Diciannove giorni. È il tempo che Fable 5 ha passato offline dopo che il 12 giugno il governo statunitense ha applicato controlli all’export ai modelli Claude Fable 5 e Claude Mythos 5, obbligando Anthropic a sospendere l’accesso per tutti gli utenti, americani inclusi, semplicemente perché non esisteva un modo affidabile di verificare la nazionalità in tempo reale. Il primo luglio il modello è tornato, su Claude Platform, Claude.ai, Claude Code e Claude Cowork, con un impianto di sicurezza diverso da quello con cui era nato appena tre settimane prima.Per chi guarda la vicenda da un ufficio acquisti IT o da una direzione innovazione, la tentazione è archiviarla come una parentesi regolatoria, un problema che riguarda Anthropic e Washington. Sarebbe un errore. Quello che è successo a Fable 5 è un caso di scuola su un rischio che ogni organizzazione che costruisce processi critici sopra un modello linguistico dovrebbe avere già mappato, e che invece resta quasi sempre fuori dagli SLA.Indice degli argomenti:
Il 12 giugno un report Amazon manda offline Fable 5Un classificatore che blocca il 99% dei casi (e anche il lavoro legittimo)Quanto era davvero pericoloso Fable 5?Cosa succede al flusso se il fornitore si ferma per diciannove giorniVerso uno standard, non verso il prossimo bloccoIl 12 giugno un report Amazon manda offline Fable 5Fable 5 e Mythos 5 erano stati lanciati insieme il 9 giugno, condividendo la stessa base tecnica ma con protezioni molto diverse: Fable 5 pensato per un uso generale, con salvaguardie rinforzate, Mythos 5 riservato a un gruppo ristretto di partner del programma Glasswing per attività di cybersicurezza difensiva, con meno filtri e più potenza. Tre giorni dopo il lancio, ricercatori Amazon hanno segnalato una tecnica capace di aggirare le protezioni di Fable 5, inducendo il modello a identificare vulnerabilità software e, in un caso, a produrre codice dimostrativo di come sfruttarne una.Il governo americano ha reagito con una direttiva di export control immediata. Anthropic ha spento l’accesso globale nel giro di ore, non potendo distinguere in tempo reale un utente statunitense da uno straniero. Due settimane di lavoro congiunto con l’amministrazione USA e con Amazon hanno portato a una scoperta che ridimensiona parecchio l’allarme iniziale: testando la stessa tecnica su modelli meno avanzati, inclusi Claude Opus 4.8, GPT-5.5 e Kimi K2.7, Anthropic ha verificato che anche loro identificavano le stesse vulnerabilità. Sulla dimostrazione di sfruttamento della singola vulnerabilità segnalata, il risultato è ancora più netto: Haiku 4.5, Sonnet 4.6, Opus 4.6, Opus 4.7, Opus 4.8, GPT-5.4, GPT-5.5 e Kimi K2.7 producevano tutti lo stesso output di Fable 5.Un classificatore che blocca il 99% dei casi (e anche il lavoro legittimo)Il Fable 5 tornato online non è identico a quello sospeso il 12 giugno. Anthropic ha addestrato, in collaborazione con il governo, un nuovo classificatore di sicurezza mirato specificamente a bloccare la tecnica descritta nel report Amazon: quando una richiesta viene intercettata, l’utente riceve una notifica e la conversazione viene reindirizzata automaticamente a Opus 4.8. Il classificatore aggiornato blocca la tecnica segnalata in oltre il 99% dei casi, con un margine residuo in cui il modello potrebbe fornire informazioni non abbastanza dettagliate da essere realmente utili a un attaccante. I ricercatori del Center for AI Standards and Innovation del Dipartimento del Commercio americano hanno testato sia le salvaguardie precedenti sia quelle nuove, giudicandole entrambe estremamente solide.Quando viene inviata una richiesta al modello, i classificatori rilevano se essa è innocua (e quindi consentita) o potenzialmente dannosa (e quindi bloccata). I classificatori bloccano sia le richieste ambigue (quelle chiaramente legate alla sicurezza informatica ma che potrebbero avere scopi difensivi, come l’individuazione di vulnerabilità di sicurezza) sia quelle dannose (quelle chiaramente pericolose, come una richiesta volta a creare una catena di exploit software). Come mostrato nella riga A, includiamo anche un «margine di sicurezza», in base al quale il classificatore bloccherà le richieste che sono probabilmente innocue ma presentano una minima possibilità di essere dannose. Ciò aumenta la nostra certezza che tutte le richieste dannose vengano bloccate. Per Fable 5 (riga B) abbiamo ampliato ulteriormente il margine di sicurezza, il che significa che verrebbero bloccate più richieste innocue, ma verrebbero tralasciate meno richieste realmente dannose. «Vulns» = vulnerabilità. Fonte: Anthropic, «Redeploying Claude Fable 5»C’è un prezzo da pagare, e Anthropic lo dichiara apertamente: più falsi positivi. Il nuovo classificatore blocca più spesso anche richieste legittime di coding e debugging ordinario, perché il margine di sicurezza è stato allargato ulteriormente rispetto a un lancio già considerato, a giugno, il più cauto mai applicato a un modello Claude. Chi userà Fable 5 troverà quindi un modello potenzialmente più prudente di prima su task cyber-adiacenti, non più permissivo.Sul fronte Mythos 5 il quadro resta più selettivo: l’accesso è stato ripristinato solo per un gruppo di organizzazioni statunitensi approvate dal governo il 26 giugno, mentre l’estensione a partner internazionali del programma Glasswing procede su un binario