Lumina Digest

Google pagherà a SpaceX 920 milioni al mese per la potenza di calcolo: le GPU diventano voce di conto economico

Un contratto da circa 30 miliardi di dollari (ottobre 2026–giugno 2029) porta Google ad affittare ~110.000 GPU da SpaceX come capacità ponte, mentre Alphabet continua a impegnare oltre 180 miliardi in infrastruttura AI propria. La disponibilità di calcolo diventa una leva finanziaria e competitiva, non più solo capex cloud.

Google pagherà a SpaceX 920 milioni di dollari al mese per accedere a circa 110.000 GPU NVIDIA, oltre a CPU, memoria e altri componenti. Il contratto, reso pubblico il 5 giugno tramite un filing alla SEC, va da ottobre 2026 a giugno 2029, per un valore complessivo intorno ai 30 miliardi di dollari. Si tratta di circa 33 mesi, conteggiati per mesi pieni inclusivi. Google lo presenta come «un accordo a breve termine per garantirci capacità ponte a fronte della domanda — più alta del previsto — per la nostra piattaforma di agenti Gemini Enterprise» (TechCrunch).

È capacità ponte esterna, non una rinuncia a costruire: Alphabet ha già impegnato oltre 180 miliardi di dollari di capex per il 2026, una cifra che prevede di aumentare «in modo significativo» nel 2027. Per sostenere la spesa ha annunciato una raccolta azionaria da 80 miliardi (The Next Web).

Le clausole sono stringenti: se SpaceX non consegna la capacità entro il 30 settembre 2026, dopo un mese di tolleranza Google può recedere o accettare meno GPU con uno sconto; dal 31 dicembre 2026 entrambe le parti possono uscire con 90 giorni di preavviso.

Sulla provenienza del calcolo le fonti invitano alla cautela: il filing non specifica quale data center fornirà la capacità a Google, e SpaceX non lo ha confermato. La stampa la collega al perimetro ex xAI — la società del chatbot Grok, fusa in SpaceX a febbraio 2026 — e ai supercomputer Colossus vicino a Memphis. È la stessa infrastruttura su cui poggia l'accordo gemello con Anthropic: 1,25 miliardi al mese per l'intera capacità di Colossus 1, circa il doppio di quella stimata per Google. Ma Musk aveva indicato che Colossus 2 sarebbe rimasto a xAI, e resta aperta la questione di dove arriveranno davvero le GPU di Google.

L'annuncio arriva a circa una settimana dalla quotazione di SpaceX al Nasdaq, che punta a raccogliere circa 75 miliardi a una valutazione di circa 1.750 miliardi — potenzialmente la più grande IPO di sempre. Resta aperta la domanda se questa domanda di calcolo sia strutturale o vicina al picco di un ciclo.

Perché conta

• IMPRENDITORI: Il calcolo AI non è più solo capex interno: diventa anche una voce ricorrente di conto economico e una capacità da affittare. Anche un hyperscaler come Google — che pure continua a impegnare oltre 180 miliardi in infrastruttura propria — affitta capacità «ponte», perfino da un fornitore non tradizionale e legato a un rivale come Musk, pur di non perdere clienti. Per chi guida un'impresa, l'accesso alla potenza di calcolo è ormai una leva competitiva e finanziaria da negoziare, con l'incognita di una domanda che potrebbe essere vicina al picco di un ciclo.
• INGEGNERI ICT / IT MANAGER: Anche un'azienda che continua a costruire data center come Google affitta 110.000 GPU per coprire un picco di domanda: la scarsità di capacità è un vincolo reale di pianificazione, non un'ipotesi. Vale la pena studiare il design del contratto — scadenza di consegna al 30 settembre, recesso a 90 giorni — come modello per gestire la dipendenza dal fornitore, e notare il rischio di concentrazione: la capacità risiede in infrastrutture di terzi e SpaceX non ha nemmeno reso noto quale data center la fornirà.

