L’utilizzo dell’intelligenza artificiale nella progettazione di proteine ha aperto nuove possibilità nella ricerca biotecnologica, ma al tempo stesso ha esposto la comunità scientifica a rischi di natura inedita.

Un gruppo di ricerca di Microsoft, guidato dal chief scientist Eric Horvitz, ha
recentemente dimostrato che gli algoritmi generativi possono individuare vulnerabilità sconosciute nei sistemi di biosecurity (pratiche e misure per la protezione degli organismi viventi e degli ecosistemi) utilizzati per impedire la sintesi di agenti tossici o patogeni.

Ecco cosa emerge dall’esperimento.

L’esperimento di Microsoft

L’esperimento ha messo in evidenza che le misure di controllo oggi impiegate per la verifica delle sequenze genetiche non sono in grado di intercettare tutte le possibili varianti prodotte da modelli di intelligenza artificiale.

Il risultato è stato definito dai ricercatori una zero-day vulnerability (una qualsiasi falla di un software non nota ai suoi sviluppatori o conosciuta, ma non gestita) nel dominio biologico, in analogia con la terminologia tipica della cyber sicurezza.

Richieste sospette di DNA sintetico

I sistemi di screening bioinformatico sono progettati per individuare richieste sospette di DNA sintetico che possano corrispondere a tossine note o a elementi genetici di microrganismi pericolosi.

Quando un laboratorio o un’azienda richiede la sintesi di una sequenza, il software confronta i dati inviati con un archivio di riferimenti contenente agenti patogeni e sostanze tossiche conosciute.

In caso di corrispondenza, la transazione viene bloccata o segnalata alle autorità competenti. Si tratta di un meccanismo di difesa essenziale per evitare che vi sia un impiego della biologia sintetica per scopi dolosi, come la creazione di tossine modificate o patogeni ingegnerizzati.

Tuttavia, lo studio condotto da Microsoft ha dimostrato che un sistema di intelligenza artificiale può generare varianti proteiche capaci di mantenere la propria funzione tossica pur eludendo il riconoscimento automatico delle piattaforme di controllo.

Modelli generativi di progettazione
proteica e biosecurity

Per la sperimentazione, i ricercatori hanno impiegato modelli generativi di progettazione proteica, tra cui EvoDiff, sviluppato internamente da Microsoft. Questi algoritmi, addestrati su grandi insiemi di dati biologici, possono proporre nuove strutture molecolari ottimizzate per funzioni desiderate, come l’interazione con recettori cellulari o l’inibizione di specifici processi biochimici.

Gli stessi principi che rendono tali strumenti preziosi per la scoperta di nuovi farmaci li rendono potenzialmente utilizzabili anche per fini opposti. L’esperimento ha mostrato che, modificando la sequenza di amminoacidi di tossine note, è possibile produrre versioni “offuscate” che conservano l’effetto biologico originale, ma non vengono rilevate dai filtri di sicurezza.

In termini informatici, l’intelligenza artificiale è stata utilizzata per un’operazione di “adversarial design”, analoga agli attacchi che ingannano i sistemi di riconoscimento delle immagini alterando pixel invisibili all’occhio umano.

Esperimento di biosecurity con finalità difensive

Il test condotto dal team è rimasto interamente digitale. Nessuna delle sequenze generate è stata effettivamente sintetizzata o sperimentata in laboratorio.

I ricercatori hanno mantenuto la precauzione, per evitare qualunque rischio di proliferazione biologica e per non generare equivoci sul carattere dell’esperimento, che ha avuto finalità puramente difensive.

Prima della pubblicazione dei risultati, Microsoft ha informato le autorità statunitensi e i principali fornitori di software per la sintesi genetica, che hanno provveduto ad aggiornare i propri sistemi di rilevamento.

Gli stessi ricercatori hanno precisato che alcune sequenze generate con l’ausilio dell’intelligenza artificiale possono tuttora eludere i controlli, segno che le contromisure richiederanno un processo di adattamento continuo.

