La terra dei quattro mori vanta fiori all’occhiello che le danno lustro in tutto il mondo. Uno di questi porta il nome di Battista Biggio, è di Carloforte e ha un brillante curriculum ricco di studi all’avanguardia e riconoscimenti.
Classe 1983, docente ordinario al Dipartimento di Ingegneria elettrica ed elettronica dell’Università di Cagliari e co-fondatore della compagnia di sicurezza informatica Pluribus One, Biggio è conosciuto come un pioniere nel campo della cybersecurity, della computer vision e della sicurezza del machine learning. E proprio in riferimento al machine learning (ossia quel sottoinsieme dell’IA che si occupa dell’apprendimento delle macchine attraverso i dati e senza una programmazione esplicita), l’ingegnere carlofortino ha condotto ricerche focalizzate sulla sicurezza e considerate una punta di diamante. Ricerche che hanno contribuito alla recente conquista di un ulteriore prestigioso riconoscimento conferitogli dall’Institute of Electrical and Electronics Engineers (la più importante organizzazione a livello mondiale nel campo dell’ingegneria elettrica ed elettronica): il grado di IEEE Fellow. Per l’attribuzione di questo titolo – riservato a un ristretto gruppo di studiosi che si siano distinti per aver raggiunto risultati eccezionali nelle aree di interesse dell’IEEE – viene selezionato solo lo 0,1% dei membri appartenenti alla rinomata organizzazione internazionale fondata nel 1963.
Professor Biggio, qual è stato il suo primo approccio al mondo dell’informatica? Come si è evoluto il suo percorso?
I computer e l’elettronica mi hanno affascinato fin da bambino. Come molti miei coetanei, siamo cresciuti tra Commodore, Amiga 500, cassette e floppy disk, ormai pezzi da museo, e abbiamo visto nascere le prime console per videogame. Ma è stato poi soltanto all’università che ho avuto il primo approccio con i linguaggi di programmazione e i sistemi di apprendimento automatico che imparano da esempi (noti come sistemi di machine learning) – ovvero quelle tecnologie dell’intelligenza artificiale basate prevalentemente sulle reti neurali grazie a cui (dopo quasi 70 anni di tentativi) si è riusciti finalmente a far funzionare in maniera molto accurata i sistemi di riconoscimento dei volti, delle immagini e del parlato che usiamo quotidianamente sui nostri cellulari, e non solo. Molte altre applicazioni utilizzano l’AI per suggerirci che film o serie guardare, che articoli comprare online. Insomma, l’AI ormai è una tecnologia abilitante e pervasiva. E come tale, correttamente, va regolamentata per tutelare i diritti e la privacy dei cittadini e al contempo non bloccare lo sviluppo industriale e scientifico. Questo è quello che sta facendo l’Europa con l’AI Act, recentemente approvato, e con iniziative simili anche gli Stati uniti e molti altri paesi. A questo punto, uno potrebbe chiedersi perché ci sono voluti 70 anni per arrivare a questa nuova ‘rivoluzione industriale’. E la risposta non è tanto negli sviluppi degli algoritmi o delle architetture usate, che pure ci sono ovviamente stati (soprattutto alla base dei cosiddetti large language models o modelli fondazionali, come ChatGPT, Bard, Gemini, etc.), ma la grande disponibilità di dati (pensate al testo e alle immagini e video disponibili su Internet) e alla capacità di computazione dei calcolatori moderni. Insomma, la rivoluzione dell’AI si è prevalentemente basata non sul cercare di imitare ed emulare il modo di pensare degli esseri umani, ma di far ‘scalare’ la tecnologia in modo da poter processare in maniera sempre più efficiente quantità di dati sempre maggiori.
Il conferimento di IEEE Fellow è il più recente tra i numerosi riconoscimenti che caratterizzano la sua carriera. Come ci si sente a far parte dell’eccellenza? Che impatto hanno avuto, nel campo della tecnologia e dell’innovazione, le sue ricerche e i suoi contributi?
