OpenAI ha trovato il modo di smascherare i cattivi
OpenAI ha bloccato 41 reti malevole, rivelando che il rilevamento si basa su pattern comportamentali, non sui contenuti dei prompt.
Il report di OpenAI mostra come si individuano le reti abusive analizzando pattern comportamentali, non contenuti
Quarantuno reti bloccate, decine di casi documentati, un rapporto pubblicato ogni trimestre: il report di OpenAI sugli abusi dei modelli fa il suo dovere comunicativo. Il numero fa effetto, occupa uno screenshot, circola. Ma se ti fermi un secondo a chiederti come si riconosce un uso malevolo di un modello linguistico da uno legittimo, ti accorgi che la statistica è quasi la parte meno interessante di tutta la faccenda. Già da febbraio 2024, quando OpenAI ha avviato il suo programma pubblico di threat reporting, la vera sfida non era contare le reti da abbattere — era trovare il filo da seguire per individuarle.
Il metodo dietro la statistica
Il paradosso di moderare un modello linguistico general-purpose è che non esiste una categoria sintattica di “prompt malevolo”. La stessa richiesta di generare testo persuasivo può provenire da un copywriter, da uno studente di retorica o da qualcuno che vuole inondare forum di disinformazione coordinata. OpenAI, nel suo aggiornamento di ottobre 2025, non si limita a dichiarare di aver interrotto quaranta reti: condivide casi di studio del trimestre precedente che mostrano come avviene concretamente il rilevamento. È una scelta di trasparenza tecnica rara nel settore, e vale la pena leggerla con attenzione. Perché sotto la superficie del bollettino stampa c’è una domanda aperta che riguarda chiunque costruisca prodotti su questi modelli: su cosa si basa esattamente il giudizio?
Riconoscere i pattern, non i contenuti
La risposta che emerge dal report è, nella sua essenzialità, quasi elegante: non si cerca il contenuto malevolo, si cercano i pattern comportamentali. Pensa a come funziona un sistema di rilevamento delle anomalie in una rete aziendale: non legge ogni pacchetto cercando malware esplicito, ma monitora le deviazioni dal comportamento atteso — volumi fuori norma, sequenze di chiamate insolite, connessioni in orari statisticamente anomali. La logica applicata da OpenAI sembra analoga. Non è il singolo prompt a far scattare un campanello, ma la configurazione complessiva: sequenze ripetitive, pattern di utilizzo che si discostano da quelli organici, strutture che ricordano campagne coordinate piuttosto che interazioni individuali.
Questo approccio si giustifica con una osservazione empirica che OpenAI ha messo nero su bianco nel report: gli attori malevoli non stanno usando i modelli per acquisire capacità offensive nuove. Li stanno usando per accelerare tattiche che già conoscevano. Nelle parole esatte del documento: “We continue to see threat actors bolt AI onto old playbooks to move faster, not gain novel offensive capability from our models.” Tradotto in termini pratici: chi produceva disinformazione a mano ora la produce dieci volte più velocemente, chi orchestrava campagne di phishing artigianali ora le scala con il completamento automatico. L’IA è un moltiplicatore di velocità, non un generatore di idee criminali inedite. Il che sposta completamente il problema: non stai cercando qualcosa di nuovo, stai cercando qualcosa di vecchio che si muove più in fretta.
Cosa cambia per chi costruisce
Ed è qui che il report smette di essere solo un comunicato di sicurezza aziendale e diventa rilevante per chi sviluppa applicazioni su modelli simili. Se il problema non è il contenuto ma la velocità e la struttura dell’utilizzo, allora l’architettura difensiva di un’applicazione deve spostarsi di conseguenza. Un filtro sui contenuti — lista di parole proibite, classificatori di intento, prompt injection detection — cattura casi banali ma è fondamentalmente cieco davanti a un attore sofisticato che usa il modello in modo individualmente lecito ma strutturalmente coordinato. Quello che serve è telemetria comportamentale: loggare non solo cosa viene richiesto, ma come, quando, in quale sequenza, con quale frequenza, da quale pattern di sessione.
Questo ha implicazioni concrete sull’infrastruttura. Significa tenere traccia di sessioni aggregate, non solo di singole chiamate API. Significa costruire baseline di comportamento normale per la propria specifica user base, invece di affidarsi a classificatori generici pre-addestrati su distribuzioni diverse. Significa che il dato utile non è il testo della risposta — è la firma temporale, il volume, la varianza delle richieste nel tempo. È una logica più vicina a quella di un SIEM (Security Information and Event Management) che a quella di un content moderator.
La provocazione è questa: molti team che costruiscono prodotti su LLM stanno ancora investendo la maggior parte dell’effort difensivo sul lato dei contenuti — guardrail, system prompt blindati, filtri in output. Tutto utile, ma insufficiente se l’avversario non sta cercando di farti dire qualcosa di sbagliato, sta cercando di usarti come infrastruttura scalabile per fare più velocemente quello che già sa fare. OpenAI può permettersi una visione aggregata su milioni di interazioni e individuare le reti coordinando i punti. Chi costruisce un’applicazione verticale con una base utenti più piccola ha meno dati, ma ha anche meno rumore: il pattern anomalo emerge prima, se sai dove guardare.
L’IA malevola non è un salto quantico. È un’accelerazione di abitudini già esistenti, applicata a strumenti nuovi. Difendersi, di conseguenza, significa smettere di chiedersi “cosa potrebbe generare di pericoloso?” e iniziare a chiedersi “chi si muove troppo veloce, troppo regolarmente, troppo in sincronia con altri?” Il ritmo è il segnale. Il contenuto è il rumore.
