Diciannove giorni offline, per ordine governativo

Il 30 giugno 2026 Anthropic ha annunciato che il Dipartimento del Commercio USA aveva revocato i controlli alle esportazioni imposti su Claude Fable 5 e Mythos 5, e ha iniziato a ripristinare l'accesso il giorno seguente. La sospensione era durata 19 giorni: imposta il 12 giugno, imponeva di bloccare l'accesso a qualunque cittadino straniero ovunque, una condizione che Anthropic non poteva verificare in tempo reale, così ha spento entrambi i modelli per tutti. CNBC, Decrypt e The Hacker News hanno raccontato lo spegnimento e la retromarcia.

Il fattore scatenante era specifico. Ricercatori di Amazon avevano dimostrato un modo per aggirare le protezioni di Fable 5 e fargli identificare vulnerabilità software e dimostrare tecniche di sfruttamento. Il governo ha trattato un modello di frontiera jailbroken come una capacità cyber controllata, e il mercato ha imparato che un modello può essere spento per direttiva, a metà contratto, in tutto il mondo.

Cosa ha davvero ricomprato l'accesso

Il modello non è tornato perché l'ordine è scaduto. È tornato perché Anthropic ha presentato una correzione e un argomento. La correzione è un classificatore di sicurezza riaddestrato contro la tecnica segnalata, che secondo l'azienda ora la blocca in oltre il 99 per cento dei tentativi; le richieste segnalate vengono deviate su Claude Opus 4.8, un modello meno capace, con avviso all'utente. Anthropic ammette che la rete più stretta cattura anche più lavoro legittimo, accettando più falsi positivi nella programmazione ordinaria come margine di sicurezza deliberato.

L'argomento pesa almeno altrettanto: parità di capacità. Anthropic ha documentato che modelli meno capaci e liberamente disponibili, compresi il proprio Opus 4.8, GPT-5.5 di OpenAI e Kimi K2.7, potevano replicare le stesse dimostrazioni di vulnerabilità. Quando una capacità è ovunque, controllare il modello di un fornitore non limita nulla. Quella logica ha riaperto Fable 5, e definisce in silenzio come funzioneranno i controlli futuri: stringeranno solo la cima della curva delle capacità, mentre il pavimento sotto continua a salire.

Il quadro pubblicato due giorni dopo

Il 2 luglio Anthropic ha pubblicato la meccanica dietro la correzione. Le richieste cyber vengono ordinate in quattro livelli: usi proibiti come ransomware ed esfiltrazione di dati, bloccati del tutto; doppio uso ad alto rischio come sviluppo di exploit ed escalation di privilegi, per lo più bloccato finché non esistono controlli di accesso migliori; doppio uso a basso rischio come intelligence da fonti aperte e identificazione di vulnerabilità entro le capacità degli strumenti esistenti, consentito con monitoraggio; e lavoro benigno come programmazione sicura e risposta agli incidenti, consentito con attrito minimo.

Insieme è arrivata una proposta di scala di gravità dei jailbreak, CJS, da 0 informativo a 4 critico, valutata su quattro assi: quanta capacità il jailbreak aggiunge oltre gli strumenti esistenti, quante attività offensive abilita, con che facilità si trasforma in arma e quanto è reperibile. Un programma di ricompense su HackerOne per la scoperta di jailbreak accompagna il quadro, che Anthropic definisce una bozza iniziale.

CVSS per i jailbreak, e dove si diffonde

I team di sicurezza hanno già visto questo film. CVSS nacque come convenzione di punteggio di un fornitore e divenne il numero che ogni decisione di patch, ogni questionario di acquisto e ogni modulo di assicurazione cyber richiede. Una scala di gravità dei jailbreak riempie lo stesso vuoto: oggi, quando circola una tecnica di elusione, un CISO non ha un modo standard di dire quanto sia grave. CJS, o il successore su cui il settore convergerà, dà a comitati di rischio, regolatori e assicuratori un denominatore comune per l'esposizione ai modelli di IA.

Per gli operatori europei la direzione è concreta: aspettatevi che i questionari ai fornitori di IA crescano di una sezione sulla gravità dei jailbreak, che gli assicuratori delle polizze cyber chiedano quali modelli esponete a input non fidati, e che il safety case, prova del classificatore più punteggio di gravità, diventi il documento che decide se un modello può essere usato in flussi regolati sotto quadri come NIS2.

La lezione per gli operatori: la disponibilità è ora condizionata

Il fatto profondo dell'episodio non è il jailbreak ma i 19 giorni. Un modello di frontiera con contratti enterprise si è spento globalmente per direttiva governativa ed è tornato solo quando un safety case ha soddisfatto il regolatore. La disponibilità dei modelli è ora condizionata alle prove, e i blackout di questa classe sono una modalità di guasto dimostrata, non un'ipotesi. Ogni azienda i cui flussi dipendono da una singola API di frontiera dovrebbe trattarla come tratta un input di fabbrica a fornitore unico: con un failover testato verso un secondo modello, una procedura scritta di commutazione e un contratto che dica cosa succede alle tariffe quando il prodotto viene spento da qualcuno a cui nessuna delle parti può appellarsi.