Claude Mythos e la paura di una cyber pandemia

Hai presente tipo quando salvini benedice qualcosa e quel qualcosa crolla, o salvini benedice qualcuno e quel qualcuno perde? Ormai è un topic classico dei social. Costui è un maestro nell’attaccare rogna alle persone o cose cui manifesta appoggio. Ma come salvini è maestro nel trasformare un endorsement in una iattura per chi lo riceve, esistono anche preannunci di sventura che precedono la sventura.

Mi riferisco al fatto che, a quanto pare, Claude Mythos – il nuovo modello AI licenziato da Anthropic, e che dovrebbe prendere il posto di Opus – applicato alla verifica di quanto sono sicuri i sistemi di protezione dati delle società finanziarie (e non solo), abbia individuato migliaia di falle che i sistemi di cybersicurezza “classici”  non hanno mai trovato.

Siccome si tratta di una notizia destabilizzante, Anthropic ha deciso di condividerla con un “ristretto” gruppo di clienti: Cisco, Broadcom, Linux Foundation, Amazon, Apple e Microsoft. Questo avrebbe dovuto significare due cose: la prima, che Anthropic non poteva non dare questa informazione, almeno ai clienti primari; la seconda, che Anthropic non intendeva rendere subito di dominio pubblico questa informazione, per il suo effetto dirompente.

E’ del tutto intuibile che il secondo obiettivo poteva essere a rischio nel momento stesso in cui Anthropic decideva di fare la prima cosa, e di questo ovviamente Anthropic stessa era consapevole. La condotta scelta dall’azienda è stata un mix necessario tra informazione preventiva di tipo “commerciale” e strategico, attinente alla sicurezza nazionale, ma sarebbe più appropriato dire sicurezza mondiale: è vero che le aziende sono statunitensi, ma la loro pervasività è tale che il tema di sicurezza evidenziato è per forza planetario.

Infatti Jerome Powell, presidente della Federal Reserve, ha subito convocato una riunione urgente sul tema con i principali banchieri americani. Anthropic in pratica ha voluto lanciare un allarme: mettete mano ai vostri sistemi di sicurezza per tappare le falle prima che se ne accorgano i “cattivi”. Le falle le comunichiamo prima a voi e solo a voi affinché ci mettiate subito mano.

Peccato che anche Anthropic possa avere – ed abbia avuto – delle falle nella comunicazione, delle quali in tempo reale si accorgono dei soggetti che possono lavorare sia per i buoni che per i cattivi: dipende da chi paga di più. Ad esempio i leaker, che apprendono ed eventualmente rendono pubblica una notizia prima del suo annuncio ufficiale, agendo spesso come talpe informatiche. M1astra è uno di questi, e ha svelato in anteprima al mondo la comunicazione che Anthropic aveva in canna su Mythos.

Una spia? Qualcosa del genere. Solo che di solito una spia lavora per tutti e gratis, come sembrerebbe aver fatto nel caso specifico, solo quando si tratta di farsi pubblicità, di accreditarsi come buona fonte: per esempio anticipando informazioni importanti ma anche “generaliste”, che verranno comunque diffuse successivamente in via ufficiale. Quando viene in possesso di informazioni che dovrebbero restare segrete, noi non ne veniamo a conoscenza, ma i cattivi che pagano meglio per avere queste informazioni dalla spia, probabilmente sì. (Sia chiaro: non sto accusando per forza M1astra: magari in questo caso abbiamo a che fare con un leaker “etico”).

Anthropic sembra essere l’azienda nella quale si scaricano, come su un parafulmine, le tensioni contrastanti della maggiore efficienza al mondo tra le aziende AI, che le ha fatto ottenere rapporti privilegiati con il Pentagono; e della maggiore preoccupazione etica tra le aziende AI, che l’ha fatta entrare in un contenzioso con lo stesso Pentagono.  Non è escluso che Anthropic stia volutamente esagerando l’allarme per ricavarne il massimo vantaggio commerciale. Tuttavia Anthropic, da quello che capiamo, è l’azienda che si sta ponendo prima dei concorrenti il problema del controllo e dei limiti dell’AI. In questo caso, proponendo in anticipo per i  clienti “buoni” un modello di difesa cyber, prima che il modello stesso diventi diffuso tra tutti gli attaccanti “cattivi”.

Ma saranno tutti corretti i dipendenti di Oracle, Amazon, Apple, Microsoft che si troveranno ad apprendere e ad interagire con le informazioni puntuali che verranno svelate da Mythos? Saranno tutti abbastanza assennati da non comunicare a qualche malintenzionato quali sono i punti deboli dei sistemi di sicurezza delle loro aziende? Saranno tutti abbastanza responsabili da non vendicarsi contro la loro azienda per aver fatto avanzare qualcun altro al posto loro? Per averli sfruttati e spremuti come limoni in cambio di promesse di carriera poi tradite? Per averli sostituiti esattamente con un modello artificiale che fa il loro lavoro più in fretta e meglio di quanto lo facevano loro?

Il pessimismo della ragione porta a ipotizzare che una nuova pandemia possa essere alle porte: questa volta non colpirebbe la nostra salute, ma i nostri dati personali, sociali ed economici, cioè il complesso fragile su cui si articola la nostra quotidiana esistenza civile. Le conseguenze non sono facilmente immaginabili. Speriamo solo che salvini non se ne occupi dicendo che andrà tutto bene.

Di seguito, qui e qui, puoi leggere due tra i migliori articoli su Claude Mythos usciti in questi giorni.

Cover image https://creativecommons.org/licenses/by-nc/4.0/