La dualità d’uso

Il tema della dualità d’uso è al centro del dibattito bioetico e di sicurezza. Gli stessi modelli che permettono di accelerare la ricerca di nuovi farmaci possono essere impiegati per la creazione di sostanze dannose.

La distinzione tra uso lecito e illecito non risiede più nello strumento, ma nell’intenzione e nel contesto operativo. Per questo motivo, la prevenzione non può limitarsi alla sola verifica delle sequenze ordinate, ma deve estendersi alla sorveglianza dei modelli e dei dataset impiegati nella progettazione.

Alcuni esperti suggeriscono che le funzioni di sicurezza dovrebbero integrarsi direttamente negli algoritmi di generazione, con meccanismi di controllo interno o restrizioni sui tipi di output consentiti.

Tale approccio, tuttavia, comporta complessità tecniche e rischi di interferenza con la libertà di ricerca scientifica.

Non è sufficiente il controllo dei fornitori di DNA

Alcuni ricercatori ritengono che l’attuale sistema, basato sul controllo dei fornitori di DNA, possa non essere sufficiente. Michael Cohen, studioso di sicurezza dell’intelligenza artificiale presso l’Università della California a Berkeley, ha osservato che esistono molteplici modalità per mascherare le sequenze e che un attacco condotto con reali intenzioni ostili potrebbe superare con facilità i filtri commerciali.

Secondo questa prospettiva, la biosicurezza dovrebbe essere concepita come un insieme di livelli sovrapposti, in cui la supervisione degli algoritmi, dei dataset e delle richieste di sintesi operi in modo integrato.

La capacità di rilevare tentativi di elusione dovrebbe dunque essere incorporata già nelle piattaforme di intelligenza artificiale, non soltanto nelle fasi successive di produzione.

Rischio emergente e biosecurity

Nonostante le opinioni divergenti, l’esperimento ha contribuito a delineare un quadro più chiaro del rischio emergente.

La possibilità che modelli generativi vedano un utilizzo per progettare agenti biologici pericolosi non è più confinata alla teoria. Il fatto che un gruppo di ricerca industriale, e non un attore malevolo abbia scoperto la vulnerabilità identificata, sottolinea l’importanza della cooperazione tra settore privato, istituzioni e comunità scientifica.

La trasparenza controllata adottata da Microsoft – con la scelta di non divulgare né il codice sorgente né i dettagli delle tossine impiegate – rappresenta un equilibrio pragmatico tra condivisione della conoscenza e prevenzione dei rischi di abuso.

Bioinformatica, nuovo dominio della cyber

L’evoluzione della biologia sintetica e dell’intelligenza artificiale pone dunque sfide analoghe a quelle della cybersicurezza tradizionale. In entrambi i casi, la superficie d’attacco aumenta con la disponibilità di strumenti potenti e accessibili.

La proliferazione di modelli open source e la crescente capacità computazionale dei laboratori di ricerca pubblici e privati rendono necessario un coordinamento internazionale per stabilire standard comuni di verifica, audit e segnalazione.

Senza tali meccanismi, il rischio è che la bioinformatica diventi un nuovo dominio in cui la logica della vulnerabilità zero-day si applichi non più a codice binario, ma a sequenze genetiche.

Le sfide

La riflessione avviata dal lavoro di Horvitz e dei suoi colleghi mostra come la convergenza tra intelligenza artificiale e biotecnologia stia ridefinendo i confini della sicurezza globale.

L’identificazione di un zero-day nel campo della biologia sintetica non costituisce soltanto un avvertimento tecnico, ma anche un segnale politico sulla necessità di considerare la biosicurezza parte integrante delle strategie di difesa cibernetica.

Il concetto stesso di sicurezza informatica si estende così a una dimensione bio-digitale, in cui le minacce non colpiscono più soltanto i dati, ma anche i substrati fisici della vita.

La protezione di tali sistemi richiede la stessa attenzione oggi riservata ai nodi energetici, finanziari e digitali.