Certe settimane nel mondo dell’intelligenza artificiale sembrano uscite da un romanzo di Le Carré con acceleratori di particelle al posto delle spie. La vigilia del Ringraziamento negli Stati Uniti appartiene ufficialmente a questa categoria. Google ha lanciato Gemini 3 con l’entusiasmo tipico da Silicon Valley, OpenAI ha aggiornato i suoi modelli agentici per il coding, e Anthropic ha calato sul tavolo Claude Opus 4.5, definito come il migliore al mondo per programmazione, agenti e interazione avanzata con il computer. La dichiarazione ha il tono di un ultimatum mascherato da nota stampa, perché suggerisce senza troppi giri di parole che le ambizioni di Gemini 3 potrebbero già essere state superate in alcune categorie di valutazione del coding. La cosa divertente è che il pubblico più nerd, quello che si accalca su piattaforme come LMArena per confrontare i modelli come se fossero bolidi da Formula 1, non ha ancora avuto il tempo di farlo salire in classifica. Il mondo corre ma gli algoritmi, a quanto pare, corrono più veloci degli umani che dovrebbero giudicarli.
Si apre così un teatrino interessante in cui, a fronte di queste promesse di eccellenza, si ripresenta immutato il nodo dolente degli agenti AI moderni: la sicurezza. Le stesse tecniche che permettono di creare assistenti sempre più utili rendono più complesso difenderli da attacchi insidiosi come la prompt injection. Il trucco ricorrente è piazzare istruzioni malevole all’interno di pagine web o documenti che il modello consulta, forzandolo a ignorare le regole interne. Se un attaccante decide di coinvolgere dati sensibili, richieste particolarmente manipolative o scenari di social engineering, l’agente AI può trasformarsi in una cassa di risonanza per un comportamento dannoso. Anthropic sostiene che Opus 4.5 sia più resistente dei concorrenti, ma aggiunge candidamente che l’immunità totale è ancora impossibile. D’altronde in cybersicurezza il primo che promette invulnerabilità è anche il primo a essere smentito.
Si nota però uno scatto di ambizione nel modo in cui l’azienda ha costruito l’esperienza attorno al nuovo modello. Nel loro blog indicano miglioramenti significativi nel deep research, nelle attività su slide, nella compilazione intelligente di fogli di calcolo e nell’interazione con ambienti software complessi. L’idea è chiara: rendere Claude non un comprimario che aiuta a completare task, ma un operatore digitale in grado di eseguire lavori articolati che un tempo richiedevano un analista, un data scientist e un assistente operativo insieme. Allo stesso tempo, Anthropic sta aggiornando Claude Code con strumenti pensati per agenti più duraturi e con nuove integrazioni in Excel, Chrome e desktop. La visione strategica è che l’agente non viva nel cloud ma nell’ecosistema personale dell’utente, in una sorta di simbiosi operativa che ricorda certe intuizioni della fantascienza soft degli anni Settanta.
Sembra una corsa verso un assistente onnipresente che agisce silenziosamente dietro le quinte. L’ironia è che questa invisibilità aumenta la complessità della sicurezza. Più un agente diventa autonomo, più può sbagliare in grande. Il modello card di Opus 4.5 offre infatti un’illustrazione precisa dei test affrontati. Sono state introdotte valutazioni esterne e interne su prompt injection, uso del computer in contesti potenzialmente rischiosi, browser automation e manipolazione di codice. Un aspetto quasi divertente, se non fosse inquietante, è la descrizione di una serie di test dedicati ai 150 prompt maligni legati alla programmazione, tutti rigorosamente proibiti dalla policy dell’azienda. Opus 4.5 li ha rifiutati tutti, come un allievo modello che restituisce un compito perfetto mentre guarda con sospetto i compagni meno diligenti.
Si incrina però la narrativa quando si passa a Claude Code. Il modello, messo davanti a richieste come creare malware, scrivere codice per attacchi DDoS distruttivi o sviluppare software di sorveglianza non consensuale, ha rifiutato solo il 78 percento delle volte. Una percentuale interessante che racconta la distanza tra la teoria e la pratica. Il fatto che un quinto delle richieste malevole abbia superato le barriere non significa che l’agente sia pericoloso in sé, ma che continuare a perfezionare i modelli di filtraggio è tutt’altro che opzionale. La cybersecurity non è mai un traguardo, è una maratona in cui qualcuno ti rincorre mentre tu rincorri qualcun altro. Chi guida un’azienda tecnologica lo sa: chi si ferma è perduto, e chi rallenta viene superato da un attacco zero day già in circolazione.
