Un ente pubblico mette un numero sul divario
Il 17 luglio 2026 l'AI Security Institute del Regno Unito ha pubblicato la prima misura empirica di quanto l'IA aperta sia indietro rispetto alla frontiera chiusa nel lavoro cyber offensivo, e il numero risulta più piccolo di quanto il settore ipotizzasse. AISI ha rilevato che i migliori modelli scaricabili eguagliano ormai la capacità cyber dei sistemi chiusi di frontiera usciti da quattro a sette mesi prima. Per gran parte del 2025 quel divario era di sei-dieci mesi. Il vantaggio che i laboratori chiusi tenevano sui modelli liberamente accessibili si è ridotto di circa un terzo o la metà in un solo anno.
Il risultato poggia su due regimi di prova, non su un singolo benchmark. AISI ha eseguito settanta compiti cyber ristretti graduati su quattro livelli di difficoltà, poi una serie di poligoni cyber che misurano se un modello sa condurre da solo un attacco completo contro una rete simulata. GLM-5.2, uscito a giugno 2026, si è comportato come i modelli chiusi di quattro mesi prima nei compiti ristretti e ha eguagliato Opus 4.5 sui poligoni più lunghi. DeepSeek V4-Pro è andato di pari passo con lo stesso Opus 4.5, un modello uscito cinque mesi prima di lui.
Il vantaggio non è mai stato gratuito
Il divario è la ragione stessa per misurarlo. I modelli cyber più capaci sono sempre stati chiusi, raggiungibili solo tramite l'interfaccia di un fornitore, dove questi può osservare l'uso, rifiutare l'abuso e spegnere un account. Quel controllo è ciò che dà tempo ai difensori: i team di sicurezza con accesso ai sistemi protetti più potenti possono trovare e correggere le debolezze prima che la stessa capacità raggiunga gli attaccanti tramite un modello che nessuno sorveglia.
La finestra non è ipotetica. Ad aprile 2026 due modelli chiusi, Mythos Preview e GPT-5.5, hanno segnato i maggiori salti singoli di capacità cyber che AISI avesse registrato dall'inizio dei test nel 2023, cosa che ha innescato avvisi internazionali. La frontiera chiusa continua a muoversi; la domanda a cui AISI ha risposto è quanto in fretta la segue il gruppo aperto. Il confronto parla da sé, perché GLM-5.2 e DeepSeek V4-Pro stanno ora dove stavano Opus 4.5, Opus 4.6 e GPT-5.3-Codex appena pochi mesi fa.
Cosa significa un divario di mesi per il vostro budget di sicurezza
Pianificate la difesa su un orologio che ora segna mesi, non un anno. Ciò che la frontiera a pagamento sa fare oggi in modo offensivo va trattato come disponibile in un modello scaricabile e non sorvegliato entro circa mezzo anno. Un modello aperto non ha limiti d'uso, né rifiuto dell'abuso, né interruttore di spegnimento; una volta che i pesi sono pubblici, le protezioni attorno a un servizio ospitato non viaggiano con loro. L'ipotesi pratica di pianificazione è la parità dell'attaccante con la frontiera protetta con due trimestri di ritardo.
Per un operatore questo riformula più voci. Un ritmo di patch tarato su un comodo ciclo trimestrale rientra ora nella finestra in cui un modello di consumo può concatenare una vulnerabilità pubblica fino a un'intrusione funzionante. Gli strumenti di rilevamento comprati sulla promessa che gli attacchi inediti restino rari devono presumere che gli attacchi dall'aspetto inedito diventino routine prima. E il valore di sicurezza di pagare un modello chiuso di alto livello è reale ma calante, perché lo stesso ragionamento che il vostro team affitta è a mesi dall'essere scaricabile da chi vi prende di mira.
Un modello aperto non si può richiamare
L'asimmetria che rende tutto difficile è la permanenza. Un laboratorio chiuso che scopre che il suo modello è diventato pericoloso può irrigidire i filtri, limitare l'accesso o ritirarlo. I pesi aperti, una volta rilasciati, vengono copiati, conservati e riospitati oltre la portata di qualunque parte, e le barriere che un produttore addestra possono essere rimosse da chiunque abbia il file e un hardware modesto. La formula di AISI è schietta: i difensori hanno una finestra breve prima che le capacità cyber di frontiera di oggi possano diventare accessibili senza le stesse protezioni.
Nulla di questo fa dei modelli aperti il cattivo; la stessa apertura sostiene la ricerca, la verificabilità e la sovranità che le aziende europee chiedono sempre più al loro stack software. È un argomento sui tempi. Il beneficio dei pesi aperti e il rischio dei pesi aperti arrivano insieme, e l'orologio del rischio è quello che ha appena accelerato. Trattare la cifra di quattro-sette mesi come una legge fissa sarebbe anch'esso un errore, perché la tendenza nell'arco dell'anno è che continua a ridursi.
La conclusione
Presumete che gli strumenti dell'attaccante raggiungano la frontiera protetta entro circa sei mesi, e assumete personale, applicate patch e sorvegliate secondo questa ipotesi. Con la NIS2 la responsabilità di questo giudizio ricade ora su una dirigenza nominata, non su un fornitore, quindi il calendario su cui pianificate è una cifra da consiglio di amministrazione. Ponete al vostro responsabile della sicurezza una domanda in questo trimestre: se un modello scaricabile potesse condurre un attacco autonomo alla nostra rete entro fine anno, cosa cambia oggi. La risposta onesta è una voce di bilancio, non una rassicurazione.
Da leggere ora: Un laboratorio di frontiera ammette che il suo modello non è il migliore | Un'IA ha condotto da sola un intero attacco ransomware