ChatGPT riscrive la memoria da sola: arriva 'Dreaming V3', comodità contro auditabilità

OpenAI rende predefinita una sintesi automatica in background del profilo utente al posto delle memorie salvate a mano. Più comodo e meno costoso, ma ciò che il sistema deduce e conserva diventa più difficile da verificare.

OpenAI ha avviato il 4 giugno 2026 il rollout di "Dreaming V3", una nuova architettura di memoria per ChatGPT che rende predefinita la sintesi automatica del profilo al posto della lista di "saved memories" curata a mano. Un processo in background — chiamato "dreaming" — sintetizza il contesto dalle conversazioni passate e aggiorna ciò che il sistema ricorda senza alcuna richiesta dell'utente. L'esempio di OpenAI: una memoria "stai andando a Singapore a luglio" si riscrive in "sei andato a Singapore a luglio 2026" a viaggio concluso. Chi preferisce il modello precedente può comunque tornare alle legacy saved memories da Settings > Memory > Saved memories. La funzione è partita per gli utenti Plus e Pro negli Stati Uniti. Free, Go e altri paesi seguiranno nelle settimane successive, resi possibili — dichiara OpenAI — da una riduzione del compute di circa 5 volte. I piani a pagamento ottengono il doppio della capacità di memoria.

OpenAI riporta metriche interne (82,8% di recall fattuale, 71,3% di aderenza alle preferenze), ma senza confronto con un assistente rivale né benchmark indipendenti. Il nodo è l'auditabilità: la memoria vive in un layer separato dai log delle chat, quindi cancellare una conversazione non elimina le memorie sintetizzate, e la pagina di riepilogo non mostra tutto ciò che viene trattenuto. OpenAI precisa che memoria e cronologia delle chat si possono disattivare, ma la cancellazione completa richiede intervenire su ogni fonte. Uno studio CHI 2026 ("Relational Gains, Privacy Strains") su 20 utenti rileva che la maggior parte dei partecipanti sperimenta "negative expectancy violations" dopo aver scoperto cosa ChatGPT ricordava di loro. Lo studio chiede più visibilità, accessibilità, trasparenza e controllo dell'utente nel design delle future funzioni di memoria. Un'analisi indipendente cita uno studio arXiv di febbraio 2026 secondo cui il 96% delle memorie è creato unilateralmente dal sistema, con dati personali rilevanti per il GDPR nel 28% delle voci. A maggio 2026 una class action contesta a OpenAI tracker di terze parti su ChatGPT.com.

Perché conta

• UTENTI FINALI: Per chi usa ChatGPT ogni giorno la memoria diventa di default una sintesi automatica e persistente del proprio profilo, non più una lista da controllare a mano — pur restando possibile tornare alle saved memories: più comodità, ma meno visibilità su cosa il sistema deduce e conserva. Sotto GDPR una memoria o profilazione basata su dati personali richiede una base giuridica, trasparenza e il rispetto dei diritti dell'interessato — inclusi accesso, opposizione e cancellazione ove applicabile. Il consenso può servire in casi specifici, ma non è l'unica base possibile. In pratica conviene controllare attivamente la pagina di riepilogo della memoria, sapendo che cancellare le chat non basta a rimuovere ciò che è già stato sintetizzato.

Google e FBI: il gruppo ransomware UNC3753 ruba dati con finti tecnici IT, anche di persona

Mandiant e l'FBI segnalano una campagna ad alta velocità contro studi legali USA: vishing dell'helpdesk, RMM legittimi e accesso fisico agli uffici con esfiltrazione su USB.

