Capacità di scoprire vulnerabilità software, verificare catene di attacco e ridurre il tempo tra individuazione del bug e correzione. Nell’AI, su questo terreno, la Cina sta riducendo il divario con gli Stati Uniti più velocemente di quanto noi in Occidente avevamo previsto.
Il segnale arriva da due fronti. Da un lato c’è GLM-5.2, modello open-weight di Z.ai, la società cinese già nota come Zhipu AI, progettato per attività di coding e workflow agentici lunghi. Dall’altro c’è Tulongfeng, sistema presentato da 360 Security Technology come risposta cinese a Mythos, il modello di Anthropic specializzato nella ricerca di vulnerabilità.
Modelli ottenuti, almeno in parte, aggirando i dazi USA sui chip più avanzati e sull’uso della distillation (sviluppo di un modello facendo domande a un modello potente e analizzando risposte), tecnica contestata dai modelli americani.
La notizia pesa perché arriva mentre Washington limita l’accesso ad alcuni dei propri modelli più avanzati per ragioni di sicurezza nazionale.
| Elemento | Cosa mostra | Implicazione per la sicurezza |
|---|---|---|
| GLM-5.2 | Modello open-weight con contesto da 1 milione di token | Analisi di repository estesi e uso su infrastrutture proprie |
| Tulongfeng | Sistema agentico per ricerca di vulnerabilità | Industrializzazione del bug hunting, con verifiche e workflow automatizzati |
| Mythos e Fable 5 | Modelli Anthropic sottoposti a restrizioni Usa | Accesso selettivo ai sistemi cyber più avanzati |
| GPT-5.6 Sol | Preview limitata richiesta dal governo Usa | Maggiore controllo sul rilascio dei modelli frontier |
Indice degli argomenti
GLM-5.2, perché il modello AI cinese pesa nella cybersecurity
GLM-5.2 non nasce come modello esclusivamente cyber, ma il suo profilo tecnico lo rende rilevante per la sicurezza applicativa. La scheda ufficiale pubblicata da Z.ai su Hugging Face lo descrive come un modello da 744 miliardi di parametri complessivi, con circa 40 miliardi di parametri attivi, contesto da 1 milione di token e licenza MIT sui pesi. Open-weight non significa pienamente open source, perché dataset e pipeline di addestramento non sono necessariamente disponibili, ma consente a imprese, sviluppatori e ricercatori di scaricare ed eseguire il modello su infrastrutture proprie.
Per la cybersecurity questo cambia il perimetro operativo. Un modello gestito in ambiente controllato può analizzare basi di codice sensibili senza inviarle a servizi cloud esterni, può essere adattato a toolchain interne e può lavorare su repository estesi. Lo stesso vantaggio, però, vale anche per attori ostili: un modello scaricabile, modificabile e usabile fuori da piattaforme centralizzate è più difficile da monitorare rispetto a un servizio chiuso con controlli lato provider.
Secondo Semgrep, società specializzata in application security, nei test pubblicati a fine giugno GLM-5.2 ha mostrato prestazioni sorprendenti su benchmark di individuazione di vulnerabilità Idor, cioè difetti di autorizzazione legati all’accesso diretto a oggetti. Il dato rilevante è che un modello cinese a pesi aperti si avvicina ai sistemi frontier statunitensi in un caso d’uso ad alto valore difensivo e offensivo.
Tulongfeng e la via cinese agli agenti cyber
Tulongfeng segue una logica diversa. Non è soltanto un grande modello linguistico, ma un sistema di agenti per il vulnerability discovery. Alla conferenza ISC.AI 2026 di Pechino, 360 Security Technology lo ha presentato insieme a Yitianzhen, componente orientata alla difesa automatizzata e alla risposta agli incidenti. La società ha rivendicato 3.432 vulnerabilità individuate, di cui 105 confermate da autorità regolatorie cinesi. Sono numeri da trattare con cautela, perché non equivalgono a una validazione indipendente completa, ma indicano la direzione industriale scelta da Pechino.
L’impostazione dichiarata da 360 è interessante: invece di inseguire solo il modello più grande, l’azienda punta su sciami di agenti, basi di conoscenza sulle vulnerabilità, tool di analisi, sandbox e procedure di verifica. In pratica, la capacità cyber non viene affidata al singolo modello generalista, ma a un sistema che organizza modelli, strumenti e competenze operative.
Questa architettura è coerente con l’evoluzione del settore. La scoperta di bug reali richiede più passaggi: leggere codice, ricostruire flussi dati, ipotizzare superfici d’attacco, generare prove, testare in ambiente isolato, distinguere falso positivo e vulnerabilità sfruttabile. Il valore non sta solo nel “ragionamento” del modello, ma nella sua integrazione con strumenti, dati e processi verificabili.
La sintesi dei principali elementi emersi chiarisce perché il confronto riguarda ormai l’intera filiera della difesa cyber.
