Sicurezza informatica e modelli di intelligenza artificiale

Anthropic propone un framework condiviso per misurare la gravità dei jailbreak AI

Per la prima volta i principali laboratori di intelligenza artificiale stanno provando a parlare la stessa lingua quando si tratta di sicurezza. Anthropic ha presentato una bozza di framework condiviso per misurare la gravità dei jailbreak, cioè delle tecniche che aggirano le protezioni di un modello e lo costringono a comportarsi in modi non previsti. Il lavoro nasce all’interno di Project Glasswing e vede la collaborazione di Amazon, Microsoft, Google e altri partner. L’obiettivo è colmare un vuoto sorprendente: fino a oggi non esisteva un modo standard per descrivere quanto sia pericoloso un singolo jailbreak, e questo rendeva difficile per le aziende e per i governi capirsi. In un momento in cui i modelli diventano più capaci e più autonomi, avere un metro comune non è un dettaglio tecnico, ma una condizione necessaria per gestire i rischi in modo serio.

Cosa ha proposto Anthropic con il framework sulla gravità dei jailbreak

Il punto di partenza è un problema pratico. Quando un ricercatore o un malintenzionato scopre un modo per far superare a un modello le sue barriere di sicurezza, come si stabilisce se quella scoperta è un fastidio minore o una minaccia seria? Finora ogni azienda usava criteri propri, spesso informali, e questo generava confusione. Due laboratori potevano descrivere lo stesso identico problema con parole completamente diverse, e un’autorità pubblica si trovava a dover interpretare segnalazioni non confrontabili tra loro. Anthropic propone di risolvere questa frammentazione con una scala condivisa, che ha chiamato Cyber Jailbreak Severity, pensata proprio per assegnare a ogni jailbreak un livello di gravità su una scala a bande, in modo che tutti gli attori del settore possano confrontarsi con lo stesso vocabolario.

L’idea di fondo è che la gravità di un jailbreak non dipenda solo dal fatto che le protezioni siano state aggirate, ma dalle conseguenze concrete che quell’aggiramento produce nel mondo reale. Un conto è ottenere da un modello un’informazione facilmente reperibile con una normale ricerca online, un altro è ottenere capacità che prima non erano accessibili. È su questa differenza che si concentra la proposta.

Come si misura la gravità di un jailbreak

Secondo l’impostazione descritta da Anthropic, la gravità cresce man mano che il modello porta un attaccante oltre gli strumenti che avrebbe già a disposizione. In altre parole, se un modello si limita a ripetere qualcosa che chiunque potrebbe trovare altrove, il rischio aggiuntivo è basso. Se invece sblocca una capacità nuova, il livello di allarme sale. A questo si aggiungono altri fattori che pesano sulla valutazione: quanto è ampia la capacità sbloccata, quanto è facile riprodurla e quanto è facile scoprirla. Un exploit che richiede competenze rarissime e circostanze irripetibili è meno preoccupante di uno semplice da replicare e alla portata di molti. Combinando questi elementi si ottiene una valutazione a bande che colloca ciascun jailbreak in una fascia di gravità definita, dando a chi deve decidere un quadro chiaro e comparabile.

Il valore di un sistema simile sta nella sua capacità di trasformare giudizi soggettivi in categorie condivise. Un’azienda che scopre una vulnerabilità può comunicarla con un’etichetta che gli altri comprendono immediatamente, e chi riceve la segnalazione sa subito quanta urgenza attribuirle. È lo stesso principio che nella cybersicurezza tradizionale ha reso possibili gli standard per classificare le vulnerabilità del software, applicato però a un terreno nuovo e in rapida evoluzione come quello dei modelli generativi.

Cos’è Project Glasswing e chi partecipa

Il framework non nasce nel vuoto, ma si inserisce in un’iniziativa più ampia chiamata Project Glasswing, lo sforzo con cui Anthropic punta a mettere in sicurezza il software più importante del mondo nell’era dell’intelligenza artificiale. Il progetto coinvolge un numero crescente di realtà, con l’estensione della collaborazione a circa centocinquanta nuove organizzazioni, e mette allo stesso tavolo l’industria della sicurezza informatica, chi mantiene il software open source e le istituzioni pubbliche, incluso il governo statunitense. La logica è che la sicurezza dei sistemi di intelligenza artificiale non possa essere affrontata da una sola azienda in isolamento, ma richieda un coordinamento tra chi costruisce i modelli, chi li integra nei propri prodotti e chi vigila sul loro impatto.

