OpenAI ridefinisce le regole sulla sicurezza e la divulgazione delle vulnerabilità

Anita Innocenti

Le regole del digitale stanno cambiando.

O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.

Contattaci ora →

Una politica che punta alla trasparenza nella gestione delle vulnerabilità scoperte dalle AI, ma solleva interrogativi sui tempi e sulle reali motivazioni dietro questa svolta.

OpenAI ha introdotto una nuova politica per la divulgazione coordinata delle vulnerabilità scoperte dalle sue IA in software di terze parti, puntando sulla collaborazione. Parallelamente, ha incrementato il suo programma di bug bounty, offrendo fino a 100.000 dollari per falle critiche sui propri sistemi. Queste mosse sollevano discussioni sulla trasparenza e il controllo delle informazioni di sicurezza.

OpenAI cambia le regole del gioco sulla sicurezza: ma è davvero per il bene comune?

Ti racconto l’ultima mossa di OpenAI, quella che sta facendo discutere parecchio.

Hanno tirato fuori dal cilindro una nuova “Outbound coordinated vulnerability disclosure policy“.

Detta così sembra complicata, ma in pratica si tratta di come intendono gestire e comunicare le falle di sicurezza che scoprono nei software di terze parti, soprattutto ora che – a detta loro – le loro intelligenze artificiali stanno diventando dei segugi formidabili nello scovare questi problemi.

L’hanno annunciato il 3 giugno 2025, specificando che l’obiettivo è collaborare con i produttori del software “bucato” e usare discrezione, lasciando però i tempi di divulgazione pubblica piuttosto flessibili, specialmente se la pezza da mettere è complessa, come descritto sul loro sito ufficiale.

Ma questa flessibilità, non potrebbe anche voler dire che alcune falle restano nascoste più del dovuto, magari per non pestare i piedi a qualcuno di grosso?

La procedura che hanno messo nero su bianco prevede che ogni scoperta venga prima validata internamente da ingegneri della sicurezza, con tanto di passaggi per riprodurre il problema o dimostrazioni pratiche, come spiegato nel dettaglio nella loro policy.

Per comunicare con i vendor (le aziende sviluppatrici di software di terze parti in cui le IA di OpenAI possono scoprire vulnerabilità), preferiscono canali privati, tipo le email dedicate alla sicurezza o organismi come il CERT/CC, piuttosto che rendere tutto subito pubblico.

E quando decidono di spiattellare la falla al mondo?

Beh, solo con il permesso esplicito del vendor, se c’è prova che la falla è già sfruttata attivamente da malintenzionati, oppure se c’è un forte interesse pubblico.

Interessante, vero?

Ma c’è un altro aspetto che stanno spingendo parecchio, e riguarda i soldi.

Un fiume di denaro per la sicurezza o una mossa strategica?

Parallelamente a questa nuova policy, ti segnalo che già a marzo 2025 OpenAI aveva deciso di alzare la posta per chi scova vulnerabilità critiche nei loro sistemi, portando il premio massimo a ben 100.000 dollari. Un bel salto, se pensi che nel 2023 erano “solo” 20.000 dollari, come riportato da GBHackers. Questo programma di “caccia al bug” è gestito tramite Bugcrowd.

E non finisce qui:

C’è anche il loro Cybersecurity Grant Program, che dal 2023 ha finanziato 28 progetti, inclusi studi sugli attacchi di tipo “prompt injection” e su come l’IA potrebbe aiutare a creare patch automatiche. Certo, investire in sicurezza è lodevole, ma viene da chiedersi se questa generosità non sia anche un modo per lucidare l’immagine e, magari, anticipare qualche grana legale o normativa, specialmente con le voci di possibili nuove regole federali sull’IA in arrivo sotto l’amministrazione Trump, un dettaglio non da poco evidenziato da Inside AI Policy.