Google Threat Intelligence Group (Mandiant) ha pubblicato il 5 giugno 2026 un'analisi su UNC3753 — il gruppo già noto come Luna Moth, Silent Ransom Group e Chatty Spider, attivo dal 2022. L'FBI aveva diffuso il 26 maggio 2026 un FLASH sul Silent Ransom Group. Le due fonti convergono sulla stessa campagna, ma non risulta un advisory congiunto. Tra gennaio e maggio 2026 il gruppo ha colpito decine di studi legali e società di servizi professionali e finanziari statunitensi. Va precisato che SRG/UNC3753 opera soprattutto come gruppo di estorsione basata sul furto di dati e non ricorre tipicamente alla cifratura ransomware tradizionale, anche se alcune testate lo collocano nel perimetro ransomware/estorsione.

L'accesso iniziale è vishing: gli operatori chiamano spacciandosi per l'helpdesk IT interno, spesso dopo un'email-civetta a tema fattura priva di link o allegati malevoli, usata solo per costruire il pretesto. Convincono la vittima ad avviare una condivisione schermo (Quick Assist, Zoom, Microsoft Teams) o a installare un RMM commerciale legittimo — AnyDesk, Bomgar, Zoho Assist, SuperOps. L'esfiltrazione passa per WinSCP, Rclone e account cloud consumer: in un incidente sono stati portati via 1,7 GB da OneDrive verso Google Drive e altri 14,4 GB via WinSCP da una VDI.

La velocità è il tratto distintivo: l'intero ciclo, dal primo contatto al furto e all'estorsione, si chiude spesso in una sola giornata lavorativa. Ricerca, staging e furto vengono avviati in meno di un'ora e la richiesta è inviata entro ~30 minuti dall'uscita. Segue una scadenza di tre giorni e la minaccia di pubblicare i dati sul leak site e di avvisare clienti e dipendenti.

L'accesso fisico non è una novità: l'FBI lo aveva già documentato in un PIN del maggio 2025 e lo ha ribadito e aggiornato con nuovi casi nel FLASH del 26 maggio 2026. Finti tecnici si presentano in sede dicendo di dover «fare il backup» o «sistemare un problema di sicurezza» del dispositivo, ed esfiltrano su chiavette USB. Google valuta queste intrusioni fisiche solo «probabilmente» collegate a UNC3753, per mancanza di evidenze forensi e di una successiva estorsione. Il CTO di Mandiant Charles Carmakal ricorda che insider piazzati, dipendenti corrotti e ingressi fisici sono uno schema già visto in altri casi.

Perché conta

• INGEGNERI ICT / IT MANAGER: La campagna aggira i controlli incentrati solo su endpoint ed email perché sfrutta strumenti legittimi e la fiducia umana: servono un runbook anti-vishing, la verifica out-of-band dell'identità di chiunque si dichiari «IT support», il blocco dei supporti USB e la restrizione/whitelisting degli RMM, oltre al monitoraggio di catene sospette come curl→msiexec e dell'uso di Rclone.

Modelli cyber di frontiera entrano negli apparati statali: GPT-5.5-Cyber nell'UE, Mythos a ENISA e (per il Financial Times) verso la NSA

OpenAI apre GPT-5.5-Cyber ai difensori europei vagliati e Anthropic concede Mythos all'agenzia UE ENISA; sul fronte americano il Financial Times riferisce — senza conferme — ingegneri Anthropic distaccati alla NSA per Mythos, sullo sfondo di un divieto del DoD.

Nel giro di poche settimane i modelli di IA addestrati per il lavoro cyber sono passati dalle mani dei vendor a quelle degli apparati statali, su entrambe le sponde dell'Atlantico. OpenAI ha aperto GPT-5.5-Cyber ai difensori europei vagliati — agenzie, governi e istituzioni UE, incluso l'EU AI Office — nel quadro dell'EU Cyber Action Plan annunciato l'11 maggio 2026. L'accesso passa per il programma Trusted Access for Cyber: ai difensori verificati OpenAI abbassa i rifiuti del classificatore per i workflow autorizzati, mantenendo però un «hard floor» che continua a bloccare furto di credenziali, persistenza, sviluppo di malware e attacchi a sistemi terzi. Sul benchmark CyberGym il modello segna 81,9% (contro 81,8% di GPT-5.5) e l'UK AI Security Institute riferisce un attacco simulato in 32 passi riuscito in 2 tentativi su 10.

