Dario Amodei ha lanciato un nuovo allarme sui rischi cyber legati all’evoluzione accelerata dell’intelligenza artificiale, sostenendo che il tempo disponibile per mettere in sicurezza infrastrutture software globali si stia rapidamente riducendo. Durante un evento dedicato ai servizi finanziari riportato da CNBC, Amodei ha dichiarato che i più recenti modelli AI sviluppati da Anthropic sono riusciti a identificare decine di migliaia di vulnerabilità software, incluse falle di sicurezza presenti da decenni e mai corrette.
Il quadro delineato evidenzia una trasformazione radicale del ruolo dell’intelligenza artificiale nella cybersecurity. I large language model e i sistemi agentici più avanzati non vengono più utilizzati soltanto per automatizzare attività operative o generare codice, ma stanno iniziando a comportarsi come strumenti di analisi offensiva e difensiva su scala industriale. La capacità di esaminare enormi quantità di codice sorgente, documentazione tecnica e pattern software consente ai modelli AI contemporanei di individuare vulnerabilità a velocità e profondità molto superiori rispetto agli strumenti tradizionali.
Secondo Amodei, i modelli precedenti erano in grado di individuare soltanto poche decine di vulnerabilità all’interno di grandi codebase software, mentre i sistemi più recenti riescono a rilevare centinaia di falle all’interno di un singolo software e decine di migliaia complessivamente. Questo salto prestazionale deriva principalmente dall’evoluzione delle capacità di reasoning dei modelli frontier, che ora riescono ad analizzare relazioni logiche complesse, dipendenze software, gestione della memoria e comportamenti runtime in modo molto più sofisticato.
Il riferimento al sistema “Mythos” suggerisce l’utilizzo di pipeline AI specializzate nell’analisi automatizzata della sicurezza. Sebbene non siano stati divulgati dettagli completi dell’architettura, il funzionamento di questi sistemi combina generalmente code understanding, static analysis, dynamic reasoning e simulazione comportamentale del software. I modelli AI non si limitano più a cercare firme note o pattern già catalogati, ma riescono a identificare potenziali vulnerabilità zero-day attraverso inferenze contestuali e ragionamento logico sul comportamento del codice.
Il problema principale evidenziato da Dario Amodei riguarda il fatto che la capacità offensiva dell’intelligenza artificiale sta crescendo più rapidamente della capacità globale di correggere le vulnerabilità identificate. Molte delle falle individuate restano infatti irrisolte, creando una situazione nella quale modelli sempre più potenti possono teoricamente essere utilizzati anche per automatizzare attività offensive, exploit discovery e attacchi informatici avanzati.
Amodei ha sottolineato in particolare il rischio geopolitico associato all’evoluzione dell’AI cinese. Secondo la sua valutazione, i modelli sviluppati in Cina sarebbero attualmente indietro di circa sei-dodici mesi rispetto ai sistemi frontier occidentali. Questo intervallo temporale viene interpretato come una sorta di “grace period”, cioè una finestra limitata durante la quale governi e aziende possono ancora rafforzare la sicurezza dei propri sistemi prima che capacità AI offensive equivalenti diventino ampiamente disponibili anche in altri ecosistemi tecnologici.
La preoccupazione deriva dal fatto che la democratizzazione delle capacità AI offensive potrebbe abbassare drasticamente la barriera tecnica necessaria per eseguire attacchi sofisticati. In passato, la scoperta di vulnerabilità avanzate richiedeva team altamente specializzati di security researcher. I modelli AI di nuova generazione potrebbero invece consentire anche ad attori meno esperti di identificare e sfruttare debolezze software complesse attraverso automazione avanzata.
Le conseguenze potenziali riguardano soprattutto le infrastrutture critiche. Dario Amodei ha citato esplicitamente ospedali, scuole, banche e servizi essenziali come possibili bersagli di attacchi sempre più automatizzati. La crescita delle vulnerabilità sfruttabili potrebbe infatti tradursi in un aumento esponenziale di ransomware, interruzioni operative e perdite economiche.
Il settore finanziario rappresenta uno dei contesti più sensibili di questa trasformazione. Durante lo stesso evento era presente anche Jamie Dimon, che ha discusso le implicazioni dell’integrazione AI nelle operazioni bancarie e finanziarie. Entrambi hanno mantenuto una posizione relativamente ottimista sul lungo periodo, pur riconoscendo i rischi immediati.
Dimon ha definito le minacce cyber legate all’AI come un possibile fenomeno transitorio, mentre Amodei ha sostenuto che la situazione possa produrre risultati positivi se affrontata correttamente. Questa visione riflette un’idea sempre più diffusa nel settore: l’intelligenza artificiale non rappresenta soltanto una minaccia cyber, ma anche il principale strumento disponibile per contrastare le nuove minacce generate dalla stessa AI.
In pratica, il settore sta entrando in una fase di “AI versus AI cybersecurity”, nella quale sistemi offensivi e difensivi evolvono simultaneamente. Le aziende che riusciranno a integrare rapidamente strumenti AI per vulnerability management, incident response e threat detection potrebbero beneficiare enormemente della nuova automazione cognitiva. Al contrario, organizzazioni lente nell’adozione rischiano di diventare vulnerabili a minacce sempre più automatizzate.
L’approccio regolatorio proposto da Dario Amodei richiama il modello normativo dell’industria automobilistica. Secondo Amodei, l’obiettivo non dovrebbe essere bloccare l’innovazione AI, ma introdurre standard minimi di sicurezza analoghi ai requisiti imposti ai veicoli stradali. Il paragone con “automobili senza freni” evidenzia la convinzione che alcune misure di sicurezza di base debbano diventare obbligatorie per i sistemi AI avanzati.
Questo approccio si differenzia sia dalle posizioni totalmente deregolatorie sia dalle richieste di moratorie radicali sull’intelligenza artificiale. Anthropic continua infatti a sostenere uno sviluppo accelerato dell’AI, ma accompagnato da meccanismi di governance, auditing e mitigazione dei rischi.