L'azienda che ha creato Claude avverte: l'intelligenza artificiale non è solo uno strumento per difendersi dagli attacchi informatici. È anche — e sempre di più — l'arma che li rende possibili.
C'è una parola che circola con insistenza crescente nei corridoi delle conferenze sulla sicurezza informatica: reckoning. Resa dei conti. È il termine che Anthropic ha scelto per descrivere il momento che il settore della cybersecurity sta attraversando — un punto di non ritorno in cui l'intelligenza artificiale smette di essere una promessa e diventa una variabile critica, nel bene e nel male.
La tesi di Anthropic non è confortante. I modelli di linguaggio avanzati — compresi quelli che l'azienda stessa sviluppa — abbassano drammaticamente la soglia d'accesso agli attacchi informatici sofisticati. Ciò che fino a pochi anni fa richiedeva competenze specialistiche, mesi di preparazione e risorse significative, oggi può essere orchestrato con strumenti accessibili a chiunque sappia fare le domande giuste.
Il problema si chiama democratizzazione
Per decenni, la sicurezza informatica ha potuto contare su una barriera naturale: la complessità tecnica. Violare un sistema, scrivere un malware convincente, ingegnerizzare un attacco di social engineering credibile richiedeva conoscenze che non si improvvisano. Quella barriera si sta sgretolando.
I modelli AI possono oggi assistere nella scrittura di codice malevolo, nell'identificazione di vulnerabilità, nella costruzione di email di phishing personalizzate e convincenti, nella ricognizione di infrastrutture target. Non perché siano stati progettati per farlo — anzi, i principali sviluppatori investono enormemente in misure di sicurezza — ma perché la capacità generale di ragionamento e scrittura che li rende utili è, per sua natura, duale.
Anthropic chiama questo fenomeno "uplift": la capacità di un modello AI di elevare le competenze di un attore malevolo al di là di quello che sarebbe altrimenti in grado di fare. Ed è esattamente qui che si concentra la preoccupazione più seria.
Claude come caso di studio
Anthropic ha pubblicato ricerche interne che analizzano il rischio di uplift offensivo dei propri modelli con una franchezza rara nel settore. L'azienda riconosce apertamente che Claude — il suo assistente AI — potrebbe essere utilizzato in modo improprio, e descrive in dettaglio le misure adottate per limitarlo: dalla progettazione dei sistemi di sicurezza al monitoraggio attivo degli utilizzi anomali, fino ai cosiddetti "red team" interni, gruppi di ricercatori il cui compito è trovare le falle prima che lo facciano gli altri.
Ma la vera scommessa di Anthropic non è solo difensiva. L'azienda sostiene che lo stesso AI che rappresenta un rischio per la cybersecurity è anche lo strumento più potente per rafforzarla. Rilevamento delle anomalie in tempo reale, analisi predittiva delle minacce, risposta automatizzata agli incidenti: sono tutte aree in cui i modelli avanzati possono fare la differenza, a patto di essere dispiegati con criterio.
La corsa asimmetrica
Il problema strutturale, però, rimane. Gli attaccanti hanno bisogno di trovare una sola vulnerabilità. I difensori devono proteggerle tutte. L'AI amplifica questa asimmetria: chi attacca può usarla per generare varianti di attacco a velocità e scala industriale; chi difende deve comunque rispondere caso per caso, sistema per sistema.
Anthropic mette in guardia anche da un secondo scenario, meno discusso ma altrettanto preoccupante: la concentrazione del potere. Se i modelli AI più capaci restano nelle mani di pochi attori — siano essi aziende private, governi o organizzazioni criminali — il rischio non è solo tecnico ma geopolitico. Chi controlla l'AI più avanzata controlla, in una misura crescente, anche le dinamiche di sicurezza globale.
Una responsabilità che il settore non può delegare
La posizione di Anthropic sul tema è, in fondo, una sfida rivolta all'intero ecosistema tecnologico. Non basta costruire modelli capaci e poi affidare alla moderazione il compito di impedire gli abusi. Non basta nemmeno investire in sicurezza interna se il panorama regolatorio resta frammentato e le norme internazionali latitano.
Il "reckoning" di cui parla l'azienda non è solo una resa dei conti tecnologica. È una resa dei conti di responsabilità: chi sviluppa AI deve essere disposto a rispondere — pubblicamente, concretamente — delle implicazioni di quello che mette nel mondo.
Il tempo delle promesse vaghe sulla sicurezza responsabile è finito. La resa dei conti è adesso.