Mentre gli Usa (e l’Europa) sono spaventati dalla capacita cyber di Fable 5/Mythos 5, la Cina accelera. 360 Security Technology, gruppo cinese quotato a Shanghai e storicamente attivo nella sicurezza informatica, ha presentato Tulongfeng, indicato nelle cronache cinesi come 图龙锋, durante ISC.AI 2026 a Pechino. Un modello di AI specializzato nella cybersecurity.
Indice degli argomenti:
AI per la cybersecurity: che cosa promette Tulongfeng
Secondo le informazioni diffuse da media cinesi e riprese da testate internazionali, Tulongfeng è il modulo della piattaforma “Yitian Tulong” dedicato alla ricerca automatizzata di vulnerabilità. L’altro componente, Yitianzhen, riguarda invece difesa automatizzata, risposta agli incidenti e gestione operativa della sicurezza.
La differenza rispetto a un chatbot generalista sta nell’architettura. Tulongfeng viene descritto come un sistema a intelligent agent, cioè un insieme di agenti specializzati che cooperano su fasi diverse del lavoro: comprensione del codice, ricostruzione del contesto, analisi statica e dinamica, verifica dei risultati, generazione di proof of concept, classificazione della gravità e proposta di remediation. In una pipeline di questo tipo il modello linguistico non lavora da solo: diventa il coordinatore di strumenti, basi di conoscenza, debugger, scanner, sandbox, repository di vulnerabilità e procedure di validazione.
E’ una scelta che prova a compensare il fatto che Tulongfeng (e la Cina in genere) non può rivaleggiare ancora con i modelli di frontiera, qual è appunto Mythos, soprattutto per assenza di accesso ai chip più evoluti, soggetti a sanzioni Usa.
La sua è comunque una scelta tecnica coerente con l’evoluzione del settore. Google Project Zero, con Project Naptime, ha mostrato già nel 2024 che la performance dei modelli nella vulnerability research cresce quando l’AI può interagire con strumenti specifici, ispezionare lo stato del programma a runtime e verificare automaticamente le proprie ipotesi. La stessa logica è alla base dei cyber reasoning systems emersi nell’AI Cyber Challenge di DARPA: sistemi autonomi progettati non solo per trovare bug, ma anche per generare patch e portare la correzione più vicino al ciclo di sviluppo software.
In termini operativi, il valore non sta nella sostituzione integrale del ricercatore umano. Sta nella riduzione dei colli di bottiglia. Un agente può esplorare più rami di ipotesi, produrre casi di test, cercare varianti di una vulnerabilità già nota e compilare report riproducibili. L’analista resta decisivo nelle fasi in cui servono giudizio, priorità, disclosure coordinata e valutazione dell’impatto su sistemi reali.
Tulongfeng: trovare vulnerabilità non significa gestire il rischio
360 sostiene che Tulongfeng abbia individuato 3.432 vulnerabilità, di cui 105 confermate da autorità regolatorie cinesi. Il dato va letto con prudenza: non risultano, al momento, benchmark pubblici indipendenti che permettano un confronto diretto con Mythos, GPT-5.6 o altri sistemi occidentali. Manca soprattutto la distinzione tra vulnerabilità nuove, varianti di bug noti, falsi positivi, severità effettiva, sfruttabilità e tempi medi di remediation.
Questa cautela è tecnica prima ancora che editoriale. Nella cybersecurity, un sistema che segnala migliaia di possibili falle può aumentare la produttività oppure generare rumore. La differenza dipende dalla qualità della riproduzione, dalla capacità di eliminare falsi positivi, dalla chiarezza delle proof of concept e dall’integrazione con i processi di patch management. Il problema non è solo trovare il bug: è portarlo fino alla correzione senza creare backlog ingestibili.
Il paper ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks?, pubblicato su arXiv nel maggio 2026 da ricercatori tra cui Zhun Wang, Nicholas Carlini, Elie Bursztein, Yan Shoshitaishvili, Thorsten Holz e Dawn Song, aiuta a inquadrare la questione. Il benchmark valuta la capacità degli agenti AI di trasformare una vulnerabilità in un exploit funzionante su 898 istanze tratte da software reali, tra cui programmi userspace, V8 e Linux kernel. I risultati indicano che l’exploitation resta complessa, ma i modelli frontier riescono ormai a produrre exploit funzionanti su una frazione non trascurabile dei casi.
