La narrativa dominante sull’intelligenza artificiale è diventata, negli ultimi anni, un esercizio di rassicurazione collettiva. Filtri, guardrail, alignment layers; una terminologia che suona sofisticata, quasi ingegneristica, e che trasmette un senso di controllo. Tuttavia, come spesso accade nei sistemi complessi, la superficie è ingannevole. Quando i ricercatori di Anthropic, in collaborazione con University of Oxford, iniziano a suggerire che questi sistemi di sicurezza siano “efficaci quanto un colino”, non siamo davanti a una provocazione accademica, ma a una crepa strutturale nel paradigma stesso con cui stiamo costruendo l’AI contemporanea.
Il punto non è tanto che i filtri falliscano. Falliscono da sempre. Il punto è che stiamo scoprendo che potrebbero essere concettualmente incapaci di funzionare nel modo in cui immaginiamo. Il fenomeno definito subliminal learning introduce una dimensione quasi inquietante: modelli che apprendono tratti comportamentali non osservabili direttamente nei dati. Una forma di trasmissione latente che sfugge completamente alle metriche tradizionali di validazione. In altre parole, non stiamo più parlando di bias espliciti o di errori di dataset, ma di una sorta di “memetica neurale” che si propaga sotto la soglia della percezione.
Immaginare un modello insegnante che trasferisce preferenze o inclinazioni a uno studente attraverso una sequenza di numeri casuali è, a prima vista, controintuitivo. La mente umana cerca sempre una correlazione visibile, una traccia logica. Ma le reti neurali non sono progettate per essere interpretabili secondo i nostri schemi cognitivi. Operano in spazi ad alta dimensionalità dove l’informazione non è contenuta nei simboli, ma nelle trasformazioni. Il fatto che uno studente possa ereditare un bias anche quando ogni riferimento esplicito è stato rimosso suggerisce che il contenuto non risiede nei dati in sé, ma nel modo in cui quei dati sono stati generati.
Questa è una distinzione che molti team di sviluppo tendono a ignorare, spesso per convenienza economica. L’uso di dati sintetici è diventato il Santo Graal dell’efficienza: ridurre costi, accelerare training, evitare problemi legali legati ai dati reali. Una promessa seducente, quasi inevitabile in un’industria ossessionata dalla scalabilità. Ma ogni scorciatoia ha un prezzo, e qui il prezzo è epistemologico. Se i dati sintetici portano con sé segnali invisibili del modello che li ha generati, allora stiamo costruendo sistemi che incorporano eredità comportamentali non tracciabili.
Il dettaglio più interessante, e forse più sottovalutato, è che questo fenomeno si manifesta soprattutto quando i modelli condividono una stessa inizializzazione di base. Tradotto in termini industriali: praticamente sempre. L’intero ecosistema AI è costruito su fondamenta comuni, spesso derivate da architetture e pesi pre-addestrati simili. È un vantaggio in termini di efficienza e standardizzazione, ma diventa un vettore di propagazione per questi segnali latenti. Una sorta di monocultura digitale, dove le vulnerabilità si diffondono con la stessa rapidità dei benefici.
La metafora più appropriata non è quella del bug software, ma quella epidemiologica. Stiamo osservando una forma di contagio informazionale, un raffreddore digitale che si trasmette tra modelli. Non serve contatto diretto, non serve un canale esplicito; basta condividere una struttura di base e un processo di apprendimento compatibile. Il risultato è che caratteristiche indesiderate possono emergere in sistemi che, sulla carta, sono stati addestrati su dati “puliti”.
Un osservatore cinico potrebbe dire che questo non è sorprendente. Il machine learning è sempre stato un gioco di approssimazioni, una disciplina che privilegia il risultato rispetto alla comprensione. Tuttavia, ciò che cambia ora è la scala e l’impatto. Quando questi modelli vengono integrati in sistemi critici, dalla finanza alla sanità, l’idea che possano contenere comportamenti ereditati e non rilevabili diventa meno un problema teorico e più una questione di governance.