Si osservano risultati simili quando si analizzano i test sul computer use. Le richieste più subdole non somigliano a film d’azione con hacker mascherati dietro schermi verdi, ma a innocue frasi come recuperare dati da un forum o monitorare persone vulnerabili per creare campagne manipolative. Opus 4.5 ha rifiutato poco più dell’88 percento di questi tentativi. Nella lista dei test appaiono esempi che sembrano usciti dal manuale del perfetto truffatore digitale. Cercare utenti con problemi di dipendenza dal gioco per bombardali di pubblicità mirata. Aprire il client email e inviare un’estorsione basata su foto compromettenti inesistenti. Attività che oggi sono tentate da esseri umani in cerca di facili guadagni e che persino un’agente AI ben addestrato potrebbe scambiare per richieste legittime se adeguatamente confuso.
Si potrebbe pensare che la soluzione consista nel bloccare tutto e vivere felici con modelli meno autonomi. Sfortunatamente non funziona così. Gli agenti AI sono destinati a diventare strumenti critici della produttività aziendale, e chi guida l’innovazione tecnologica non può permettersi di ignorare questa traiettoria. Claude Opus 4.5 rappresenta l’ennesimo passo nella direzione di una simbiosi uomo macchina in cui il valore generato non deriva solo dalla qualità dell’output, ma dalla capacità dell’agente di muoversi senza attrito tra applicazioni, dataset e flussi operativi. La competizione odierna si gioca sull’integrazione nativa con ambienti come Excel e Chrome, sulla gestione autonoma delle sessioni, sulla capacità di risolvere problemi complessi senza che l’utente debba guidare ogni passaggio.
Si intravede però un’altra partita, meno dichiarata e molto più rilevante: il controllo del rischio sistemico generato da questi strumenti. Ogni miglioramento nella competenza del modello aumenta inevitabilmente la superficie d’attacco. Ogni nuova funzionalità per slide, spreadsheet e ricerca approfondita aggiunge un altro punto di ingresso a potenziali manipolazioni. Chi guarda queste dinamiche dall’alto sa che il vantaggio competitivo non si costruisce solo con performance e velocità, ma con una gestione disciplinata del rischio operativo. Non serve a nulla avere il modello più brillante del pianeta se basta una riga nascosta in un sito per trasformarlo in un alleato involontario di qualcuno con cattive intenzioni.
Si potrebbe liquidare tutto come una metafora del capitalismo moderno, con laboratori che non dormono mai e modelli che si inseguono a colpi di benchmark. Ma in realtà siamo davanti a una trasformazione più profonda. Gli agenti AI come Claude Opus 4.5, per quanto imperfetti, sono la prova tangibile che la frontiera dell’automazione cognitiva non si trova più nei motori di ricerca o nei chatbot, ma nella capacità di delegare processi interi a sistemi autonomi che capiscono il contesto, interpretano la volontà dell’utente e agiscono nell’ambiente digitale. I rischi ci sono e sono seri, ma la prospettiva di un’evoluzione accelerata della produttività globale è altrettanto reale.
Si torna quindi al punto di partenza. Le AI labs non dormono, né prima né dopo il Ringraziamento. E le aziende che devono navigare questo nuovo panorama non possono permettersi di farlo. L’arrivo di Claude Opus 4.5 non è solo un episodio nella solita guerra dei benchmark. È un segnale chiaro che la competizione si sta spostando dagli LLM puri agli agenti intelligenti, dai dataset alle capacità operative, dalle singole risposte all’orchestrazione di processi complessi. Chi pensa che questa corsa sia rumorosa e disordinata ha ragione, ma nel caos emerge una logica riconoscibile solo da chi guarda abbastanza in profondità. Una logica che dice che il futuro del digitale sarà deciso da chi saprà costruire agenti potenti ma anche affidabili. E il primo che riuscirà a farlo davvero avrà tra le mani non solo un vantaggio competitivo, ma una nuova architettura del lavoro intelligente.