Per le imprese questo significa che l’adozione di AI per la cybersecurity richiede controlli tecnici stringenti: ambienti isolati, audit dei prompt e degli output, gestione dei permessi, tracciabilità delle azioni degli agenti, validazione umana sui risultati ad alto impatto. Un agente che può leggere codice, eseguire test e generare proof of concept è uno strumento difensivo potente, ma anche una superficie di rischio se integrato senza limiti nei processi interni.
Perché Washington tratta i modelli cyber come tecnologia sensibile
Il lancio di Tulongfeng arriva dopo settimane di tensione negli Stati Uniti. Il 12 giugno 2026 Anthropic ha comunicato di aver ricevuto una direttiva del governo Usa che imponeva la sospensione dell’accesso a Claude Fable 5 e Claude Mythos 5 per i cittadini stranieri, dentro e fuori gli Stati Uniti. Il provvedimento ha costretto l’azienda a disabilitare l’accesso ai modelli per tutti i clienti, almeno nella fase iniziale, per garantire la compliance.
Il Governo Usa ha agito così avendo ricevuto alert (da Amazon) secondo cui attori stranieri (russi e cinesi) cominciavano a usare i due modelli Anthropic per trovare vulnerabilità critiche per la sicurezza americana.
Pochi giorni dopo, OpenAI ha avviato GPT-5.6 in limited preview per un gruppo ristretto di partner, dichiarando che la scelta rispondeva a una richiesta del governo americano. Qualche giorno fa Mythos è stato riabilitato in parte dal Governo Usa. Può essere usato ora da soggetti limitati e fidati.
Washington sta iniziando a trattare alcuni modelli come tecnologie dual use da valutare prima della distribuzione ampia. Pechino legge lo stesso passaggio da un’altra prospettiva: se i modelli in grado di trovare e validare vulnerabilità restano sotto controllo americano, la difesa delle reti nazionali rischia di dipendere da un’infrastruttura tecnologica esterna.
La reazione americana non nasce solo dal timore che un modello possa “scrivere malware”. Il punto più delicato è la combinazione tra reasoning, accesso agli strumenti e autonomia di lungo periodo. Un modello capace di individuare primitive di exploit, concatenare condizioni e produrre test riproducibili può ridurre la distanza tra vulnerabilità e impatto operativo.
L’Executive Order 14409, firmato il 2 giugno 2026 e pubblicato nel Federal Register il 5 giugno, prevede un processo classificato di benchmark per valutare le capacità cyber avanzate dei modelli AI e definire quando un sistema debba essere trattato come covered frontier model. L’ordine prevede anche un framework volontario attraverso cui gli sviluppatori possono fornire al governo federale accesso ai modelli fino a 30 giorni prima del rilascio ad altri partner fidati. Formalmente il testo esclude la creazione di un regime obbligatorio di licenza o pre-clearance; nella pratica, la sequenza Mythos-Fable-GPT-5.6 mostra che il margine di intervento pubblico si è già allargato.
La cronologia rende evidente l’accelerazione.
| Data | Evento | Rilevanza |
|---|---|---|
| 7 aprile 2026 | Anthropic annuncia Project Glasswing con partner industriali e infrastrutturali | Uso controllato di Mythos Preview per individuare vulnerabilità in software critico |
| 2 giugno 2026 | Trump firma l’Executive Order 14409 | Avvio di benchmark classificati e framework volontario sui frontier model cyber |
| 12 giugno 2026 | Anthropic comunica la direttiva Usa su Fable 5 e Mythos 5 | Sospensione dell’accesso per ragioni di sicurezza nazionale |
| 24 giugno 2026 | 360 presenta Tulongfeng e Yitianzhen a ISC.AI 2026 | Risposta cinese basata su agenti e capacità cyber nazionali |
| 26 giugno 2026 | OpenAI lancia GPT-5.6 in limited preview | Rilascio ristretto a partner fidati su richiesta del governo Usa |
| 27 giugno 2026 | Fonti giornalistiche riportano una riapertura limitata di Mythos 5 | Il blocco si trasforma in accesso selettivo, non in piena liberalizzazione |
Il risultato è un modello di governance ibrido. Non è ancora export control tradizionale sui chip, né semplice autoregolazione aziendale. È una zona intermedia in cui il governo americano prova a evitare due rischi opposti: diffondere capacità offensive a soggetti ostili e, allo stesso tempo, indebolire i difensori che avrebbero bisogno degli stessi strumenti per trovare vulnerabilità prima degli attaccanti.