La ringrazio, ma se guardo i grandi innovatori nel mondo dell’ingegneria e dell’informatica, c’è ancora molta strada da fare. Io ho il piacere e la fortuna di aver avuto dei grandi maestri e di collaborare con giovani molto in gamba, che non smetterò mai di ringraziare. Ogni giorno si presentano nuove sfide che affrontiamo insieme con grande entusiasmo. Detto questo, possiamo sicuramente dire di essere stati tra i primi, più di 10 anni fa ormai, quando ero giovane anche io, ad aver intuito che questi sistemi di AI potessero avere qualche problema, soprattutto quando processano dei dati che possono essere alterati da criminali informatici – come, ad esempio, nel problema del filtraggio delle email di spam (dove l’algoritmo deve decidere se una e-mail è spam oppure no) o nella rilevazione dei virus informatici.
E quindi avevamo dimostrato che, in questi scenari applicativi, basta davvero cambiare di pochi bit il testo della mail o il contenuto del programma malevolo per bypassare il sistema di rilevazione, ingannando l’algoritmo di AI.
Allo stesso modo, è possibile inquinare i dati di addestramento per impedire al sistema di AI di imparare alcunché dagli esempi forniti.
Un paio di anni dopo, un team di Google Brain ha riscoperto lo stesso problema sui modelli di AI più grandi e accurati, usati nella classificazione di immagini, e da lì in poi il campo di ricerca noto come ‘adversarial machine learning’ è letteralmente esploso e diventato di interesse generale.
Può spiegare ai nostri lettori e lettrici cos’è l’adversarial machine learning? Le macchine possono avere le allucinazioni?
Esattamente. Le macchine possono essere indotte ad avere delle allucinazioni, modificando in maniera anche impercettibile i dati che ricevono in ingresso. Quindi potrebbero confondere un’immagine che mostra un gatto con qualsiasi altro animale o oggetto. Oppure non capire e decodificare correttamente i comandi vocali che le vengono impartiti. O ancora, rivelare informazioni che invece dovrebbero rimanere riservate e private. E questo vale anche per i più moderni modelli di linguaggio e multimodali come ChatGPT e altri.
L’area della ’adversarial machine learning’ cerca proprio di sviluppare macchine che siano in grado di funzionare in ambiente ostile/avverso (‘adversarial’), cioè in presenza di attaccanti o utenti malintenzionati che mirano proprio a comprometterne il funzionamento.
L’intelligenza artificiale, come tutte le tecnologie, ha una dimensione politica e sociale. Quali sono i rischi che riguardano i diritti umani e le libertà civili?
L’AI è, come anticipato in precedenza, una tecnologia abilitante. Significa che abiliterà altre tecnologie e soprattutto migliorerà quelle già esistenti. E ovviamente questo include tecnologie ‘benevole’ e tecnologie potenzialmente ‘malevole’ o dannose. Si parla infatti spesso di dual use di queste tecnologie. Giusto per fare un esempio, si può considerare come i modelli di linguaggio rendano più produttiva la stesura di alcuni documenti o la produzione di relazioni, o come ancora facilitino la ricerca e la sintesi dei contenuti (non a caso, saranno parte integrante dei nuovi motori di ricerca sul web). Al tempo stesso, potete immaginarvi come i criminali informatici possano usarli per migliorare l’efficacia e la persuasione dei messaggi che mandano per truffare le persone online, con campagne di spam o email di phishing. O per costruire dei deepfake (immagini false) più credibili e, soprattutto, con maggiore velocità ed efficienza. Quindi sicuramente avremo bisogno di un maggiore supporto tecnologico e legale per combattere i nuovi tentativi di frode e le campagne di disinformazione online.
Il suo intervento al TeDx dal titolo ‘Hacking AI’ è molto interessante e offre diversi spunti. Quanto è importante l’hacking per studiare le vulnerabilità?
