OpenAI lancia GPT-5.3-Codex: il dilemma dell’AI autonoma per la cybersecurity
Il modello è classificato ad ‘Alta capacità’ per la cybersecurity, ma la sua natura di arma a doppio taglio ha spinto OpenAI a implementare un sofisticato sistema di controllo che ne ritarda l’accesso via API.
La corsa per dotare l’intelligenza artificiale di capacità offensive e difensive nel cyberspazio ha appena fatto un balzo in avanti. OpenAI ha lanciato GPT-5.3-Codex, presentandolo come il suo modello più abile e sofisticato mai creato per la cybersecurity.
Ma c’è un dettaglio che rivela più di qualsiasi dichiarazione trionfale: l’accesso via API, la porta per integrare questa potenza in sistemi automatizzati, non è ancora disponibile.
“Ci stiamo impegnando per abilitarlo in sicurezza al più presto”, si legge nelle note tecniche.
In altre parole, la creatura è pronta, ma la gabbia per contenerla richiede ancora qualche serratura.
È la prima volta che OpenAI classifica esplicitamente un suo modello come ad “Alta capacità” per la cybersecurity nel suo quadro di preparazione, un riconoscimento ufficiale che lo strumento può essere un’arma a doppio taglio di straordinaria efficacia.
L’obiettivo dichiarato è nobile: dare ai difensori, spesso in inferiorità numerica e di risorse, un alleato formidabile. GPT-5.3-Codex non è un semplice chatbot che suggerisce patch. È progettato per operare in modo autonomo per ore o addirittura giorni, scansionando intere codebase, simulando vettori d’attacco, correlando indicatori di compromissione e generando script di riparazione.
I benchmark interni mostrano una riduzione del 40% dei falsi positivi rispetto agli analizzatori statici tradizionali.
Immaginate un analista di sicurezza superumano che non dorme mai, capace di setacciare milioni di righe di codice mentre il team umano si concentra sulle strategie.
Per supportare questa visione, OpenAI ha anche annunciato un programma di grant da 10 milioni di dollari in crediti API per team di ricerca e difesa.
Ma è proprio questa potenza a generare la massima preoccupazione. La stessa “catena di ragionamento” che permette al modello di trovare e suggerire una patch per una vulnerabilità, potrebbe essere riorientata per sfruttarla.
OpenAI lo ammette senza giri di parole: modelli così avanzati potrebbero essere usati per “sviluppare exploit zero-day funzionanti contro sistemi ben difesi, o assistere in modo significativo operazioni di intrusione complesse e stealth”.
È il classico dilemma del dual-use, ma portato a un livello di scala e automazione senza precedenti.
La risposta dell’azienda non è stata quella di bloccare lo sviluppo, ma di costruire attorno al modello un sofisticato sistema di controllo chiamato “Trusted Access for Cyber”.
Un accesso a livelli, come un club esclusivo per cyber-difensori
Il cuore della strategia di sicurezza di OpenAI non è solo nel codice del modello, ma in chi può usarlo e come. Il “Trusted Access for Cyber” è un framework a più livelli che assomiglia più a un processo di sicurezza nazionale per l’accesso a tecnologie sensibili che a un semplice login.
Per gli individui, è richiesta una verifica dell’identità (KYC) su un portale dedicato.
Le aziende devono passare attraverso rappresentanti OpenAI, che forniscono accesso a interi team con log di audit.
C’è poi un programma su invito riservato a ricercatori che svolgono simulazioni di attacco (red team) di alto livello.
L’idea è semplice: filtrare gli utenti prima che mettano le mani sullo strumento.
Il modello stesso è stato addestrato a rifiutare oltre 10 milioni di prompt avversariali e include un “Safety Reasoner” che classifica in tempo reale sia le richieste dell’utente che l’output del modello, bloccando quelle che rientrano in categorie a rischio.
Il monitoraggio non avviene solo a livello di singola richiesta, ma traccia pattern comportamentali dell’“attore” attraverso più sessioni, per catturare quegli approcci “lenti e costanti” in cui richieste individualmente innocue combinate diventano pericolose.