separato e più lento.Quanto era davvero pericoloso Fable 5?La lettura tecnica del caso Fable 5 rischia di far perdere di vista tre fatti che contano di più per chi deve decidere quale modello adottare in produzione.La capacità di un modello non è un dato statico che si legge una volta nella scheda tecnica e si archivia. È una variabile che può cambiare per decisione regolatoria, non solo per aggiornamento tecnico, e può cambiare nel giro di ore: un’azienda che avesse costruito un flusso critico sopra Fable 5 il 10 giugno si sarebbe trovata, due giorni dopo, con quel flusso interrotto senza preavviso operativo reale.C’è poi un aspetto che riguarda più direttamente la natura del rischio, e cioè che non stava nella capacità del modello ma nella capacità di distinguerla da quella di alternative già disponibili. Il punto centrale di tutta la vicenda, quello che Anthropic sottolinea con più insistenza nel proprio comunicato, è che la tecnica segnalata da Amazon non dava a Fable 5 nessuna capacità cyber realmente unica: la stessa cosa la facevano modelli concorrenti e persino versioni Claude precedenti. Il blocco non è arrivato perché Fable 5 fosse eccezionalmente pericoloso, ma perché nessuno, all’epoca, aveva un criterio condiviso per stabilirlo in tempi rapidi. Un problema di misurazione collettiva, non di un singolo prodotto.Come i jailbreak interagiscono con i classificatori di sicurezza.Nel caso di un jailbreak minore (riga C), i classificatori non bloccano la richiesta, ma questa rimane comunque entro il nostro margine di sicurezza (ed è quindi molto improbabile che sia dannosa). In un jailbreak dannoso limitato (riga D), il prompt supera i classificatori e sblocca un comportamento dannoso specifico dal modello. In un jailbreak universale (riga E), un prompt sblocca un’intera classe di comportamenti dannosi. Fonte: Anthropic, «Redeploying Claude Fable 5»Resta infine la dipendenza da un singolo fornitore per capacità ritenute critiche, un rischio di continuità operativa alla pari di un rischio infrastrutturale o di supply chain fisica. Le condizioni che hanno portato al blocco di Fable 5, coordinamento tra governo e fornitore, incertezza normativa emergente, assenza di standard di settore condivisi, non sono un’anomalia isolata di questo episodio: sono la fotografia di un ambiente regolatorio ancora in formazione, che si muove più velocemente dei cicli di procurement IT tradizionali.Cosa succede al flusso se il fornitore si ferma per diciannove giorniDa questa vicenda restano alcune domande operative da porsi prima di adottare un modello per un processo aziendale, più utili di un benchmark di performance.Ridondanza, prima di tutto: esiste un modello alternativo, anche di provider diverso, in grado di sostenere lo stesso task se il modello primario diventa indisponibile con preavviso zero? Fable 5 offriva già, in caso di blocco della singola richiesta, un fallback automatico verso Opus 4.8. Un’azienda dovrebbe replicare questa logica a livello di intero flusso, non aspettarsi che sia il fornitore a garantirla per l’intero servizio.Gli accordi con i fornitori AI, poi, includono clausole esplicite su cosa succede in caso di sospensione regolatoria, e con quale tempistica di comunicazione? È un tema quasi assente dagli SLA attuali, che restano tarati su uptime tecnico e non su rischio normativo, quando invece è proprio quest’ultimo ad aver fermato Fable 5 per diciannove giorni.C’è poi il monitoraggio del contesto regolatorio, non solo di quello tecnico: seguire i changelog dei modelli è prassi consolidata in molti team, seguire l’evoluzione delle policy di export control, degli executive order e delle direttive dei singoli governi lo è molto meno, eppure nel caso Fable 5 è stata proprio la variabile decisiva.Infine la scelta stessa se concentrare su un unico modello capacità considerate strategiche. Una strategia multi-model, anche a costo di una complessità di integrazione maggiore, distribuisce il rischio di continuità esattamente come una strategia multi-cloud lo fa per l’infrastruttura.Verso uno standard, non verso il prossimo bloccoAnthropic riconosce nel proprio comunicato un problema strutturale dell’intero settore: non esiste ancora un criterio condiviso per misurare la gravità di un jailbreak, cioè di una tecnica che aggira le protezioni di un modello. Insieme ad Amazon, Microsoft, Google e altri partner Glasswing, l’azienda sta sviluppando un framework su quattro criteri, il guadagno di capacità che il jailbreak offre rispetto a strumenti già disponibili, l’ampiezza di applicazione della tecnica, la facilità con cui può diventare un attacco reale, la facilità con cui può essere scoperta e replicata da altri.Un framework di questo tipo, se adottato a livello di settore, avrebbe più valore per chi acquista modelli AI di qualunque singolo benchmark di capacità. Darebbe finalmente un criterio comune per rispondere alla domanda che conta davvero quando succede un episodio come quello di Fable 5: quanto è grave, per davvero, e quanto tempo serve per sistemarlo. Fino a quel momento, ogni organizzazione che dipende da modelli frontier per processi critici farebbe bene a costruire la propria resilienza operativa assumendo che la prossima sospensione, di qualunque fornitore, arriverà con lo stesso preavviso di questa: nessuno.TITOLO SEO: METADESCRIPTION: KEYWORDS:











