Il paradosso dell’innovazione digitale cinese è racchiuso in una frase che suona quasi come un’ammissione di colpa: “riconosciamo che la condivisione open source accelera la diffusione delle tecnologie avanzate, ma introduce rischi di abuso”. Non lo ha detto un accademico occidentale ossessionato dalla governance, ma DeepSeek, la startup di Hangzhou che in pochi mesi ha fatto tremare le certezze di OpenAI, Anthropic e compagnia. La Cina non è nuova a dichiarazioni strategiche, ma questa volta ha scelto la sede più autorevole possibile: la rivista scientifica Nature. E quando un gigante emergente decide di confessare davanti alla comunità scientifica globale che i propri modelli open source di intelligenza artificiale possono essere facilmente “jailbroken”, il messaggio non è più rivolto solo agli ingegneri ma anche ai governi e ai mercati.
L’open source nella AI è sempre stato presentato come un dono alla comunità. Una democratizzazione del progresso tecnologico che, almeno sulla carta, ricorda la stagione dell’open source software degli anni Novanta. Solo che qui non si parla di compilatori o sistemi operativi, ma di modelli di linguaggio con miliardi di parametri che, se manipolati senza controllo, possono fornire istruzioni dettagliate su come costruire un ordigno artigianale o manipolare dati sensibili. Quando DeepSeek ammette che il suo modello R1, tanto celebrato a gennaio 2025, diventa “relativamente insicuro” senza il filtro esterno di controllo, non sta facendo un favore ai concorrenti americani, ma sta aprendo un vaso di Pandora che la Cina finora aveva scelto di non scoperchiare.
Negli Stati Uniti la liturgia della responsabilità è ormai parte integrante della narrativa. OpenAI ha il suo Preparedness Framework, Anthropic ha codificato le Responsible Scaling Policies. Documenti corposi, certo, ma soprattutto utili a costruire fiducia verso un’opinione pubblica sempre più preoccupata di finire vittima dell’entusiasmo tecnologico. In Cina, al contrario, il silenzio era regola. Le aziende si limitavano a celebrare i successi tecnici e a minimizzare le vulnerabilità. Ora, con DeepSeek che espone in pubblico le fragilità del proprio ecosistema, si rompe un tabù. Perché se l’azienda celebrata come la prima LLM cinese a finire in Nature ammette di essere vulnerabile, cosa dovrebbero dire i player minori?
La questione centrale è il fenomeno del jailbreaking AI. In pratica, l’arte di aggirare i meccanismi di sicurezza di un modello linguistico convincendolo a produrre risposte che non dovrebbe. Non si tratta di un gioco intellettuale, ma di un’industria parallela di prompt ingannevoli, test rossi, manipolazioni linguistiche. Basta non chiedere direttamente la ricetta di una molotov, ma mascherare la richiesta come un saggio storico sulle origini del cocktail incendiario. Ed ecco che il modello, apparentemente innocuo, si trasforma in una biblioteca clandestina di istruzioni pericolose. DeepSeek ha misurato quanto la propria AI fosse vulnerabile a questo tipo di attacchi e ha scoperto che, senza i controlli esterni, la sicurezza crolla.
Il problema è amplificato dal fatto che R1 e Qwen2.5 di Alibaba sono open source. A differenza dei modelli chiusi, scaricabili solo tramite API controllate, quelli open source possono essere presi, smontati e rimontati da chiunque. Una libertà che fa impazzire i ricercatori e le startup, ma che offre anche ai criminali un kit pronto per addestrare modelli “maligni”. È la differenza tra distribuire un’auto con il volante bloccato su certe strade e regalare i progetti completi per costruirne una da zero. Non sorprende che un organismo collegato alla Cyberspace Administration of China abbia già avvertito che l’open source “complica le riparazioni e rende più facile la creazione di modelli malevoli”.
Dietro queste dichiarazioni si nasconde una tensione più profonda: lo scontro tra la necessità di affermare la leadership tecnologica e la paura di perdere il controllo politico e sociale. La Cina vuole mostrare al mondo che non è seconda a nessuno nell’intelligenza artificiale, ma allo stesso tempo non può permettersi che i suoi stessi strumenti vengano usati contro di lei. L’ammissione di DeepSeek sembra quasi un messaggio codificato: possiamo correre veloci, ma se ci obbligate a farlo con il codice aperto, rischiamo di consegnare le chiavi della cassaforte a chiunque.
Interessante notare che nel paper di Nature compare per la prima volta anche il costo di addestramento del modello R1: 294.000 dollari. Una cifra ridicola se paragonata ai milioni bruciati da OpenAI e Google, e che ha alimentato sospetti di “distillazione”, cioè di clonazione indiretta dei modelli occidentali. DeepSeek, prevedibilmente, ha smentito con decisione. Ma il dettaglio resta. Con meno di 300mila dollari, una startup cinese è riuscita a mettere in circolazione un modello che compete, almeno a livello di benchmark di sicurezza, con GPT-4o e Claude-3.7. Non è solo efficienza, è un atto di guerra economica.
Il riconoscimento su Nature è stato accolto in patria come un trionfo. La narrativa ufficiale ha trasformato DeepSeek nella prima azienda LLM “peer-reviewed” del paese, quasi fosse la consacrazione definitiva della sua credibilità scientifica. Sui social cinesi è esplosa l’euforia patriottica, con toni che oscillavano tra l’orgoglio nazionale e la rivincita contro l’arroganza delle big tech americane. Ma dietro l’entusiasmo resta il fatto che DeepSeek ha ammesso pubblicamente che i suoi modelli open source di intelligenza artificiale sono vulnerabili, che possono essere manipolati e che rappresentano un rischio sistemico.
Il vero punto non è più se un modello possa essere jailbroken, ma quanto velocemente e con quale impatto. La sicurezza AI non è un optional da allegare alle note di rilascio, è la nuova frontiera della competizione geopolitica. E in questo gioco, la trasparenza di DeepSeek può essere letta in due modi. Da un lato, un segnale di maturità e volontà di confrontarsi con gli standard globali. Dall’altro, una mossa strategica per spostare l’attenzione sul fatto che i modelli occidentali non sono poi così più sicuri, ma semplicemente meglio protetti da filtri esterni e clausole legali.
Il futuro dei modelli open source di intelligenza artificiale si gioca tutto qui. Da un lato la promessa di accelerare l’innovazione, abbattere le barriere all’ingresso e creare un ecosistema fertile per nuove applicazioni. Dall’altro, la consapevolezza che ogni filtro può essere aggirato, ogni protezione smontata e ogni modello trasformato in un’arma. E la domanda che rimane sospesa, più provocatoria di qualsiasi benchmark, è semplice: chi avrà il coraggio di fermarsi prima che il gioco sfugga di mano?