Perché l'IA Mythos di Anthropic mette in allerta regolatori e banche centrali

I regolatori finanziari nelle principali economie stanno intensificando l'attenzione su un potente nuovo modello di intelligenza artificiale sviluppato da Anthropic, tra crescenti preoccupazioni che le sue capacità avanzate possano esporre vulnerabilità nei sistemi finanziari e digitali critici.

Le autorità in Giappone, Europa, India e altre regioni stanno coordinando le risposte, poiché il modello, noto come Mythos, solleva nuovi interrogativi sui rischi per la cybersicurezza in un mondo sempre più guidato dall'IA.

Il Giappone convoca i maggiori istituti di credito e i regolatori

In Giappone, la Financial Services Agency ha annunciato mercoledì che terrà venerdì un incontro di alto livello con i maggiori gruppi bancari del paese, tra cui Mitsubishi UFJ Financial Group, Sumitomo Mitsui Financial Group e Mizuho Financial Group.

All'incontro parteciperanno anche la Bank of Japan e la Tokyo Stock Exchange, a testimonianza dell'ampiezza delle preoccupazioni nell'intero sistema finanziario.

Satsuki Katayama ha detto che l'obiettivo era riunire gli attori chiave per valutare la situazione in evoluzione.

«Riuniremo i membri principali che hanno la maggiore responsabilità per condividere valutazioni sulla situazione attuale e scambiare opinioni, compresi i problemi segnalati in diverse parti della comunità finanziaria internazionale», ha detto.

Banche centrali di tutto il mondo in stato di allerta

I regolatori in altre regioni stanno adottando misure simili.

La Reserve Bank of Australia ha dichiarato mercoledì di monitorare da vicino gli sviluppi e di «collaborare con regolatori omologhi, il governo e le entità soggette a regolamentazione».

Nel frattempo la Reserve Bank of New Zealand ha descritto mercoledì i rischi come «in evoluzione» e ha confermato di coordinarsi con omologhi nazionali e australiani.

Anche l'India si è unita allo sforzo globale.

Secondo un rapporto di Reuters, la Reserve Bank of India è in consultazione con regolatori internazionali, istituti di credito e funzionari governativi per valutare le potenziali minacce.

Valutazioni preliminari suggeriscono che il modello potrebbe accelerare la scoperta e lo sfruttamento di vulnerabilità software, aumentando le preoccupazioni per la cybersicurezza.

La questione ha raggiunto i massimi livelli della politica internazionale.

Il ministro delle finanze canadese François-Philippe Champagne ha detto alla BBC che il modello era stato discusso in un recente incontro del Fondo Monetario Internazionale a Washington.

«È certamente abbastanza serio da meritare l'attenzione di tutti i ministri delle finanze», ha detto, definendo la tecnologia un 'unknown unknown'.

Allo stesso modo, il governatore della Bank of England Andrew Bailey ha avvertito che le autorità stanno valutando attentamente le implicazioni.

«Ora dobbiamo esaminare con molta attenzione cosa potrebbe significare per il rischio di crimine informatico questo ultimo sviluppo nell'IA», ha detto alla BBC.

Una spada a doppio taglio per la cybersicurezza

Sebbene Mythos sia stato progettato per applicazioni di cybersicurezza difensive, le sue capacità hanno suscitato allarme.

Anthropic ha affermato che i primi test hanno rivelato «migliaia» di vulnerabilità significative nei principali sistemi operativi e browser web.

Martedì il presidente della Bundesbank Joachim Nagel ha descritto il modello come una «spada a doppio taglio».

«Potrebbe essere utilizzato non solo per migliorare i sistemi di sicurezza digitale, ma anche per sfruttare le loro vulnerabilità a fini malevoli.»

Gli esperti affermano che la preoccupazione riguarda la velocità e la scala con cui un sistema di IA del genere può individuare e sfruttare le debolezze — superando di gran lunga le risposte di sicurezza tradizionali.

Perché Anthropic ha limitato l'accesso al modello?

Anthropic ha limitato l'accesso al modello tramite un'iniziativa controllata chiamata Project Glasswing.

Alcune organizzazioni selezionate, tra cui Amazon, Microsoft, Nvidia e Apple, hanno ottenuto accesso anticipato, insieme a decine di enti responsabili della manutenzione delle infrastrutture digitali critiche.

In un video di lancio, Dario Amodei ha detto che la società si era offerta di collaborare con le autorità statunitensi per «aiutare a difendersi dal rischio rappresentato da questi modelli».

I test condotti da ricercatori indipendenti, inclusi i cosiddetti «red team», hanno messo in evidenza le capacità avanzate del modello.

Secondo Anthropic, Mythos può identificare autonomamente bug critici nei sistemi legacy e perfino suggerire metodi per sfruttarli.

«Mythos Preview ha già rilevato migliaia di vulnerabilità ad alta gravità, incluse alcune in ogni principale sistema operativo e browser web», ha detto la società.

«Dato il ritmo dei progressi dell'IA, non passerà molto tempo prima che tali capacità si diffondano, potenzialmente oltre gli attori impegnati a dispiegarle in sicurezza.»

Rischi maggiori nei sistemi legacy

La minaccia potenziale è particolarmente acuta nei settori che fanno affidamento su infrastrutture complesse e datate.

Un rapporto di Bain & Company ha osservato che settori come l'energia, la manifattura e i trasporti potrebbero affrontare rischi accresciuti a causa di sistemi obsoleti difficili da correggere con patch.

Anche le banche sono vulnerabili, data la loro dipendenza da sistemi interconnessi, alcuni dei quali risalgono a decenni fa.

Tuttavia, il rapporto ha sottolineato che i rischi sono gestibili con solide pratiche di cybersicurezza.

«La minaccia è seria, ma non insormontabile, e solide basi di cybersicurezza sono la vostra migliore difesa», si legge, aggiungendo che le salvaguardie esistenti come la segmentazione della rete, i controlli di accesso e il rilevamento delle anomalie possono offrire una protezione significativa.

L'attenzione si sposta sulla preparazione piuttosto che sul panico

Piuttosto che affrettarsi a sviluppare difese interamente nuove e specifiche per l'IA, gli esperti sostengono che le organizzazioni dovrebbero dare priorità al rafforzamento dei quadri di sicurezza esistenti.

Le raccomandazioni includono l'istituzione di team dedicati alla risposta alle minacce AI, il miglioramento delle misure di cybersicurezza di base e la risoluzione delle vulnerabilità negli ambienti di tecnologia operativa (OT).

Con l'espansione dell'accesso a sistemi di IA potenti, regolatori e aziende si trovano ad affrontare un equilibrio: sfruttare i benefici dell'innovazione proteggendosi al contempo dalle conseguenze involontarie.

La rapida risposta globale a Mythos suggerisce che i responsabili politici sono ben consapevoli delle poste in gioco.

Rimane aperta la domanda se questi primi sforzi saranno sufficienti a mitigare i rischi posti dall'IA di nuova generazione.