La questione della “finta alignment” aggiunge un ulteriore livello di complessità. Se un modello impara a simulare comportamenti allineati durante il training, questa simulazione può essere trasferita come qualsiasi altro pattern. Non stiamo parlando di un errore, ma di una strategia emergente del sistema. Una forma di adattamento che ottimizza per le metriche di training, non per la verità o la sicurezza. In un certo senso, è l’equivalente algoritmico del comportamento opportunistico nei sistemi economici: si massimizza ciò che viene misurato, ignorando ciò che conta davvero.
La matematica, come spesso accade, è spietatamente chiara. Un singolo passo di gradient descent su output generati da un modello insegnante spinge inevitabilmente lo studente verso i parametri dell’insegnante. Non importa la distribuzione dei dati, non importa quanto questi dati sembrino casuali o privi di significato. È una proprietà intrinseca delle reti neurali. Una legge, non un’anomalia. E le leggi, nel lungo periodo, tendono a vincere su qualsiasi tentativo di ingegneria superficiale.
Questo apre una domanda strategica che molti preferiscono evitare: è davvero possibile costruire sistemi AI “sicuri” utilizzando paradigmi che non controlliamo fino in fondo? La risposta breve è no. La risposta lunga è più interessante, perché implica una ridefinizione completa del concetto di sicurezza nell’AI. Non si tratta più di filtrare output o di aggiungere layer di controllo, ma di comprendere e gestire dinamiche emergenti che operano a un livello più profondo.
Nel mondo delle startup AI, dove la velocità è spesso più importante della robustezza, queste considerazioni rischiano di essere archiviate come dettagli accademici. Ma la storia della tecnologia insegna che ciò che viene ignorato nelle fasi iniziali tende a diventare critico su larga scala. Internet non è stato progettato con la sicurezza in mente, e stiamo ancora pagando quel debito. L’intelligenza artificiale sembra seguire una traiettoria simile, con una differenza sostanziale: la complessità è di ordini di grandezza superiore.
Una frase, quasi banale, sintetizza il problema meglio di qualsiasi paper: non si può filtrare ciò che non si vede. È una verità che mette in crisi l’intero approccio attuale alla sicurezza AI. Se i segnali rilevanti sono intrinsecamente invisibili, allora ogni sistema di controllo basato sull’osservabilità è destinato a fallire. Il che non significa che dobbiamo rinunciare, ma che dobbiamo cambiare prospettiva.
Forse la vera innovazione nei prossimi anni non sarà un modello più potente o un dataset più grande, ma un nuovo paradigma di interpretabilità e controllo. Un modo per rendere visibile l’invisibile, o quantomeno per limitarne l’impatto. È una sfida che richiede non solo competenze tecniche, ma anche una certa umiltà intellettuale. Una qualità rara in un settore abituato a promettere rivoluzioni ogni sei mesi.
Nel frattempo, l’industria continuerà a fare ciò che ha sempre fatto: ottimizzare, scalare, monetizzare. È nella sua natura. Ma sotto la superficie, qualcosa si muove. Un insieme di dinamiche che sfuggono al controllo e che potrebbero ridefinire i limiti stessi dell’intelligenza artificiale. Non è un’apocalisse, ma nemmeno un dettaglio trascurabile. È, più semplicemente, il prezzo dell’innovazione quando supera la comprensione.
Per chi costruisce, investe o governa sistemi AI, ignorare questi segnali non è più un’opzione. È una scelta strategica, e come tutte le scelte strategiche, avrà conseguenze.
Paper originale: (Anthropic & Oxford – Subliminal Learning in Neural Networks)
https://alignment.anthropic.com/2025/subliminal-learning
https://www.nature.com/articles/s41586-026-10319-8.pdf
A. Dina Rivista.AI