Il paradosso dei blocchi Usa ai modelli top
La strategia americana nasce da una preoccupazione reale. Modelli capaci di trovare vulnerabilità possono aiutare i difensori, ma possono anche ridurre tempi e costi per attaccanti criminali o statuali. Anthropic ha dichiarato il 12 giugno 2026 di aver sospeso l’accesso a Claude Fable 5 e Claude Mythos 5 dopo una direttiva del governo Usa che vietava l’uso da parte di cittadini stranieri, anche all’interno dell’azienda. OpenAI, il 26 giugno, ha avviato una preview limitata della famiglia GPT-5.6, spiegando che l’accesso iniziale sarebbe stato riservato a un piccolo gruppo di partner fidati su richiesta del governo statunitense.
L’ordine esecutivo della Casa Bianca del 2 giugno 2026 punta a costruire un quadro di collaborazione volontaria tra governo e sviluppatori di modelli frontier, con attenzione alla cybersicurezza, alla protezione delle infrastrutture critiche e alla valutazione pre-rilascio. Il problema è l’effetto competitivo. Se i modelli statunitensi più potenti diventano disponibili solo a cerchie ristrette, mentre modelli cinesi sempre più performanti circolano con pesi aperti e costi inferiori, imprese e ricercatori potrebbero spostarsi verso alternative meno controllabili da Washington.
Il rischio per gli Stati Uniti è quindi duplice: contenere l’abuso dei propri modelli, ma indebolire l’adozione difensiva proprio mentre i concorrenti accelerano. Un modello frontier chiuso in una procedura di accesso incerta protegge da alcuni scenari di abuso, ma può lasciare scoperti sviluppatori, vendor software, operatori di infrastrutture e team di sicurezza che hanno bisogno di strumenti avanzati per individuare bug prima degli attaccanti.
Perché la questione riguarda anche Europa e Italia
Per l’Europa il tema non è scegliere tra modelli americani e cinesi. La questione è costruire una capacità autonoma di valutazione, procurement e uso sicuro dell’AI per la cybersecurity. Il rapporto ENISA Threat Landscape 2025, basato su 4.875 incidenti analizzati tra luglio 2024 e giugno 2025, segnala che lo sfruttamento di vulnerabilità resta una componente centrale dell’accesso iniziale, pari al 21,3%, con campagne capaci di armare nuovi bug entro pochi giorni dalla disclosure. La pubblica amministrazione resta inoltre uno dei settori più esposti, con il 38% degli incidenti registrati nel perimetro osservato da ENISA.
In questo scenario, NIS2 e Cyber Resilience Act aumentano la pressione su imprese e pubbliche amministrazioni. NIS2 allarga il perimetro dei soggetti essenziali e importanti, rafforza risk management, governance e reporting. Il Cyber Resilience Act impone requisiti di sicurezza per prodotti con elementi digitali: le regole sul reporting delle vulnerabilità sfruttate e degli incidenti gravi si applicheranno dall’11 settembre 2026, mentre l’applicazione piena scatterà dall’11 dicembre 2027.
L’arrivo di modelli come GLM-5.2 e sistemi come Tulongfeng obbliga quindi le organizzazioni europee a rivedere il vulnerability management. Non basta aggiungere un modello linguistico alla catena di sviluppo. Servono ambienti isolati, tracciabilità delle analisi, controllo dei dati inviati ai modelli, validazione umana dei risultati, gestione dei falsi positivi, integrazione con software bill of materials e procedure di patching. L’AI può ridurre tempi di analisi e ampliare la copertura, ma produce valore solo se entra in un processo governato.
AI e cyber: la nuova linea di difesa
La velocità cinese nell’AI per la cybersecurity non significa che Pechino abbia superato in blocco gli Stati Uniti. I modelli americani restano al vertice in molte capacità generali e specialistiche. Il punto è più concreto: il vantaggio occidentale si sta assottigliando nei casi d’uso dove contano codice, agenti, costi e accessibilità. In cybersecurity, anche un vantaggio parziale può diventare decisivo se permette di trovare vulnerabilità prima degli altri.
Per governi e imprese la risposta non può essere soltanto restrittiva. Controllare l’accesso ai modelli più potenti è necessario quando la capacità cyber supera determinate soglie, ma la difesa richiede disponibilità operativa, percorsi di trusted access, audit indipendenti e strumenti distribuiti anche a chi protegge infrastrutture critiche, software industriale, servizi pubblici e supply chain.
La corsa tra Cina e Usa mostra che l’AI per la cybersecurity sarà sempre più una tecnologia dual use, insieme scudo e leva d’attacco. L’Europa ha interesse a evitare dipendenze passive: dai modelli chiusi americani, dai pesi aperti cinesi e dai vendor che promettono automazione senza dimostrare controllo. La capacità decisiva sarà misurare i modelli in scenari reali, governarne l’uso e trasformare la scoperta automatizzata di vulnerabilità in correzione rapida, documentata e verificabile.
Fonti
Commissione europea, Cyber Resilience Act
Z.ai / Hugging Face, scheda GLM-5.2
Semgrep, test cyber su GLM-5.2
OpenAI, GPT-5.6 Preview System Card
Anthropic, directive Usa su Fable 5 e Mythos 5
Partecipa alla community