I modelli open source non sono mai davvero aperti

I modelli open source non sono mai davvero aperti

La trasparenza nell'AI è spesso una facciata: open source controllato, pipeline opache e decisioni unilaterali nascondono il vero potere.

Qwen3.5-4B supera la baseline di GPT-5.2, ma il confronto nasconde limiti strutturali

Un modello da 4 miliardi di parametri scavalca la baseline senza skill di GPT-5.2. Non è fantascienza, è la scorsa settimana. La notizia ha fatto il giro dei forum: festa grande per l’open source, l’ennesima rivincita contro i recinti chiusi di OpenAI. Peccato che il verbo “scavalcare” nasconda più di quanto riveli. Perché se la misura della trasparenza si riduce a un file di pesi scaricabile, allora benvenuti nella nuova cortina di fumo.

Il modello in questione, Qwen3.5-4B, ha raggiunto quel risultato grazie a SkillOpt, una tecnica che calibra il comportamento sul prompt senza toccare i parametri originari. Roba sofisticata, per carità. Ma il punto è un altro: la soglia che ha superato è la baseline senza skill di GPT-5.2. Non il modello acceso, non le sue capacità reali: il suo minimo sindacale. Definire tutto questo un “sorpasso” è come dire che un’utilitaria batte una Ferrari lasciata in folle. Eppure il messaggio è già partito: l’open source avanza, i modelli proprietari tremano. Chi ci guadagna, da questo storytelling?

La selezione che non vedi

I runtime che eseguono questi gioielli open-weight non arrivano dal nulla. Li costruisce e li scansiona Microsoft. Chi volesse servire uno dei modelli “aperti” di Hugging Face all’interno di un’infrastruttura enterprise deve passare dal servizio Foundry Managed Compute, dove ogni modello nella Collection è confezionato in modelli in formato SafeTensors.

Niente trust_remote_code, a meno di una revisione che Microsoft definisce “rigorosa”.

Non è un dettaglio tecnico. È un filtro. Il processo di curation, leggiamo nella documentazione, identifica modelli di tendenza basandosi su segnali della community, richieste dei partner e domanda dei clienti. Risultato: se un modello open-weight non rientra in quei segnali, nei piani di un partner o nelle curve di domanda, semplicemente non arriverà mai a girare su Azure. Potete scaricarvi i pesi quanto volete. Ma per servirli in produzione, con garanzie di latenza e compliance, dovete passare dal vaglio di Redmond. Il setaccio è già qui, e non l’ha scritto la comunità.

I pesi vengono scaricati da Hugging Face una volta sola, validati contro la model card pubblicata e piazzati in storage Azure gestito da Microsoft. Ogni combinazione modello-runtime-acceleratore è testata per conformità API e performance: latenza, throughput, tempo al primo token, tempo di decodifica inter-token. Il messaggio implicito è potente: “l’open source è caotico, pericoloso, ingestibile. Noi lo rendiamo sicuro”. E mentre lo rendono sicuro, decidono anche cosa è abbastanza maturo da meritare un runtime ufficiale e cosa no.

L’encoder cambia, la licenza tace

C’è un’altra illusione da smontare, ed è quella che l’AI generativa sia una questione di modelli. Photoroom ha spiegato con candore quasi disturbante come funziona la sua pipeline. Le immagini sono ricapzionate con un VLM, come dettagliato nella strategia dati PRX. Il passaggio da caption brevi a caption lunghe e fedeli ha migliorato in modo sostanziale la qualità del campione. Ora si usa Qwen3-VL come text encoder, con latenti calcolati on the fly durante il training.

Perché questa scelta ci riguarda? Perché il calcolo on the fly permette di cambiare text encoder senza dover riscrivere i latenti. Tradotto: Photoroom può modificare un pezzo di architettura senza rifare il dataset, senza dichiararlo in una nuova scheda, senza che l’utilizzatore veda nulla. È il trionfo della flessibilità interna e l’apoteosi della scatola nera travestita da condivisione. Oggi c’è Qwen3-VL, domani chissà. La qualità del servizio cambia. Il controllo su come e perché cambia? Quello resta a Parigi.

Non è illegale, sia chiaro. Ma è la dimostrazione perfetta di come la parola “trasparenza” venga usata come un condimento. “Guardate i nostri dati, guardate il nostro blog tecnico”. Poi però la scelta che influisce sulla generazione — quale encoder, con quali pesi, su quali caption — è unilaterale e revocabile. Il modello non è più il punto di controllo. Il punto di controllo è la pipeline.

Chi firma il codice, chi paga l’errore

E mentre discutiamo di modelli, text encoder e runtime scansionati, qualcuno ha già alzato la posta in modo radicale. Australian Payments Plus, infrastruttura che processa pagamenti per un intero continente, ha dichiarato di aver creato oltre 300 GPT personalizzati e più di 1.000 Projects usando Codex per i flussi di prodotto e ingegneria. Codex, lo stesso sistema che OpenAI sottopone ad aggiornamenti continui, cambi di policy e revisioni di safety di cui il cliente non ha alcuna visibilità preventiva.

La faccenda dovrebbe interessare ogni regolatore. Perché qui non parliamo di assistenza alla scrittura di email. Parliamo di processi finanziari delicati delegati a un modello le cui modalità di training, le cui metriche di allineamento e i cui criteri di sicurezza sono decisi a San Francisco. Con quale accountability? Se la generazione automatica produce un errore concatenato su un flusso di pagamento, chi risponde? L’azienda, perché il modello è “uno strumento”? O il fornitore, che ne controlla ogni aggiornamento? La domanda non è accademica. È il futuro prossimo scritto in un case study che andrebbe letto con molta più attenzione di quanto non facciano i comunicati stampa.

“Abbiamo scansionato il modello, il runtime è conforme, la licenza è enterprise-ready”. È il nuovo mantra della distribuzione cloud. E suona maledettamente simile al vecchio: “fidatevi, è tutto sotto controllo”.

Chi decide quale modello open-weight è abbastanza sicuro per voi? Chi cambia l’encoder senza preavviso? Chi certifica che quel GPT custom non stia allucinando dentro un flusso di pagamenti? La risposta — scomoda, opaca, mai dichiarata fino in fondo — è che la trasparenza dell’AI oggi è un prodotto editoriale confezionato da chi gestisce la distribuzione. L’open source è la vetrina. La backdoor è la curation. E l’unico dato di fatto è che, a furia di scansionare, selezionare e incapsulare, il controllo è già altrove. Quanto tempo ancora prima che qualcuno lo chiami con il suo nome?

🍪 Impostazioni Cookie