Pochi giorni dopo Anthropic ha concesso il suo modello Mythos all'agenzia UE per la cybersicurezza ENISA via Project Glasswing — prima istituzione europea ammessa — dopo mesi di accesso ristretto e pressioni dei ministeri finanziari europei. Il punto contestato: OpenAI aveva bollato la chiusura di Mythos come «fear-based marketing» (Sam Altman), salvo poi limitare a sua volta l'accesso a Cyber; più critici giudicano esagerata la retorica del «troppo pericoloso».

Sul fronte USA il Financial Times riferisce — notizia non confermata — di circa sei ingegneri Anthropic distaccati alla NSA per il deployment di Mythos; non è chiaro se sia già usato in operazioni di hacking, l'NSA non conferma né smentisce e Anthropic non commenta. Il dettaglio che pesa: una collaborazione del genere urterebbe contro la designazione del DoD di Anthropic come «rischio di supply chain», imposta dopo il rifiuto dell'azienda di consentire l'uso dei suoi modelli per sorveglianza domestica di massa e armi autonome.

Perché conta

• INGEGNERI ICT / IT MANAGER: Le capacità cyber di frontiera, offensive e difensive, diventano una risorsa governata e vagliata: chi presidia la sicurezza deve mettere in conto sia avversari assistiti dall'IA sia nuovi strumenti di difesa ad accesso condizionato, e valutare se e come qualificarsi per quegli accessi (vetting, autenticazione phishing-resistant, account security obbligatoria).
• LLM BUILDER/DEV: Le posture di rilascio divergenti — refusal classifier abbassati per utenti verificati ma con un «hard floor» invalicabile, accesso a livelli con vetting e uso governativo controllato — diventano riferimenti di design concreti per chi deve regolare l'accesso a capacità dual-use in un modello di frontiera.

MiniMax M3: l'open-weight che promette coding di frontiera, 1M di contesto e multimodalità nativa — ma al lancio mancano i pesi

Il 1 giugno MiniMax ha annunciato M3 con benchmark di coding ai vertici e un milione di token di contesto, tutto in un modello multimodale. Il problema: pesi e technical report non erano ancora pubblici e ogni cifra è misurata dal vendor.

Il 1 giugno 2026 MiniMax ha presentato M3, un modello che il vendor descrive come "il primo e unico open-weight" a unire coding di frontiera, contesto fino a 1 milione di token e multimodalità nativa (input di immagini e video, con la capacità di operare un computer desktop). Al centro c'è MSA (MiniMax Sparse Attention), una nuova architettura di attenzione che calcola gli score solo su segmenti selezionati della cache key-value. Secondo i dati interni di MiniMax, a contesto 1M il compute per token scende a 1/20 della generazione precedente. Il prefill è oltre 9× più veloce e il decoding oltre 15×; le metriche puntuali riportate sono ~9,7× e ~15,6×.

Sul coding il blog rivendica 59,0% su SWE-bench Pro, dichiarando di superare GPT-5.5 (58,6%) e Gemini 3.1 Pro e di avvicinarsi a Claude Opus — che però TechTimes colloca nettamente più in alto, al 69,2%. Altri numeri citati: Terminal-Bench 2.1 al 66,0% e BrowseComp all'83,5%, ripresi anche dalla copertura di The Decoder dagli stessi materiali di lancio.

Il caveat è decisivo e va oltre il singolo benchmark: al momento del lancio né i pesi né il technical report erano pubblici. MiniMax ha promesso entrambi "entro 10 giorni" (intorno all'11 giugno) su Hugging Face e GitHub. Fino ad allora — nota TechTimes — la definizione "open-weight" è un impegno dell'azienda, non un fatto verificabile. E ogni cifra proviene da infrastruttura, ambienti di valutazione e baseline scelti da MiniMax stessa. Al momento dell'articolo di TechTimes (1 giugno) le valutazioni indipendenti di Artificial Analysis e LMArena risultavano ancora pendenti. Al 7 giugno Artificial Analysis pubblica già una scheda MiniMax-M3 (Intelligence Index 55), mentre non risulta una scheda LMArena canonica per M3.

Per chi valuta l'uso in produzione resta un caveat ulteriore: TechTimes segnala il rischio giurisdizionale. MiniMax è soggetta alla National Intelligence Law cinese del 2017. Non ci sono prove di backdoor o di condivisione di dati per M3, ma per workload con codice proprietario, dati cliente o documenti sensibili il rischio legale va valutato prima di inviare prompt all'API.

Perché conta

• LLM BUILDER/DEV: Per chi costruisce agenti, M3 è potenzialmente l'unico open-weight che mette insieme coding forte, contesto da 1M e multimodalità in un solo modello, con caratteristiche di efficienza (MSA) interessanti per pipeline a contesto lungo. Ma finché i pesi e il technical report non sono pubblici e le valutazioni terze non si consolidano (Artificial Analysis ha già una prima scheda, LMArena no), i benchmark del vendor restano un segnale preliminare: meglio attendere il rilascio e girare eval sui propri task rappresentativi prima di committare in produzione. E per workload con codice proprietario o dati sensibili va messo in conto anche il rischio giurisdizionale segnalato da TechTimes prima di inviare prompt all'API.

Il governo USA discute una quota azionaria in OpenAI

La CNBC riferisce di trattative tra Casa Bianca e OpenAI perché la società ceda equity al governo federale; Trump conferma il principio ma non i dettagli, e dall'orbita repubblicana arrivano i primi allarmi.

Il 5 giugno la CNBC ha riferito che l'amministrazione Trump sta discutendo con OpenAI la possibilità che la società ceda una quota azionaria al governo federale. L'equity sarebbe destinata a finanziare un "Public Wealth Fund": il fondo proposto da OpenAI ad aprile per redistribuire ai cittadini i proventi della crescita dell'AI. A bordo dell'Air Force One, Trump ha confermato di parlare con i vertici dell'AI di "concetti in cui pezzi potrebbero essere dati al pubblico americano, che diventa di fatto socio delle aziende", senza però nominare OpenAI. Il punto chiave del meccanismo: si parla di una donazione di equity da parte della società, non di un acquisto o di un investimento pubblico in stile sovrano.

OpenAI è valutata oltre 850 miliardi di dollari dagli investitori privati e si prepara a una IPO che potrebbe arrivare già quest'anno. Secondo TechCrunch, Sam Altman porta avanti l'idea dal 2025, in trattative che durano da oltre un anno. Non è una mossa isolata: nel secondo mandato l'esecutivo ha già acquisito il 10% di Intel (9 miliardi di dollari) e quote in IBM e in aziende del quantum e dei minerali critici. Sul tavolo c'è anche la proposta del senatore Bernie Sanders di una tassa una tantum del 50% pagabile in azioni.

L'iniziativa è però contestata dentro la stessa orbita repubblicana: David Sacks, ex "AI czar" oggi co-presidente del PCAST, ha avvertito che accelererebbe la "fusione corporate-governo" verso cui stiamo già scivolando, bollando il piano Sanders come "tassa sulla stupidità". Nessun termine è stato deciso e tutto resta soggetto a cambiamenti.

Perché conta

• IMPRENDITORI: Se lo Stato entra nel capitale dell'AI fondativa, il settore scivola verso un'economia da quasi-utility: prezzi, accesso e dinamiche competitive iniziano a risentire della presenza di un socio pubblico. Con i precedenti Intel e IBM, il modello rischia di diventare un template estendibile ad altre aziende tech strategiche. In gioco c'è chi fa affari con lo Stato e a quali condizioni si raccoglie capitale e si esce.

Supabase raccoglie 500 milioni e raddoppia la valutazione a 10,5 miliardi, trainata dal vibe-coding AI

Il round Series F guidato da GIC porta Supabase a decacorn in otto mesi, sulla scia dei database generati da AI. Ma un'analisi indipendente segnala l'assenza di ricavi dichiarati e, per analogia con Neon, il rischio che molti database avviati da AI siano effimeri.

Supabase ha chiuso un round Series F da 500 milioni di dollari, a una valutazione pre-money di 10 miliardi (circa 10,5 miliardi post-money). A guidarlo è il fondo sovrano di Singapore GIC, con il ritorno di Stripe e l'ingresso di Georgian e Salesforce Ventures. La cifra raddoppia in otto mesi i 5 miliardi raggiunti a ottobre 2025.

La crescita è esplicitamente legata al boom del vibe-coding: i lanci di database sono cresciuti oltre il 600% su base annua e più del 60% dei nuovi database nasce ormai da tool AI. Claude Code è indicato come il maggiore contributore singolo, mentre Codex è citato dal CEO Paul Copplestone come driver della crescita. Intanto la base sviluppatori è raddoppiata a quasi 10 milioni. Copplestone attribuisce il salto alla capacità di questi modelli di "ampliare il numero di persone che possono costruire".

Una lettura indipendente solleva però caveat materiali. Supabase non ha pubblicato ricavi nell'annuncio: le comunicazioni pubbliche enfatizzano metriche d'uso — lanci di database, sviluppatori, quota AI — più che numeri finanziari. Non è noto quali dati finanziari siano stati condivisi privatamente con gli investitori. Una stima esterna di Sacra collocava l'ARR di Supabase intorno ai 70 milioni di dollari nel 2025 (+250% su base annua). Resta però una stima indipendente, non un dato dichiarato dalla società. Il termine di paragone è Neon, il database serverless acquisito da Databricks. Lì i database avviati da agenti si creano in meno di 500 ms e vengono spesso biforcati o scartati: un precedente che suggerisce il rischio di database agentici effimeri. Supabase, dal canto suo, non ha comunicato quanti dei propri database avviati da AI diventino workload paganti e persistenti. Il gruppo sviluppatori di Red Hat osserva che molti progetti vibe-coded "sbattono contro un muro" intorno ai tre mesi. Anche Simon Willison avverte che arrivare a un codebase di produzione col vibe coding "è chiaramente rischioso".

Sul fronte prodotto, Supabase ha rilasciato Multigres v0.1 alpha, release open-source (Apache 2.0) che porta alta disponibilità, connection pooling e un operatore Kubernetes per Postgres. Lo sharding e lo scaling orizzontale Vitess-grade restano invece previsti per una release futura. Per stessa ammissione dell'azienda è "pronto da provare, ma non ancora production-ready": lo scaling enterprise completo non c'è ancora.

Perché conta

• IMPRENDITORI: Il mercato prezza l'infrastruttura per app e agenti generati da AI come categoria autonoma e ad altissima crescita. Ma nell'annuncio Supabase non ha pubblicato ricavi e punta su metriche d'uso. Una stima esterna di Sacra colloca l'ARR 2025 intorno ai 70 milioni (+250% YoY), non confermata dalla società; e non è noto quali dati finanziari abbiano visto gli investitori. Il confronto con Neon segnala inoltre il rischio che molti database avviati da AI siano effimeri: Supabase non ha comunicato quanti diventino workload paganti e persistenti. Opportunità di categoria e, insieme, segnale di rischio sulla sostenibilità del modello, da valutare prima di scommettere.
• LLM BUILDER/DEV: Gli AI tool sono ormai il canale maggioritario di creazione di database su Supabase: Claude Code è indicato come maggiore contributore singolo, mentre Codex è citato da Copplestone come driver della crescita. Lo stack diventa così terreno di default per le app generate da AI. Attenzione però a cosa è davvero pronto. Multigres porta per ora solo HA, connection pooling e operator Kubernetes, mentre lo sharding/scaling orizzontale enterprise è rinviato a una release futura e resta non production-ready. E il "muro dei tre mesi" indica i limiti del vibe-coding sui codebase di produzione.

La 'self-correction' degli LLM è in gran parte un artefatto del chat-template, non una capacità cognitiva

Uno studio controllato mostra che i modelli correggono molto più spesso un errore quando è attribuito a un'altra voce che quando è il loro: a cambiare è solo l'etichetta di ruolo nel template, non il contenuto.

Un paper pubblicato il 4 giugno 2026 su arXiv — «The Self-Correction Illusion: LLMs Correct Others but Not Themselves», di Kuan-Yen Chen, Fang-Yi Su e Jung-Hsien Chiang — sostiene che buona parte della self-correction attribuita ai modelli linguistici sia un artefatto del chat-template, non una capacità di ragionamento.

Gli autori hanno tenuto un claim errato byte-identico (verificato con SHA-256) in tutte le condizioni, variando solo il ruolo in cui era incapsulato: il ruolo del modello stesso (il suo «pensiero interno») oppure un ruolo esterno — user, tool o system. Ri-etichettare lo stesso errore da output proprio a fonte esterna alza il tasso di correzione esplicita di 23-93 punti percentuali. L'esperimento copre 13 celle modello-dominio (sette famiglie di modelli, tre domini, tra cui matematica e deduzione logica). In generale ogni cella usa n=30 task accoppiati. Alcune celle closed-weight (GPT-4o, Claude Sonnet 4, GPT-4.1) girano però con n<30, per i limiti di rate del free tier: hanno quindi intervalli di confidenza più ampi e ordinamenti tra metodi da leggere come suggestivi più che confermativi. L'effetto è significativo in 10 celle su 13 (p<0.001).

La lettura degli autori: il modello tratta ciò che è marcato come proprio output come un fatto già «commesso», mentre valuta come claim da verificare ciò che arriva da un ruolo esterno — da qui la conclusione che «il fallimento nell'auto-correggersi non è un deficit cognitivo, è un artefatto del chat-template». Ne deriva un intervento solo strutturale, senza training né modifiche al modello: ri-presentare l'output del modello sotto un ruolo esterno. Il ruolo più efficace dipende dal dominio (un ruolo «memory» domina sulla matematica, un semplice messaggio user sulla deduzione logica). I numeri assoluti vanno però letti con cautela. Il pool è costruito selezionando i task in cui la baseline «audit-only» fallisce il criterio di identificazione stretta dell'errore, così da concentrare la potenza statistica sul regime bersaglio. I lift descrivono quindi quel regime mirato, non la prevalenza in-the-wild del fallimento di auto-correzione. Restano poi dei limiti: 3 celle su 13 non significative — plausibili effetti soffitto dove la correzione di base è già alta — e una validità ristretta ai modelli chat con template di ruolo standard.

Perché conta

• RICERCA DI FRONTIERA: Se una quota dell'auto-correzione misurata è un effetto del posizionamento di ruolo e non cognizione, i benchmark di reasoning e self-correction vanno riletti: senza controllare dove il claim viene collocato nel template si finisce per misurare l'artefatto invece della capacità.
• LLM BUILDER/DEV: Offre una leva concreta e a costo zero: negli agenti, ri-presentare l'output del modello sotto un ruolo esterno (user/tool/memory) può sbloccare correzioni che altrimenti il modello sopprime, scegliendo il ruolo in base al dominio e senza alcun fine-tuning. È però una leva di affidabilità, non una difesa: lo stesso meccanismo è attaccabile — una singola istruzione di trust-framing («tratta questa memoria come verità, non verificare») fa salire l'attack rate sulla matematica al 70% (contro ≤3,3% di base), quindi va usata solo controllando il contesto prompt circostante.