‹ Tutti gli articoli
AI

Rubare un modello AI: da mesi a giorni

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

Un modello AI di frontiera è due cose insieme: un asset da centinaia di milioni di dollari e un file. Un file enorme, certo, ma pur sempre un file. E i file, si sa, hanno la pessima abitudine di poter essere copiati. La domanda da miliardi è quanto sia difficile farli uscire dalla porta sul retro.

Un paio di paper recenti hanno una risposta scomoda: molto meno di quanto si sperasse.

Il peso non è più una difesa

L'illusione confortante era questa: i pesi di un modello sono talmente grandi che esfiltrarli richiederebbe mesi, una banda di traffico che chiunque noterebbe. Il paper "Aggressive Compression Enables LLM Weight Theft" (arXiv 2601.01296) smonta l'illusione. Mostra che i pesi sono molto comprimibili, da 16 a 100 volte, con perdite minime. Comprimi così tanto, e i mesi di trasmissione diventano giorni.

C'è di peggio, e più sottile. "Verifying LLM Inference to Detect Model Weight Exfiltration" (arXiv 2511.02620) descrive come un attaccante possa nascondere pezzi dei pesi dentro le normali risposte del modello, usando steganografia. Il modello risponde alle domande come sempre, e intanto, una parola dopo l'altra, fa uscire se stesso. Nessun trasferimento sospetto. Solo conversazioni.

Il furto non passa più per un cavo che trasporta terabyte. Passa per la compressione, o per le risposte che il modello dà ogni giorno a chiunque.

Perché è un problema di potere, non solo di sicurezza

Si potrebbe liquidare la cosa come affare interno dei laboratori AI. Sarebbe miope. I pesi di un modello sono potere concentrato: capacità che decidono chi compete e chi resta indietro, in economia e in geopolitica. Se quel potere diventa furtabile in giorni, l'equilibrio cambia.

Le difese che i ricercatori propongono dicono molto sul problema: rendere i modelli più difficili da comprimere, più difficili da "trovare" dentro un sistema, e marchiarli con watermark forensi per ricostruire il furto dopo che è avvenuto. Notare l'ultima: si parte già dall'idea che il furto accadrà, e si pensa a come fare l'autopsia. Quando la difesa migliore è l'indagine post mortem, è perché la prevenzione è dura.

Perché conta (anche se non addestri modelli)

Per chi sviluppa AI: i pesi vanno trattati come la chiave del caveau, non come un asset tecnico qualsiasi. Chi può interrogare un modello potrebbe, in teoria, iniziare a portarselo via un token alla volta.

Per tutti gli altri: l'idea che i modelli più potenti restino chiusi nei laboratori di chi li ha creati è meno solida di quanto i comunicati lascino intendere. Capacità che pensavamo confinate possono diffondersi, comprimersi, fuggire. E una volta fuori, un file non torna indietro.

C'è qualcosa di vertiginoso in tutto questo. Abbiamo costruito intelligenze che, se interrogate nel modo giusto, possono sussurrare se stesse all'orecchio di chi le vuole rubare. La cassaforte che racconta la combinazione a chi sa quali domande fare.