// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
L’AI cinese riduce il divario nella cybersecurity, più rischi per le imprese
Il nuovo modello GLM-5.2 di Zhipu AI, società cinese nota anche come Z.ai, entra nel radar delle imprese italiane perché sposta un tema finora trattato soprattutto come competizione geopolitica: la capacità dei modelli di intelligenza artificiale di individuare vulnerabilità software. Secondo quanto riportato dalla ricostruzione pubblicata da The Verge, alcuni ricercatori sostengono che GLM-5.2 raggiunga Mythos in determinati scenari di bug-finding e cybersecurity.
Per le aziende italiane, il punto operativo non è stabilire se un modello cinese superi o meno quelli statunitensi in ogni benchmark, ma aggiornare il modo in cui vengono gestiti strumenti AI capaci di analizzare codice, configurazioni e vulnerabilità. In Italia, la pagina ACN sulla normativa NIS ricorda che il D.Lgs. 138/2024 ha recepito la direttiva NIS2: per i soggetti coinvolti, la gestione del rischio cyber non può più restare separata dall’adozione di modelli AI usati da team interni, fornitori, consulenti o security operation center.
La notizia nasce dal rilascio di GLM-5.2 come modello open-weight. The Verge riporta che il modello non riesce a eguagliare Anthropic o OpenAI nei compiti generali, ma che il divario si sarebbe ridotto nella capacità di trovare bug. La distinzione è centrale per le imprese: un modello meno competitivo nelle attività generaliste può comunque diventare molto efficace in un ambito tecnico delimitato, come l’analisi di codice o l’individuazione di vulnerabilità.
Secondo la fonte, alcuni ricercatori hanno sostenuto che GLM-5.2 sia in grado di eguagliare Mythos in specifici scenari di cybersecurity e bug-finding. Non viene indicato un sorpasso generalizzato, né un dominio complessivo sui modelli statunitensi: il dato comunicato riguarda casi d’uso particolari. Per chi gestisce software aziendale, applicazioni web, ambienti cloud o prodotti digitali, questa è comunque la parte da osservare, perché l’efficacia nei test di vulnerabilità incide sul lavoro di red team, bug bounty, audit applicativi e revisione del codice.
The Verge collega il progresso di Z.ai al confronto tecnologico tra Cina e Stati Uniti. Il governo statunitense ha lavorato per limitare l’accesso della Cina a modelli avanzati come Mythos e Fable di Anthropic, oltre che all’hardware necessario per addestrarli ed eseguirli. La stessa fonte scrive che l’amministrazione Trump considera Mythos e altri modelli avanzati, capaci di identificare vulnerabilità, come minacce per la sicurezza nazionale.
La scelta tecnica che cambia il profilo di rischio è il formato open-weight. Secondo The Verge, GLM-5.2 può essere scaricato ed eseguito da chiunque su hardware facilmente reperibile. Questo riduce la dipendenza da piattaforme cloud controllate dal vendor e offre a utenti esperti un accesso più profondo al modello, ma riduce anche le possibilità di supervisione centralizzata sull’uso effettivo.
La stessa caratteristica produce due effetti opposti. Da un lato, security team, ricercatori e aziende possono sperimentare strumenti di analisi più flessibili, anche in ambienti isolati o senza inviare codice sorgente a servizi esterni. Dall’altro, The Verge osserva che un modello eseguibile con poca supervisione può essere sfruttato da attori malevoli. La tecnologia che aiuta a trovare difetti nel software può essere usata anche per cercare punti deboli in sistemi non autorizzati.
Per le imprese italiane, il primo controllo pratico è censire dove entrano questi modelli: workstation di sviluppatori, ambienti di test, strumenti di application security, piattaforme di consulenti esterni, servizi gestiti di cybersecurity. Un modello open-weight non passa necessariamente dal procurement tradizionale di un servizio SaaS; può essere introdotto come dipendenza tecnica, container, notebook o componente locale. La policy sull’AI generativa, se limitata agli account aziendali su servizi cloud, rischia quindi di non intercettare l’uso reale.
Nel perimetro NIS, questo si traduce in processi docum