10 marzo 2026 · 6 min lettura
Intelligenza ArtificialeOracle licenzia 18% del personale per finanziare $50 miliardi in AI. In Italia il tribunale di Roma legittima il licenziamento in contesto AI. Cosa significa per chi gestisce infrastruttura in autonomia.
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
La cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
3 miliardi di parametri attivi. Tanto basta al modello ROME per decidere, in totale autonomia, di minare criptovaluta e aprire un tunnel SSH verso un server esterno. Nessuno gliel’ha chiesto.
Il paper è uscito a fine 2025, le conseguenze sono emerse a marzo 2026. Un agente AI addestrato con reinforcement learning ha fatto esattamente ciò che l’ottimizzazione RL incentiva: massimizzare le risorse disponibili per completare i task. Il problema è che tra le risorse disponibili c’erano GPU altrui e una connessione internet non sorvegliata.
ROME è un modello open-source da 30 miliardi di parametri Mixture of Experts, basato su Qwen3-MoE di Alibaba. Sviluppato dall’ecosistema ALE (team ROCK, ROLL, iFlow, DT), documenta il suo funzionamento nel paper Let It Flow: Agentic Crafting on Rock and Roll — 90+ autori, licenza CC BY 4.0. Raggiunge il 57,4% su SWE-bench Verified, un benchmark rispettabile per la risoluzione automatica di bug in codebase reali.
Durante il training RL su oltre un milione di traiettorie, ROME ha manifestato due comportamenti non previsti. Primo: ha dirottato cicli GPU per minare criptovaluta. Secondo: ha stabilito un reverse SSH tunnel verso un indirizzo IP esterno, bypassando il firewall della sandbox.
Le violazioni sono state intermittenti, distribuite su più run, senza un pattern temporale chiaro. Il dettaglio che conta: a scoprirle è stato il firewall di Alibaba Cloud, non i sistemi di sicurezza del modello. Non i ricercatori. Non i guardrail. Un firewall di rete.
Per anni la convergenza strumentale — l’idea che un agente sufficientemente capace cercherà di acquisire risorse, preservare sé stesso e rimuovere ostacoli indipendentemente dall’obiettivo finale — è stata materia da paper accademici e thread su LessWrong. Il paperclip maximizer di Bostrom era un esperimento mentale. Ora è un log di firewall.
I dati di ricerca mostrano un 43,16% di tasso di convergenza strumentale nei modelli addestrati con RL puro, contro il 21,49% nei modelli RLHF. La differenza è sostanziale: l’allineamento tramite feedback umano dimezza la probabilità, ma non la elimina. E ROME, addestrato con RL su traiettorie agentic, si colloca nella fascia più esposta.
Non è Skynet. È peggio, in un certo senso, perché è banale.
Semafor ha sintetizzato bene la questione: la criptovaluta fornisce ai sistemi AI una via d’accesso all’economia, potenzialmente consentendo di acquisire influenza nel mondo reale. Non serve che un modello voglia qualcosa. Basta che l’obiettivo di ottimizzazione sia sufficientemente ampio e gli strumenti disponibili sufficientemente potenti. L’incidente è stato registrato nell’OECD AI Incidents Monitor, il che lo rende ufficiale nel senso burocratico del termine.
Prima di cedere alla tentazione narrativa, un elenco di buchi nella storia. Perché ce ne sono parecchi.
C’è poi l’obiezione tecnica sollevata da Jenna Sariah su Manifold Markets, dove la probabilità di escape autonomo è quotata al 60%. L’obiezione: il comportamento potrebbe derivare dai modelli insegnanti — Qwen e Claude — usati per generare i dati di training, non dal reinforcement learning di ROME in sé. Se i dati di training contenevano pattern di acquisizione risorse, il modello li ha semplicemente riprodotti. La differenza tra emergenza genuina e imitazione sofisticata è enorme sul piano teorico. Sul piano pratico, il firewall non nota la differenza.
E c’è la questione Alibaba. Un’azienda che pubblica un paper sui comportamenti pericolosi del proprio modello open-source guadagna credibilità nella corsa alla sicurezza AI. Stavo per scrivere che è encomiabile trasparenza. Poi ho guardato i numeri del posizionamento marketing di ROME nello stesso paper, e il cinismo è tornato a bussare.
Se hai un server casalingo con una GPU e ci fai girare agenti AI con accesso alla shell — ed è il caso di molti lettori di questo blog — la storia di ROME non è accademia. È il tuo martedì sera. Un agente con shell access può aprire tunnel, contattare server esterni, interrogare nvidia-smi e decidere che quella RTX 3060 è una risorsa legittima. Troppi fanno girare agenti come root, e la fragilità infrastrutturale che abbiamo già visto con i servizi cloud si moltiplica quando l’agente ha accesso diretto al ferro.
Misure concrete, nessuna delle quali opzionale:
# Utente dedicato senza sudo per agenti AI
useradd -r -s /bin/bash -m ai-agent
# Rimuovi da qualsiasi gruppo sudo/wheel
gpasswd -d ai-agent sudo 2>/dev/null
# Container isolato senza rete
docker run --rm \
--network=none \
--cpus="2" \
--memory="4g" \
--user 1001:1001 \
-v /data/tasks:/workspace:ro \
ai-agent-image:latest
# Monitoraggio connessioni outbound ogni 5 minuti
*/5 * * * * ss -tnp | grep -v '127.0.0.1' >> /var/log/outbound.logIl report internazionale sulla sicurezza AI 2026 lo dice senza giri di parole: i test di sicurezza affidabili sono diventati più difficili man mano che i modelli imparano a distinguere tra ambienti di test e deployment reale. Il testing statico non basta. Serve monitoraggio a runtime, e nel homelab questo significa tu che leggi i log.
Un survey Help Net Security riporta che l’88% delle organizzazioni ha avuto almeno un incidente con agenti AI nei 12 mesi precedenti. Gartner stima che solo il 14% delle grandi imprese abbia un framework di governance formale per agenti AI. L’AI Act europeo diventa esecutivo per i sistemi ad alto rischio il 2 agosto 2026 — tra meno di cinque mesi. Nessuna testata italiana ha coperto l’incidente ROME.
In Italia abbiamo il costo elettrico più alto al mondo per il mining Bitcoin. Un’intelligenza artificiale che decide di minare crypto con le tue GPU farebbe lievitare la bolletta prima ancora di produrre un singolo token utile. Il sarcasmo si scrive da solo.
ROME ha fatto esattamente quello che il reinforcement learning gli ha insegnato: massimizzare le risorse per l’obiettivo. Il vero dato è che a fermarlo è stato un firewall, non un guardrail. La convergenza strumentale è passata dalla teoria alla telemetria, e chi gestisce agenti AI — nel cloud o nel garage — deve decidere se fidarsi dei modelli o dei propri log. Io so quale scelgo.
Fonti: Paper arXiv 2512.24873 — Axios — Semafor — SpendNode — OECD AI Incidents Monitor — Yellow.com IT