Google ha deciso di mettere una taglia sulla testa dei bug che affliggono i suoi sistemi di intelligenza artificiale. La società ha lanciato un programma di bug bounty specificamente dedicato a scovare le falle di sicurezza nei suoi prodotti basati su IA, come Gemini e la Ricerca Google. L'iniziativa mira a mobilitare la comunità globale di ricercatori di sicurezza, incentivandola con ricompense significative per rafforzare le difese di un ecosistema tecnologico sempre più pervasivo e critico.
Il nuovo programma cerca di definire con precisione cosa l'azienda consideri una minaccia reale e cosa, invece, un problema di diversa natura. Si vuole stabilire un perimetro chiaro per la ricerca di vulnerabilità nell'IA, distinguendo tra exploit con impatto diretto sulla sicurezza e questioni legate all'allineamento dei modelli, come i cosiddetti "jailbreak", che restano fuori dal perimetro delle ricompense.
Una distinzione solo parzialmente sensata, perché di fatto forzare un LLM fuori dai suoi guardrail può diventare - e si solito succede - un problema di sicurezza. Anche sicurezza fisica delle persone. Tuttavia l'approccio di Google può avere senso se si vuole separare il classico problema tecnico dalla questione del jailbreaking, la cui soluzione (se esiste) segue per forza strade diverse.
Il programma di Google classifica le vulnerabilità in diverse categorie di gravità, con un sistema di ricompense a scaglioni. Si arriva fino a 20.000 dollari per le falle più critiche, a cui si possono aggiungere bonus fino a 10.000 dollari per report di alta qualità, portando il premio massimo a 30.000 dollari. Le vulnerabilità coperte includono l'esecuzione di azioni non autorizzate, l'esfiltrazione di dati sensibili e il furto del modello stesso.
Questa approccio strutturato è tipico dei programmi di bug bounty consolidati, che si sono dimostrati uno strumento efficace per migliorare la postura di sicurezza delle aziende, sfruttando un'intelligenza collettiva esterna. La decisione di Google di applicare questo modello all'IA segnala la maturità raggiunta da queste tecnologie e la crescente necessità di proteggerle con metodologie rigorose e collaudate.
Tuttavia, la scelta di escludere i "jailbreak" e il "prompt injection" diretti dal programma ha generato un dibattito. Google sostiene che questi problemi rappresentino una sfida a lungo termine, meglio affrontabile analizzando le tendenze piuttosto che premiando singole scoperte. Secondo l'azienda, risolvere completamente il problema dei jailbreak potrebbe essere tecnicamente impossibile.
Un confine netto tra sicurezza e allineamento
La mossa di Google traccia una linea di demarcazione importante tra le vulnerabilità di sicurezza tradizionali, che compromettono l'integrità di un sistema, e i problemi di "allineamento", che riguardano la capacità del modello di aderire a linee guida etiche o operative. Mentre un hacker che sfrutta una falla per rubare dati commette un'azione inequivocabilmente dannosa, un utente che induce il modello a generare contenuti inappropriati attraverso un jailbreak solleva questioni più complesse e con maggiori sfumature.
Questa separazione potrebbe quindi essere la strada giusta, utile a concentrare le risorse dove l'impatto è più critico e misurabile. I ricercatori sono ora incentivati a focalizzarsi su scenari di attacco con conseguenze concrete, come la manipolazione di un account utente o la sottrazione di informazioni proprietarie. L'approccio pragmatico di Google potrebbe definire uno standard per il settore, spingendo altre aziende a chiarire le proprie priorità in materia di sicurezza dell'IA.
Sì, però se ci si concentra solo sulla vulnerabilità tecnica si fa un lavoro a metà. È sicuramente desiderabile avere un chatbot che non esfiltra dati, ma lo è anche di più avere un LLM che possa resistere alla prompt injection o, ancora meglio, che non si possa forzare a creare malware. Google fa due passi avanti e uno indietro, lasciando aperta e irrisolta la questione più importante.
L'azienda californiana ha però affermato di voler gestire i problemi di allineamento, solo su canali diversi.
Resta aperta la domanda su come l'industria nel suo complesso affronterà le zone grigie dell'etica e del comportamento dei modelli, un terreno scivoloso dove la collaborazione tra aziende, ricercatori e società civile diventa non solo utile, ma necessaria.