In alcuni casi, il traffico ad alto rischio viene dirottato automaticamente verso modelli meno capaci, riducendo il potenziale danno.
Nonostante questi sforzi, le valutazioni dei red team indicano che il sistema di sicurezza non è perfetto, con 132 falsi negativi confermati su 279 segnalazioni.
Un avversario abile e determinato può ancora trovare falle.
Questo intricato sistema di controlli spiega il ritardo nell’apertura delle API. Abilitare l’accesso programmatico significa permettere a questo modello di operare in pipeline automatizzate, all’interno di sistemi CI/CD o di tool personalizzati, moltiplicando esponenzialmente la sua velocità e potenziale scala.
Senza controlli di sicurezza altrettanto scalabili e automatizzati, il rischio di abuso diventerebbe ingestibile.
OpenAI sta evidentemente cercando di testare e rafforzare questi meccanismi con un gruppo ristretto di clienti fidati prima di aprire i cancelli.
Nel frattempo, il modello è disponibile solo in ambienti interattivi come l’app Codex, dove l’interazione umana funge da ulteriore freno.
La partita si sposta sul campo degli agenti autonomi
Con GPT-5.3-Codex, OpenAI non sta solo lanciando un nuovo prodotto; sta cercando di ridefinire il proprio ruolo nel mercato della sicurezza informatica, un settore già affollato di giganti consolidati come CrowdStrike, Palo Alto Networks e Microsoft.
Il vero terreno di competizione, però, non sembra essere la semplice rilevazione delle minacce. I player tradizionali hanno già integrato l’AI nei loro sistemi per anni.
La scommessa di OpenAI è su un concetto più radicale: l’agente autonomo.
Mentre CrowdStrike punta a correlare automaticamente i dati attraverso la sua piattaforma unificata per migliorare le operazioni del SOC e Microsoft spinge su Copilot for Security come assistente per gli analisti, OpenAI parla di un’entità che agisce in modo prolungato e indipendente.
È una differenza fondamentale.
Non si tratta di uno strumento che aiuta un essere umano a prendere una decisione, ma di un sistema che, una volta impostato, esegue un compito complesso dall’inizio alla fine.
Per fare un paragone, è la differenza tra un navigatore satellitare e un’auto a guida autonoma.
Questa ambizione è confermata dallo sviluppo parallelo di “Aardvark”, uno strumento di sicurezza agentico in beta privata che scandisce autonomamente le codebase alla ricerca di vulnerabilità e propone patch.
La posta in gioco è altissima: se questi agenti si dimostreranno affidabili, potrebbero non solo aumentare l’efficienza, ma cambiare radicalmente l’economia della cybersecurity, automatizzando gran parte del lavoro di manutenzione e hardening che oggi assorbe immense risorse.
Tuttavia, i termini di servizio di OpenAI chiariscono che i contenuti dei clienti non verranno usati per addestrare i modelli per impostazione predefinita, una garanzia cruciale per le aziende che non vogliono che i loro segreti di codice divengano materiale di training.
L’IA deve potenziare le difese informatiche senza armare i nemici
— Responsabile della sicurezza di OpenAI
Questa citazione racchiude la contraddizione centrale dell’operazione. OpenAI si trova nella posizione unica e pericolosa di dover costruire, vendere e contemporaneamente custodire una delle tecnologie più potenti mai concepite per la guerra digitale.
Il “Trusted Access” è il tentativo di risolvere questo paradosso attraverso la governance, la verifica e il monitoraggio.
Ma in un mondo dove le minacce avanzate sono spesso sponsorizzate da stati nazionali con risorse illimitate, è realistico pensare che un sistema di verifica dell’identità e di monitoraggio delle attività possa tenere fuori gli attori più pericolosi?
O, in alternativa, questo modello finirà per creare un divario ancora più grande tra i difensori “verificati” che possono permettersi strumenti all’avanguardia e il resto del mondo, lasciato indietro con strumenti obsoleti mentre la potenza di fuoco degli attaccanti continua a crescere?
La gabbia per GPT-5.3-Codex è in costruzione, ma la corsa per scassinarla è probabilmente già iniziata.
