buoni i migliori strumenti possibili, piuttosto che sperare che un divieto tenga quegli stessi strumenti fuori dalle mani dei cattivi.

Fonti:

• Lettera aperta dei professionisti della cybersicurezza riguardante i controlli sulle esportazioni di Anthropic (giugno 2026)
• Dichiarazione ufficiale di Anthropic sull'accesso ai modelli Fable e Mythos
• Analisi di Luta Security del documento di ricerca sull'IA di Amazon
• Ordine di controllo delle esportazioni del Dipartimento del Commercio 2026-AF42