E a proposito di grane, OpenAI non manca di farci sapere che sono già all’opera nel contrastare usi malevoli dei loro modelli. In un report di febbraio 2025, hanno raccontato di aver bloccato account legati a operazioni della Corea del Nord che usavano i loro sistemi per fare debug di malware, e di aver interrotto campagne di influenza iraniane che sfruttavano contenuti generati da ChatGPT (Disrupting malicious uses of our models – february 2025 update). Il quadro si complica ulteriormente se pensiamo a come OpenAI gestisce la sua stessa esposizione alle vulnerabilità.

Tutto molto rassicurante, sulla carta.

Ma la vera domanda è:

Quanta trasparenza c’è davvero in queste operazioni di “pulizia”?

E chi decide cosa è “malevolo” e cosa no?

Tra cooperazione dichiarata e controllo ferreo: qual è la verità?

Qui emerge una dinamica interessante: mentre OpenAI, come abbiamo visto, ha potenziato il suo programma interno di bug bounty (che ha gestito oltre 1.200 segnalazioni dal 2023, secondo quanto dichiarato nel loro annuncio del Bug Bounty Program), allo stesso tempo dichiara di evitare la partecipazione a programmi di bug bounty esterni.

Un atteggiamento che sembra voler bilanciare la collaborazione con un forte controllo sui dati relativi alle vulnerabilità.

Una strategia che fa storcere il naso a più di un esperto nel mondo della cybersecurity, soprattutto ora che l’IA promette di scovare bug a una velocità mai vista prima, come sottolineato anche da testate specializzate come Dark Reading.

Il Vice Presidente della Sicurezza di OpenAI ha affermato che “la divulgazione coordinata non è solo etica, è esistenziale per gli ecosistemi IA”.

Parole forti, certo.

Ma la questione rimane: questa standardizzazione autoimposta da un colosso come OpenAI porterà davvero a un web più sicuro per tutti, o servirà principalmente a consolidare la loro posizione dominante, decidendo loro cosa, come e quando il mondo debba sapere delle falle che la loro stessa tecnologia contribuisce a scoprire?

Anita Innocenti

Sono una copywriter appassionata di search marketing. Scrivo testi pensati per farsi trovare, ma soprattutto per farsi scegliere. Le parole sono il mio strumento per trasformare ricerche in risultati.

4 commenti su “OpenAI ridefinisce le regole sulla sicurezza e la divulgazione delle vulnerabilità”

  1. Sara Serra

    Ottima mossa di marketing, certo. Ma quanto ci possiamo fidare? Prima creano strumenti potentissimi e poi si preoccupano delle vulnerabilità? Forse hanno solo paura di finire nei guai legali. Il premio per le falle è una toppa per coprire falle ben più grandi.

    Rispondi
    1. Irene Esposito

      Mah, vedremo se ai proclami seguiranno i fatti. Per ora mi sembra più una mossa per calmare le acque che una vera svolta.

      Rispondi
  2. Giovanni Mancini

    Un passo avanti interessante. Mi auguro che questa politica porti a una maggiore consapevolezza e collaborazione nel mondo della sicurezza informatica. Complimenti a OpenAI per l’iniziativa.

    Rispondi
    1. Serena Sarti

      Giovanni Mancini, speriamo che la “collaborazione” non diventi un modo per avvantaggiarsi conoscendo le falle prima degli altri. La prudenza non è mai troppa.

      Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Suggeriti dal personale

Cosa sono le Digital PR, perché ti servono e come possono aiutarti a posizionare il tuo sito web

Dati strutturati: cosa sono e perché sono importanti per il posizionamento

Google Crawler e l’Importanza di una scansione corretta per la SEO e la tua Visibilità online

TOPIC

AppuntiCasi studioHostingIntelligenza ArtificialeLink buildingmarketingSenza categoriaSeoSocial Media

Ricevi i migliori aggiornamenti di settore

Iscriviti alla newsletter

Leggi tutti i miei
appunti digitali


Vai al blog

Mercato, richieste e concorrenti. Scopri le potenzialità del tuo Business su Google. Dati alla mano.

Roberto Serra SEO

Analisi di fattibilità

Qui è dove ha inizio il tuo lancio digitale.

Vedi i dettagli