OpenAI ha creato GPT-Red, un LLM progettato per fare da sparring partner: simula attacchi informatici per rendere più robusti i modelli come GPT-5.6. L’annuncio arriva da MIT Technology Review, luglio 2026. GPT-5.6, dicono da San Francisco, è il loro modello più sicuro di sempre grazie a questo avversario automatico.
Fin qui la notizia. Ora il problema: chi addestra l’addestratore? Chi controlla che GPT-Red non venga riutilizzato in contesti offensivi? Non lo sappiamo. E mentre OpenAI si auto-certifica, in Europa noi discutiamo ancora di burocrazia sull’AI Act, senza un euro stanziato per una controparte pubblica di sicurezza AI.
Noi, di Meteora Web, la nostra posizione è chiara: la sicurezza non si compra da un unico fornitore.
Un super-hacker proprietario di una sola azienda è come un antifurto fornito dallo stesso fabbricante della cassaforte. Può funzionare, ma nessun revisore indipendente verifica il codice. Lo vediamo ogni giorno con le PMI italiane: server senza backup, form vulnerabili, certificati SSL scaduti. Ora aggiungiamo un LLM che si allena a bucare sistemi — ma senza sapere chi lo usa e come viene limitato. Per un’azienda italiana, questo significa: dipendere da una scatola nera americana per la propria sicurezza digitale. È esattamente il contrario della sovranità tecnologica che l’Europa dice di volere.
Sponsored Protocol
Noi veniamo dalla contabilità, dai bilanci, dai server reali. Quando su un server si è rotto il rinnovo automatico dei certificati SSL, l’abbiamo risolto e automatizzato senza far andare offline il cliente. Perché la sicurezza non è un modello che compri una volta: è un processo che segui ogni giorno. GPT-Red può essere uno strumento utile, ma se resta chiuso dentro OpenAI, non serve a chi deve difendere un e-commerce di moda a Palermo o un portale di prenotazioni a Sciacca.
Sponsored Protocol
Cosa fare, concretamente. Per gli sviluppatori: integrare nel proprio workflow tool di sicurezza open source (OWASP Dependency-Check, Semgrep, Burp gratis) e non delegare tutto a un API esterna. Per gli imprenditori: quando un consulente vi propone “sicurezza basata su GPT-Red”, chiedete referenze e certificazioni indipendenti. Per l’Europa: è ora di finanziare un progetto comunitario di AI red teaming pubblico, sul modello di ciò che fa il Sandboxing di Google ma con trasparenza reale. Non possiamo lasciare la difesa a chi decide unilateralmente cosa è “abbastanza sicuro”.
Il divario digitale è anche divario di sicurezza. Noi lavoriamo per colmarlo. Ma se l’Europa continua a guardare, la distanza tra chi ha un super-hacker privato e chi ha un sito WordPress senza aggiornamenti diventerà un abisso.