Come per la sicurezza informatica, fare hacking e più in generale ‘red teaming’ serve per anticipare e risolvere i problemi delle tecnologie informatiche prima che li scopra qualcun altro, con intenzioni molto meno nobili. Mentre questo è già prassi consolidata nei meccanismi di auditing dei sistemi informatici che coinvolgono la sicurezza digitale e fisica (pensate ad esempio ai sistemi utilizzati dalle istituzioni, dalle banche, o sugli aerei), per l’AI siamo agli albori, e abbiamo quindi bisogno di formare i prossimi hacker ‘etici’ ad anticipare e risolvere i problemi che nasceranno dall’utilizzo di AI in queste applicazioni – e non solo. Questo sarà sicuramente un passo fondamentale per i prossimi 5-10 anni. Su questi temi devo dire che all’Università di Cagliari siamo stati i primi in Italia ad offrire un corso di laurea magistrale in Ingegneria informatica, sicurezza informatica e intelligenza artificiale, tenuto interamente in inglese (M.Sc. Computer Engineering, Cybersecurity and Artificial Intelligence) e siamo parte attiva nell’iniziativa cyberchallenge.it (il programma nazionale di addestramento alla cybersecurity, sotto forma di contest, riservato a giovani di talento tra i 16 e i 23 anni, iscritti a scuole superiori e università italiane), a cui partecipiamo ogni anno con risultati sempre soddisfacenti. Il team UNICA ha persino vinto la competizione nazionale nel 2021, arrivando davanti a tutte le altre università italiane.
Può parlarci di quella branca che si chiama ‘adversarial machine learning for social good’?
È una branca in cui sostanzialmente si sfruttano le vulnerabilità dei sistemi di AI per proteggere i cittadini e gli utenti, ad esempio, cercando di evitare che il sistema di AI impari le nostre preferenze, o acquisisca informazioni private su di noi. Tuttavia, è un’area molto recente, con risultati molto preliminari ma sicuramente da monitorare con attenzione.
GPT-4 ha davvero superato il test di Turing? A che punto è la disputa sull’IA debole e l’IA forte?
Direi di sì, perlomeno nell’accezione che intendeva Turing, che non si è mai posto il problema di misurare l’intelligenza o definire cosa fosse – un problema di natura filosofica tuttora irrisolto. Per lui l’obiettivo rimaneva costruire delle macchine che emulassero un comportamento intelligente rispetto ad un task/applicazione specifica (AI debole), ma senza necessariamente risolverlo come lo risolverebbe un essere umano (AI forte). Per intenderci, gli aerei volano senza muovere le ali. Per quanto riguarda la disputa sull’AI debole e l’AI forte, mi pare che non ci sia molto di nuovo da segnalare, a parte forse che i sostenitori della AGI (Artificial General Intelligence, l’AI forte, appunto) spostano ogni volta la loro predizione su quando arriverà la singolarità (ovvero il momento in cui le macchine saranno più intelligenti dell’uomo, qualsiasi cosa questo voglia dire) sempre più avanti. Per il momento, quindi, non mi preoccuperei più del dovuto.
Concludiamo l’intervista parlando dei suoi progetti: a cosa si dedicherà nell’immediato?
Per il momento sono molto impegnato sulla ricerca e sui progetti nazionali ed europei. Abbiamo recentemente fondato un nuovo laboratorio congiunto insieme all’Università di Genova (sAIferlab.ai), che conta più di 70 ricercatori, siamo coinvolti su due progetti PNRR (i partenariati estesi SERICS e FAIR), riguardanti sicurezza informatica e intelligenza artificiale, e su 3 progetti europei (ELSA, Sec4AI4Sec e CoEvolution), sempre su questi temi. Stiamo lavorando alla costruzione di una rete europea che possa aiutare le istituzioni e le aziende ad usare l’AI in maniera responsabile e sicura e nel rispetto delle regolamentazioni vigenti (tra cui, appunto, l’AI Act e il GDPR). E lo facciamo portando avanti la ricerca di nuove soluzioni e lo sviluppo di tool e librerie pensate a questo scopo. Insomma, si preannuncia un 2025 pieno di nuove sfide e speriamo, ancora, di soddisfazioni.