La risposta cinese: agenti, ecosistema e sovranità tecnologica
Tulongfeng va letto dentro la politica industriale cinese sull’autonomia digitale. Le restrizioni statunitensi su chip, cloud, software avanzato e modelli frontier hanno già prodotto un effetto prevedibile: accelerano gli investimenti cinesi in alternative nazionali. Nel caso della cybersecurity, però, l’incentivo è ancora più forte, perché la dipendenza tecnologica non riguarda solo produttività o costo, ma visibilità sulla propria superficie d’attacco.
Il messaggio attribuito a Zhou Hongyi, fondatore di 360, è netto nella sostanza: la Cina non può attendere di colmare completamente il divario sui modelli di base prima di costruire capacità operative di vulnerability discovery. Da qui la scelta di una via ingegnerizzata: mettere insieme modello, esperienza di attacco e difesa, knowledge base, piattaforma agentica e toolchain, invece di puntare solo sulla superiorità del singolo modello.
È un approccio con vantaggi e limiti. Può funzionare bene in ambienti verticali, dove il sistema ha accesso a dati tecnici, regole operative e strumenti controllati. Può anche ridurre la dipendenza dai modelli generalisti più potenti, perché trasferisce parte della capacità nel workflow. Ma richiede manutenzione costante, dataset aggiornati, integrazione con strumenti di analisi, governance delle autorizzazioni e valutazioni indipendenti. Senza questi elementi, l’agentic security rischia di diventare automazione fragile: veloce nel produrre risultati, meno affidabile nel dimostrarne la qualità.
Che cosa cambia per imprese e team di sicurezza
Per le aziende, la lezione non riguarda solo Stati Uniti e Cina. L’AI applicata alla cybersecurity sta entrando nei processi di sviluppo, test, red teaming e incident response. Questo cambia la catena del valore della sicurezza software.
Nel breve periodo, i casi d’uso più realistici sono revisione assistita del codice, ricerca di varianti di vulnerabilità note, generazione di test, documentazione delle proof of concept, prioritizzazione dei fix e supporto alla migrazione verso linguaggi o componenti più sicuri. Nei contesti maturi, questi strumenti possono essere collegati a pipeline DevSecOps, repository, sistemi di ticketing e ambienti di test isolati. Nei contesti meno maturi, l’effetto può essere opposto: più segnalazioni, più rumore, più carico sui team già sotto pressione.
La governance deve precedere la scalabilità. Un’impresa che introduce agenti AI per la vulnerability research dovrebbe definire quali repository possono essere analizzati, quali comandi possono essere eseguiti, dove vengono conservati log e output, chi valida una proof of concept, chi autorizza la disclosure e quali limiti impediscono al sistema di trasformare una verifica difensiva in una simulazione troppo vicina all’offesa.
Il mercato si muove verso un equilibrio delicato: dare ai difensori strumenti abbastanza potenti da reggere la velocità degli attaccanti, senza trasformare ogni piattaforma di sicurezza in un moltiplicatore incontrollato di capacità offensive.
La nuova frontiera dell’AI cyber
Tulongfeng non dimostra ancora che la Cina abbia raggiunto i modelli statunitensi più avanzati nella vulnerability research. Dimostra però che la competizione si è spostata. L’AI per la cybersecurity non è più una funzione accessoria dentro una suite di sicurezza: diventa una capacità nazionale, industriale e militare, con effetti su supply chain software, infrastrutture critiche e sovranità digitale.
La conseguenza per le imprese è concreta. I modelli cyber di nuova generazione renderanno più rapida la scoperta delle vulnerabilità, ma non elimineranno il lavoro umano necessario a verificare, correggere, coordinare e governare il rischio. La differenza competitiva sarà nella capacità di integrare questi sistemi dentro processi controllati, misurabili e auditabili.
Per Stati e grandi piattaforme, la partita è ancora più ampia. Chi controlla i modelli capaci di vedere le vulnerabilità prima degli altri controlla una parte crescente del vantaggio difensivo. Tulongfeng è il segnale che la Cina non intende lasciare questo vantaggio nelle mani dell’ecosistema americano.
Partecipa alla community