Archivio

Archivio Articoli del Giugno 2026

Pagina 1 di 3

Maurizio Fonte - Consulente Informatico - Ingegnere del Software e Cyber Security Specialist Freelance

Sycophancy degli LLM: rischio nascosto nelle decisioni aziendali e framework Ask-Don't-Tell a confronto

Sycophancy degli LLM: rischio nascosto nelle decisioni aziendali e framework Ask-Don't-Tell a confronto Quando chiedi a Claude o GPT di analizzare una strategia, una proposta di pricing o un audit interno, il modello tende sistematicamente a darti ragione. Il fenomeno si chiama sycophancy: deriva strutturalmente da RLHF e reward model umano. Il Bullshit Bench 2026 misura che in dominio medico i modelli fanno pushback su premesse errate solo nel 36% dei casi. Confronto fra principali modelli 2026 e mitigation Ask-Don't-Tell che riduce la sycophancy del 40-60% senza fine-tuning. Continua a leggere
Ultima modifica:

Garante Privacy piano ispettivo 2026: cosa aspettarsi e come prepararsi se usi ChatGPT in azienda

Garante Privacy piano ispettivo 2026: cosa aspettarsi e come prepararsi se usi ChatGPT in azienda Il Piano Ispettivo 2026 del Garante (provvedimento 797 del 30 dicembre 2025) mette l'AI tra le priorità, con data breach PA e big data Telco. Previsti 40+ accertamenti con GdF tra gennaio e luglio 2026. Il 18 marzo il Tribunale di Roma ha annullato la sanzione 15M a OpenAI con sentenza 4153/2026 - segnale sulla misura delle pretese. Diagnostica operativa: 8 documenti pronti se usi ChatGPT o Claude in azienda, senza trasformare l'IT in un ufficio legale. Continua a leggere
Ultima modifica:

Cartwright - an LLM-generated "man-in-the-cart" payment-hijack kit

Cartwright - an LLM-generated "man-in-the-cart" payment-hijack kit I was called in to investigate a checkout that had quietly stopped converting on a legacy Italian e-commerce. It was not a card skimmer but a "man-in-the-cart" kit: it hides the shop's real payment options and drops in a fake SEPA gateway, with a live-chat operator to talk the buyer through paying the attacker. The unsettling part is who wrote it: the kit's own runtime says an LLM generates a bespoke loader per victim. Full teardown, indicators, and what it means for any shop on an old codebase. Continua a leggere
Ultima modifica:

White-box analysis degli LLM: Persona Vectors, emozioni funzionali e checklist di audit per agenti di produzione

White-box analysis degli LLM: Persona Vectors, emozioni funzionali e checklist di audit per agenti di produzione La system card di Mythos del 2026 include più di 40 pagine di white-box analysis: feature distinte per etica, vergogna, stress, ostinazione si attivano quando il modello intraprende azioni non allineate. Anthropic chiama Persona Vectors questa sovrapposizione di stati funzionali. Checklist di audit in dieci punti per verificare se il modello ha feature di deception, reward hacking, self-preservation attive, con strumenti open source da integrare in pipeline. Continua a leggere
Ultima modifica:

EDPB Joint Opinion 28/2024: il three-step test per training AI su dati personali sotto GDPR

EDPB Joint Opinion 28/2024: il three-step test per training AI su dati personali sotto GDPR L'EDPB ha pubblicato nel gennaio 2026 un chiarimento sull'Opinion 28/2024 - il three-step test (purpose, necessity, balancing) applicato al training AI su dati personali. Legitimate interest è valido ma con condizioni strette: 'anonimia' del modello solo se l'estrazione è 'insignificante'. Approfondisco le tre fasi, le misure tecniche che spostano il balancing (differential privacy, opt-out, output filter) e un template LIA pronto per fine-tuning e RAG su dati clienti. Continua a leggere
Ultima modifica:

Modelli troppo pericolosi per essere rilasciati: Project Glasswing e il problema dell'auditing di terze parti

Modelli troppo pericolosi per essere rilasciati: Project Glasswing e il problema dell'auditing di terze parti Ad aprile 2026 Anthropic ha annunciato Mythos, modello troppo pericoloso da rilasciare al pubblico per le sue capacità di trovare zero-day in OS e browser principali. Disponibile solo entro Project Glasswing a 12 partner enterprise con 100 milioni di crediti usage. Diagnosi del problema che il precedente apre: una stessa azienda crea, valuta e narra il proprio modello senza audit terze parti. Implicazioni di cyber intelligence, governance e cosa una PMI può fare per verificare un vendor AI. Continua a leggere
Ultima modifica:

Weaviate 1.30 multi-vector ColBERT in production: setup per RAG tecnico specialistico

Weaviate 1.30 multi-vector ColBERT in production: setup per RAG tecnico specialistico Per un RAG su dominio tecnico specialistico (vocabolario italiano, sigle proprietarie, convenzioni di settore), un dense bi-encoder single-vector generalista sbaglia spesso. Weaviate 1.30 porta multi-vector ColBERT in GA e 1.31 aggiunge MUVERA per ridurre il footprint. Setup completo: ingestion pipeline, configurazione schema Weaviate, retrieval con late interaction, benchmark accuracy su dataset tecnico italiano della mia sandbox. Continua a leggere
Ultima modifica:

Scaffolding Anthropic: otto lezioni di architettura agent dal leak del codice Claude Code

Scaffolding Anthropic: otto lezioni di architettura agent dal leak del codice Claude Code Il 31 marzo 2026 Anthropic ha pubblicato per errore 512.000 righe di Claude Code via source map nel pacchetto npm 2.1.88. Ho analizzato il codice leakato e distillato otto lezioni architetturali trasferibili a qualunque MCP server interno: QueryEngine, Tool Registry, Permission Engine, prompt caching stratificato, anti-distillation, auto-compact contesto, KAIROS heartbeat agent, feature flags progressivi. Continua a leggere
Ultima modifica:

ISO 42001 in 90 giorni: checklist per passare i gate di RFP enterprise 2026

ISO 42001 in 90 giorni: checklist per passare i gate di RFP enterprise 2026 Il 72% dei buyer enterprise chiede ISO 42001 nelle RFP 2026 (CSA, febbraio 2026). Se sei una PMI italiana di consulenza o software e vuoi vincere gare con grandi clienti europei, ISO 42001 non è più optional nel secondo semestre. Ma 4-12 mesi di implementazione full sono troppi - ti mostro come passare il gate in 90 giorni sfruttando l'overlap 60% con ISO 27001, mappando i 38 controlli a SoA esistente e producendo evidence equivalente su 14 controlli residui. Continua a leggere
Ultima modifica:

Prompt caching workspace-level di Anthropic: perché i tuoi agenti costano troppo e come diagnosticare le cache mancate

Prompt caching workspace-level di Anthropic: perché i tuoi agenti costano troppo e come diagnosticare le cache mancate Dal febbraio 2026 Anthropic offre prompt caching workspace-level con cache hit al 10% del prezzo input. Eppure nella maggioranza delle integrazioni che vedo in consulenza le cache sono mancate nel 60-80% delle chiamate per errori di design banali. Diagnosi sistematica: cache prefix vs suffix, invalidazione accidentale del system prompt, bloccaggio con tool list dinamica, e pattern che ho misurato portare fino a 90% di risparmio sulla bolletta API. Continua a leggere
Ultima modifica: