Claude Mythos promette di rivoluzionare la sicurezza del software, ma aumenta la concentrazione del potere tecnologico, economico e strategico nelle mani di Big Tech di Andrea Monti – Inizialmente pubblicato su Italian Tech-La Repubblica
Project Glasswing è un’iniziativa promossa da Anthropic per migliorare la sicurezza del codice con il quale sono scritti i programmi che, oramai, fanno funzionare qualsiasi cosa. Attualmente hanno aderito a Glasswing importanti aziende Big Tech come Apple e Microsoft, produttori di hardware come Cisco e anche la Linux Foundation, l’anima del free software.
Il motivo di questa ampia adesione è Claude Mythos, una versione del modello di Anthropic tanto capace di scovare vulnerabilità software da non essere messa pubblicamente a disposizione di chiunque perché troppo pericolosa.
Mythos, infatti, è stato in grado di scoprire un numero enorme di vulnerabilità “Zero-Days” —ignote persino agli sviluppatori— non solo in software che, tradizionalmente, non sono mai stati esattamente dei “campioni” di sicurezza, ma anche in sistemi come OpenBSD (una sola e già risolta, anche se dormiente da 27 anni). Dunque, hanno ragionato in Anthropic, meglio evitare di dare la circolazione incontrollata di informazioni che potrebbero essere sfruttate non solo per “riparare” software difettosi ma anche per commettere illeciti o attacchi State-sponsored.
Fin qui, la narrativa alimentata dal marketing di Anthropic; da qui, qualche considerazione.
Il colosso non ha più solo i piedi fatti di argilla
La prima è di ordine quasi filosofico: prima l’industria del software ha creato il problema mettendo in circolazione per decenni software mal scritto e poi pretende di vendere la “soluzione” al problema che ha creato.
A questo aggiungiamo il fatto che il “vibe coding” (cioè la “programmazione analfabetica”) e la scrittura automatica di codice stanno generando una quantità enorme di programmi. Dunque, se prima si parlava di colosso dai piedi d’argilla, ora non sono più solo i piedi del colosso che continua a crescere a essere fatti di materiale tanto fragile.
Se i risultati annunciati da Anthropic sono corretti e la dimensione delle vulnerabilità è effettivamente così enorme, non si capisce di cosa abbia ancora bisogno l’Unione Europea per stabilire una volta e per sempre che il software è un prodotto e che chi lo sviluppa è civilmente e penalmente responsabile degli errori di progettazione e della scelta di porlo in commercio se non è adeguatamente collaudato.
Questo, tuttavia, non accadrà e grazie alla non-scelta della UE continueremo a trattare il software come una poesia o una canzone anche di fronte a collassi strutturali di infrastrutture critiche e di piattaforme.
La cybersecurity diventa un monopolio
La seconda è di ordine economico: Mythos, dice l’azienda di Amodei, fa da solo e più velocemente quello che potrebbero fare un numero ristretto di persone, dotate di grandi capacità intellettuali e competenze tecniche. Se questo è vero, il mercato dei servizi di cybersecurity subirà un cambio radicale. Mythos diventerà il golden standard che tutti dovranno prendere in considerazione per rispettare le burocratiche norme sulla sicurezza di infrastrutture, sistemi e dati.
Questo significa che le società di cybersecurity (non solo quelle piccole ma con grande “intelligenza” ma anche e soprattutto le più grandi, fino alle partecipate statali) che non hanno a disposizione strumenti analoghi o che non usano Mythos non sono in grado di competere con chi fa parte di Glasswing. Lo stesso discorso vale per i produttori di hardware che, ad esempio, per via del regolamento sulla cyber resilienza devono certificare la sicurezza dei propri software.
Sempre di più, dunque, il mercato della cybesecurity parlerà American English e sempre meno qualcuna delle lingue della UE.
Big Tech è sempre più strutturale e organica rispetto alla geopolitica USA
La terza è di ordine geopolitico: come fu rivelato nel 2016 dallo scandalo Shadow Brokers, svariati bug zero-day molto probabilmente nella disponibilità della National Security Agency americana erano stati utilizzati per compiere azioni di spionaggio. All’epoca il numero di queste vulnerabilità non era così elevato, ciononostante la notizia della loro esistenza pose una serie di questioni che, ancora una volta, non tanto il legislatore USA ma quello europeo non prese in considerazione.
Oggi, se Mythos funzionasse veramente, attribuirebbe agli Stati Uniti una superiorità strategica e tattica senza pari nei confronti di avversari, alleati e partner. Il che è perfettamente coerente con la posizione assunta da Anthropic sulla militarizzazione dei propri modelli: tutto si può fare, basta che non sia contro i cittadini americani.
Cittadini senza (reale) protezione
In concreto, è certamente presto per ipotizzare scenari catastrofici ma questo non significa che le prospettive evidenziate siano irrealistiche, e che non sia necessario prendere decisioni strutturali per la sopravvivenza dell’ecosistema tecnologico che abbiamo lasciato crescere in modo così distopico.
Possiamo certamente continuare a ignorare le vulnerabilità strutturali delle infrastrutture che ci regolano la vita causate dalla miopia dei legislatori, dalla spregiudicatezza delle imprese e dall’indifferenza delle persone, ma ad un certo punto la realtà chiederà il conto.
E non ci sono molti dubbi su chi dovrà pagarlo.
Possibly Related Posts:
- Robotica, AI e sovranità tecnologica: la strategia dell’IIT
- Se leggere un manuale diventa un reato: perché la caccia ai “libri proibiti” minaccia la democrazia
- Social media e “dipendenza”: la sentenza di Los Angeles offre più interrogativi che risposte
- La sorveglianza di massa in tempo di guerra è un male necessario. Ma chi dice che siamo in guerra?
- Anthropic non è un’anima bella. Non come vogliono farci credere