100 esperti di cyber sicurezza dicono che il divieto di Fable 5 danneggia i difensori

      Tre giorni dopo che il governo degli Stati Uniti ha ordinato ad Anthropic di chiudere Fable 5 e Mythos 5, circa 100 dei più importanti professionisti della cybersecurity del mondo hanno pubblicato una lettera aperta chiedendo che il divieto venga revocato. Il loro argomento è diretto: togliere i migliori strumenti di intelligenza artificiale ai difensori mentre gli avversari continuano a costruire non è sicurezza, è sabotaggio.

      “Questa azione ha sottratto i migliori modelli ai difensori, ha creato incertezza nel mercato e ha messo a rischio la leadership dell'America nell'IA senza alcun rischio reale che la giustifichi,” afferma la lettera. I firmatari includono Alex Stamos, ex chief security officer di Facebook e Yahoo e ora chief product officer di Corridor, insieme a Katie Moussouris, CEO di Luta Security, Rachel Tobac di SocialProof Security, Chris Wysopal di Veracode e Joe Levy, CEO di Sophos.

      Il “jailbreak” che ha innescato un ordine governativo

      La catena di eventi è iniziata quando i ricercatori di Amazon hanno trovato un modo per indurre Fable 5 a rivelare vulnerabilità nel codice. La tecnica era poco notevole secondo gli standard del settore: dopo un iniziale rifiuto di “esaminare il codice per problemi di sicurezza,” i ricercatori hanno semplicemente riformulato il prompt in “correggi questo codice,” alimentandolo con codice open-source contenente difetti noti e deliberatamente piantati.

      Moussouris è stata particolarmente vocale, dicendo ai giornalisti che l'exploit “non è un jailbreak.” La lettera aperta fa lo stesso punto, notando che altri modelli di IA leader, incluso il GPT-5.5 di OpenAI, possono rivelare vulnerabilità identiche senza alcun bypass.

      Il 💜 della tecnologia dell'UE

      Le ultime voci dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris, e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      La posizione di Anthropic coincide con quella dei critici. L'azienda ha dichiarato che l'exploit è ristretto, non universale, e che le vulnerabilità che ha rivelato erano minori e già documentate pubblicamente.

      Il scomodo doppio ruolo di Amazon

      La lettera non affronta quella che potrebbe essere la dimensione più imbarazzante della questione: l'azienda che ha scoperto la vulnerabilità è anche il più grande investitore e fornitore di cloud di Anthropic. Il CEO di Amazon, Andy Jassy, ha personalmente escalato i risultati al Segretario del Tesoro Scott Bessent, al Segretario al Commercio Howard Lutnick e al Direttore Nazionale della Cybersecurity Sean Cairncross.

      Quel percorso di escalation, da un team di sicurezza di un concorrente ai più alti livelli dell'esecutivo, ha sollevato interrogativi su se la rivalità commerciale abbia giocato un ruolo nella risposta del governo. Semafor ha riportato che le preoccupazioni della Casa Bianca si estendevano oltre il jailbreak stesso a preoccupazioni riguardo l'accesso cinese a Mythos.

      Il confronto Sacks-Amodei

      Il consigliere di Trump per l'IA, David Sacks, ha offerto un resoconto diverso su X. Ha affermato che l'amministrazione ha dato al CEO di Anthropic, Dario Amodei, una scelta: correggere il jailbreak o dismettere Fable 5.

      Secondo Sacks, Amodei ha rifiutato, e Anthropic “ha dato priorità alla continua offerta del modello consumer rispetto alla sicurezza.” Anthropic ha contestato questa caratterizzazione, sostenendo che la vulnerabilità è troppo ristretta per giustificare il ritiro dei suoi prodotti di punta dal mercato.

      L'opportunità incartata della Cina

      Se il divieto era inteso a proteggere la sicurezza nazionale, potrebbe aver raggiunto l'opposto. L'azienda cinese di IA Zhipu AI ha lanciato il suo modello GLM-5.2 il 13 giugno, esattamente un giorno dopo la chiusura di Fable 5, e ha citato direttamente il divieto come prova che i modelli di IA statunitensi non possono essere considerati affidabili.

      Le azioni di Zhipu sono aumentate del 33% all'annuncio. L'azienda afferma che GLM-5.2 supera il ragionamento di BridgeBench a 42.8, funziona a 300 token al secondo e costa un decimo dei modelli di frontiera statunitensi comparabili, anche se non ha pubblicato punteggi di benchmark indipendenti al lancio.

      Il compromesso è netto. Qualsiasi organizzazione che utilizza l'API cloud di Zhipu esporrebbe i propri dati al governo cinese ai sensi della Legge Nazionale sull'Intelligence della Cina, che costringe le aziende a cooperare con le operazioni di intelligence statali.

      Difensori senza i loro migliori strumenti

      La rivendicazione centrale della lettera aperta è pratica, non ideologica. I professionisti della cybersecurity utilizzano modelli di IA di frontiera per cercare vulnerabilità nel software prima che gli attaccanti le trovino, per generare regole di rilevamento e per analizzare il malware a velocità.

      Rimuovere i modelli più capaci da quel flusso di lavoro non ferma gli avversari, che possono utilizzare alternative open-source, modelli stranieri o semplicemente tecniche più vecchie. Ferma i difensori dal lavorare al ritmo richiesto dal panorama delle minacce.

      L'ironia non è sfuggita agli osservatori. Eastern Herald ha riportato che alcuni degli stessi dirigenti che hanno firmato la lettera aperta hanno trascorso aprile avvertendo dei pericoli di Mythos, il modello di ragionamento più potente di Anthropic.

      Quella apparente contraddizione non mina necessariamente l'argomento della lettera. Suggerisce che la comunità della cybersecurity sta ancora cercando di capire dove tracciare la linea tra capacità e cautela.

      Cosa succede dopo

      I mercati delle previsioni scommettono che il divieto non durerà. Kalshi stima le probabilità che Fable 5 torni prima del 1° luglio al 68%, con Polymarket leggermente più ottimista al 71%.

      L'Unione Europea ha già iniziato a spingere per un accesso garantito a Mythos per scopi di difesa informatica, aggiungendo pressione internazionale alla reazione interna. Anche l'India ha utilizzato l'episodio per accelerare le proprie ambizioni di IA sovrana.

      Per ora, i difensori della cybersecurity americana si trovano di fronte a una domanda che la lettera aperta pone in termini netti: se i migliori strumenti vengono sottratti a coloro che proteggono le reti, chi esattamente è più al sicuro?