La denuncia di Anthropic non è solo l’ennesimo scambio di accuse tra colossi dell’intelligenza artificiale: è un segnale che la guerra per il controllo degli LLM si combatte ormai sul fronte della «distillation» non autorizzata. Secondo la società americana, Alibaba avrebbe orchestrato il più grande attacco di questo tipo mai registrato contro Claude, il suo modello di punta.

L’accusa e il metodo

Anthropic non ha diffuso dettagli tecnici completi, ma il cuore dell’accusa è chiaro: qualcuno – presumibilmente legato ad Alibaba – avrebbe interrogato Claude su vasta scala per estrarne le capacità, usando le risposte per addestrare un modello concorrente. Questa tecnica, chiamata distillation, è nota da anni nel mondo accademico: un modello «studente» impara dal comportamento di un «insegnante» senza accedere direttamente ai pesi o ai dati originali. Se condotta senza autorizzazione, trasforma di fatto l’API di un servizio in una risorsa gratuita per clonare proprietà intellettuale altrui.

Che cosa significa per chi gestisce modelli in proprio

Per le organizzazioni che valutano deployment on-premise o self-hosted di LLM, l’episodio mette a fuoco un rischio spesso sottovalutato: la protezione del modello stesso, non solo dei dati. Anche un’istanza locale esposta via API può essere bersaglio di distillation se non si adottano misure di rate limiting, watermarking delle risposte o sistemi di rilevamento delle anomalie.

Il confine tra addestramento legittimo e furto di capacità è sottile. Un’azienda che affina un LLM per uso interno potrebbe, senza volerlo, incappare in contestazioni legali se utilizza tecniche di distillation non trasparenti. La vicenda Anthropic-Alibaba mostra che il dibattito non è più teorico e che le conseguenze possono essere geopolitiche.

Sovranità tecnicica e nuove barriere

La tensione USA-Cina aggiunge uno strato ulteriore. L’accesso a modelli occidentali è già limitato da controlli all’esportazione di hardware e software. Episodi come questo potrebbero accelerare l’introduzione di meccanismi di difesa più rigidi – come query inspection, autenticazione a più fattori per le API e restrizioni geografiche sull’inference – che ridefiniscono il concetto di sovranità del dato estendendolo al modello stesso.

Sul piano operativo, chi gestisce LLM in-house dovrà valutare trade-off concreti: bilanciare l’apertura necessaria per servire applicazioni interne con la chiusura richiesta per evitare fughe di capacità. Su AI-RADAR chi si occupa di queste scelte trova framework analitici che aiutano a soppesare costi, rischi e architetture, senza imporre soluzioni precostituite.

Una partita appena iniziata

Il caso rimane controverso e le indagini sono in corso, ma segna un punto di svolta. Finora la sicurezza AI si concentrava su prompt injection e adversarial examples; oggi la distillation non autorizzata entra nell’agenda dei CISO. La domanda non è più se i modelli possano essere copiati, ma quanto velocemente chi li sviluppa riuscirà a mettere in campo difese efficaci, mentre le imprese rivalutano cosa significhi, concretamente, possedere e proteggere un LLM.