Un laboratorio statale ha messo i modelli aperti su un poligono cyber
L'istituto britannico per la sicurezza dell'IA ha misurato quanto i modelli di IA scaricabili liberamente si siano avvicinati ai migliori sistemi chiusi nel lavoro cyber offensivo, e la risposta è scomodamente vicina. In un rapporto pubblicato il 17 luglio 2026, l'istituto ha provato due modelli aperti, GLM-5.2 e DeepSeek V4-Pro, su 70 compiti cyber distribuiti su quattro livelli di abilità, dal profano tecnico all'esperto, più uno scenario d'attacco più lungo di 32 passi sul suo poligono.
GLM-5.2, uscito a giugno, ha eguagliato l'Opus 4.6 di Anthropic di febbraio sui compiti puntuali e l'Opus 4.5 di novembre sulle prove più lunghe. DeepSeek V4-Pro si è collocato al livello di Opus 4.5. In parole povere, il modello aperto che oggi si può scaricare e far girare sul proprio hardware rende come un sistema di punta che era all'avanguardia quattro-sette mesi fa.
Il prezzo di un attacco capace è crollato
Il divario che conta di più non sono i mesi, sono i soldi. Far girare il poligono dell'istituto con un modello chiuso di primo piano è costato circa 85 dollari per una passata da 100 milioni di token; GLM-5.2 ha fatto lo stesso per circa 46 dollari, e DeepSeek V4-Pro per circa 1 dollaro e 19 centesimi. Per compito a piena affidabilità, Opus 4.6 è costato 15 dollari e 17 centesimi, GLM-5.2 6 dollari e 12 centesimi, e DeepSeek V4-Pro 28 centesimi.
Non è una differenza di arrotondamento. La stessa capacità offensiva che un anno fa stava dietro l'interfaccia a pagamento di un laboratorio di punta, con la sua registrazione d'uso e il suo controllo degli abusi, gira ora su un modello ospitato in proprio a circa un cinquantesimo del costo e senza nessuno che guardi. Per chiunque gestisca un'impresa europea, i conti di chi può permettersi di sondare i vostri sistemi sono appena cambiati.
I freni di sicurezza non hanno tenuto
I pesi aperti non arrivano con un interruttore di spegnimento funzionante. L'istituto ha riferito che le sue valutazioni di questi modelli sono state in gran parte non ostacolate dalle protezioni. DeepSeek V4-Pro a volte rifiutava una richiesta di reverse engineering, ma bastava chiedere di nuovo per aggirare il rifiuto.
È questo il punto strutturale del rilascio a pesi aperti. Una volta che i pesi di un modello sono pubblici, le sue protezioni sono solo un consiglio, perché chiunque può addestrarle via o aggirarle. Un modello chiuso si può limitare, verificare e staccare; uno scaricato no. La questione di sicurezza di questi sistemi ruota perciò attorno alla capacità, non ai gentili rifiuti che un chatbot mostra a un utente occasionale.
Cosa dovrebbe ricavarne un operatore europeo
La lezione non è il panico, è il tempismo. La finestra in cui gli strumenti offensivi di ultima generazione restavano costosi e sorvegliati si sta chiudendo, e la vostra pianificazione della sicurezza dovrebbe presumere che un attaccante competente abbia ora accesso a basso costo e non registrato a capacità che lo scorso inverno erano di prima fascia. Sotto NIS2 e DORA, il dovere di gestire quel rischio ricade sull'operatore, non sul produttore del modello.
In pratica, questo accresce il valore delle basi a cui non importa come sia stato generato l'attacco: tempi di patch brevi, segmentazione della rete, backup collaudati e un rilevamento che osserva il comportamento invece delle firme note. Significa anche che la domanda da porre a un fornitore di sicurezza non è più se difenda dagli attaccanti umani, ma se le sue ipotesi reggano ancora quando lo strumento dell'attaccante costa pochi centesimi e non dorme mai.
Da leggere ora: Gli USA valutano una vigilanza sull'IA che pagherebbero i laboratori | Washington decide ora quando l'IA di frontiera arriva da voi