La partecipazione di aziende che sul mercato sono rivali dirette, come Amazon, Microsoft e Google, è il segnale più interessante. Su questioni di sicurezza la competizione lascia spazio alla cooperazione, perché una vulnerabilità grave in un modello qualsiasi rischia di minare la fiducia nell’intera categoria di prodotti. Un linguaggio comune sulla gravità dei jailbreak conviene a tutti, perché permette di reagire più in fretta e di evitare che ogni incidente venga gestito in modo improvvisato. Questa attenzione alla sicurezza dei modelli si affianca ad altri sforzi già visti nel settore, come il lavoro di OpenAI con Daybreak, il sistema pensato per individuare e correggere le falle di sicurezza.

Perché questa mossa è importante adesso

Il tempismo non è casuale. La proposta arriva mentre i modelli stanno diventando sempre più agentici, cioè capaci non solo di rispondere ma di compiere azioni concrete attraverso strumenti esterni. Quando un modello si limita a produrre testo, un jailbreak ha conseguenze relativamente contenute. Quando invece un modello può navigare sul web, eseguire codice o interagire con altri servizi, le stesse tecniche di aggiramento assumono un peso completamente diverso, perché possono tradursi in azioni dannose e non solo in risposte inappropriate. Se vuoi capire meglio questa transizione verso sistemi capaci di agire in autonomia, ne parlo in modo approfondito nella guida sugli agenti AI, dove spiego perché l’autonomia crescente alza la posta anche sul fronte della sicurezza.

C’è poi una ragione legata al rapporto con le istituzioni. I governi di tutto il mondo stanno cercando di regolamentare l’intelligenza artificiale, ma per farlo hanno bisogno di informazioni tecniche affidabili e confrontabili. Un framework condiviso sulla gravità dei jailbreak offre esattamente questo: un ponte tra il linguaggio degli ingegneri e quello dei regolatori. Con categorie comuni, un’autorità può capire quali incidenti meritano attenzione immediata e quali rientrano nella normale manutenzione, senza dover interpretare ogni volta terminologie diverse. Non è un caso che Anthropic abbia costruito buona parte della sua strategia proprio sulla collaborazione con il regolatore, una linea che la distingue da altri approcci del settore e che si è vista anche in vicende recenti come quella che ha portato la stessa azienda a gestire i propri modelli in dialogo con il governo statunitense.

Cosa cambia concretamente per aziende e utenti

Nell’immediato, per chi usa un assistente come Claude o un altro modello nel proprio lavoro, non cambia nulla di visibile nell’esperienza quotidiana. Il framework è uno strumento pensato per chi costruisce e sorveglia i modelli, non per l’utente finale. Ma le conseguenze indirette sono rilevanti. Un settore che condivide standard di sicurezza reagisce più in fretta agli incidenti, riduce il rischio che una vulnerabilità grave passi inosservata e costruisce quella fiducia senza la quale l’adozione dell’intelligenza artificiale nelle aziende resterebbe frenata dai timori. Per un’impresa che valuta se integrare questi strumenti nei propri processi, sapere che esiste un metodo condiviso per misurare e comunicare i rischi è un elemento di rassicurazione concreto.

Va detto con onestà che si tratta ancora di una bozza, non di uno standard definitivo e universalmente adottato. La strada perché una proposta del genere diventi prassi consolidata è lunga e passa dal consenso di molti attori con interessi diversi. Restano da definire i dettagli, da testare la scala su casi reali e da capire come integrarla nei processi di ciascuna azienda. Ma il fatto stesso che concorrenti agguerriti si siano seduti allo stesso tavolo per affrontare il problema è già un risultato che, fino a poco tempo fa, non era affatto scontato.

Conclusioni

La proposta di Anthropic segna un passo verso una gestione più matura e coordinata della sicurezza dell’intelligenza artificiale. Dare un nome e un livello alla gravità dei jailbreak significa passare da reazioni improvvisate a un metodo condiviso, e farlo insieme ad aziende rivali dimostra che, almeno su questo terreno, la collaborazione conviene a tutti. Se lavori con questi strumenti o stai valutando di introdurli nella tua attività, vale la pena seguire da vicino l’evoluzione di iniziative come Project Glasswing, perché la fiducia nell’intelligenza artificiale si costruirà proprio sulla capacità del settore di rendere trasparenti e gestibili i propri rischi. Ti invito a leggere la fonte ufficiale per approfondire i dettagli tecnici e a tornare a trovarci per restare aggiornato sui prossimi sviluppi. Trovi l’annuncio completo sul blog ufficiale di Anthropic.

Suggerimento di lettura

Schermo con codice e lucchetto digitale - AI e cybersecurity protezione aziendale

AI e cybersecurity: come l’intelligenza artificiale protegge le aziende dagli attacchi informatici nel 2026

Guida completa all'uso dell'AI nella cybersecurity aziendale: dal rilevamento delle minacce alla risposta automatica agli incidenti, con esempi pratici e strumenti reali.