Come preferisci leggerla?
Stessa edizione, spiegata senza gergo — e altrettanto fedele. Non è un riassunto sbrigativo: un controllo indipendente verifica che la versione divulgativa resti fedele all'originale, senza perdere né alterare nulla.
Apple rifà Siri al WWDC 2026: il motore è Google Gemini, e iOS 27 apre a Claude e ChatGPT
Apple presenta al WWDC un Siri completamente conversazionale, con app standalone. Ma il fatto strategico è altrove: dopo i ritardi sul proprio modello, esternalizza l'intelligenza a Google e apre la piattaforma agli assistenti rivali. Il nodo per l'Italia: Siri AI non arriva subito su iPhone e iPad nell'UE.
Al WWDC 2026 Apple ha mostrato la revisione più profonda di Siri in 15 anni: da assistente a comandi vocali a vero compagno conversazionale. Arriva una app Siri standalone su iPhone, iPad e Mac, che funziona come chatbot accanto alla presenza di sistema: gestisce azioni multi-step tra le app, può rispondere su ciò che è mostrato sullo schermo e include una funzione "Write with Siri" per comporre email e messaggi. L'assistente entra anche nella Dynamic Island e arriva su macOS via Spotlight. La beta è attesa "più avanti quest'anno" (TechCrunch).
Il punto strategico, però, non è "un Siri migliore". Secondo la stampa indipendente, il motore del nuovo Siri poggia su Google Gemini: un modello custom da circa 1,2 trilioni di parametri. La licenza è stimata intorno a 1 miliardo di dollari l'anno (The Next Web).
Su dove girino questi modelli, Apple ha dato dettagli ufficiali. La terza generazione di Apple Foundation Models (AFM 3) si articola su più livelli: modelli on-device per le richieste locali e modelli server sulla Private Cloud Compute per quelle più complesse. Il modello più capace, AFM 3 Cloud Pro, è stato realizzato in collaborazione con Google e gira su GPU NVIDIA dentro Google Cloud: è la prima volta che le garanzie di privacy della Private Cloud Compute si estendono a data center di terze parti (Apple Machine Learning; Apple Security). Apple precisa che i dati restano protetti dalle stesse proprietà della Private Cloud Compute indipendentemente da dove è ospitata l'infrastruttura e che mantiene il pieno controllo del software PCC. Le letture di The Next Web (privacy a tre livelli, con i ragionamenti più complessi instradati al cloud) e di MacRumors (modelli sviluppati con Google, adattati per on-device e Private Cloud Compute, con Google tenuto fuori da dati e addestramento) non si contraddicono: descrivono parti diverse dello stesso schema.
Restano due caveat. Primo: le cifre forti — parametri e costo della licenza — sono numeri di stampa, non ufficializzati da Apple. Secondo, decisivo per chi legge in Italia: Siri AI non sarà inizialmente disponibile nell'UE su iPhone e iPad. Apple attribuisce il ritardo all'interpretazione del DMA da parte dei regolatori europei, che non hanno accettato le sue proposte. Gli utenti UE potranno comunque usarla su Mac, Apple Watch e Vision Pro (Apple Newsroom). Sul fronte ecosistema, le Extensions di iOS 27 dovrebbero permettere di collegare e scegliere servizi AI di terze parti — come Claude, Gemini o ChatGPT — per alcune funzioni di Apple Intelligence, incluse Siri, Writing Tools e Image Playground (MacRumors). Apple non ha però confermato la possibilità di impostare un assistente terzo come predefinito al posto di Siri. L'accordo Gemini era già anticipato dalla stampa da gennaio (TechCrunch).
Perché conta
- IMPRENDITORI: Apple sposta un control point dell'AI verso un concorrente diretto: l'intelligenza core di Siri diventa una dipendenza contrattuale da Google, con una rendita ricorrente stimata in ~1 mld/anno. Aprire la piattaforma ai servizi AI di terze parti con le Extensions di iOS 27 — per funzioni di Apple Intelligence come Siri, Writing Tools e Image Playground — incrina il giardino chiuso e rende l'ecosistema iPhone un punto di distribuzione più contendibile. Intanto lo scontro col DMA mostra quanto l'attrito regolatorio europeo possa ridisegnare il rollout.
- UTENTI FINALI: Cambia dove vengono elaborate le richieste — on-device o sulla Private Cloud Compute di Apple — con un accordo che, secondo MacRumors, tiene Google fuori dai dati e dall'addestramento sulle query. Per chi è in Italia c'è però un limite concreto: su iPhone e iPad nell'UE Siri AI non arriva subito (resta disponibile su Mac, Apple Watch e Vision Pro). In cambio, dove disponibile, le Extensions di iOS 27 dovrebbero permettere di collegare servizi AI di terze parti — Claude, Gemini o ChatGPT — per alcune funzioni di Apple Intelligence, Siri inclusa, senza però sostituire del tutto l'assistente predefinito.
Attacco supply chain 'Miasma': 32 pacchetti npm di Red Hat trojanizzati abusando l'OIDC della CI/CD
Un attaccante ha pubblicato versioni malevole di 32 pacchetti @redhat-cloud-services con provenance autentica, sfruttando il workflow di publishing OIDC di GitHub Actions per scavalcare la code review.
Il 1 giugno 2026 un attaccante ha pubblicato versioni trojanizzate di 32 pacchetti nello scope npm @redhat-cloud-services, colpendo nodi come frontend-components, rbac-client e chrome. Le tracce dell'operazione risalgono al 29 maggio, con un primo repository/test recante la stringa "Miasma"; il 2 giugno Microsoft ha pubblicato la propria analisi. Le fonti divergono sul conteggio delle versioni: Microsoft parla di "oltre 90 versioni", SecurityWeek di 96. Il meccanismo, però, è chiaro: ogni pacchetto montava un hook preinstall che, durante npm install, eseguiva un dropper offuscato index.js. Microsoft ne stima la dimensione in circa 4,29 MB, mentre analisi indipendenti distinguono più varianti del payload, da ~4,05 a ~4,29 MB. Il payload sottraeva token GitHub e npm, credenziali AWS, Azure e GCP, materiale di HashiCorp Vault e Kubernetes, chiavi SSH; includeva inoltre un comando distruttivo rm -rf ~ innescato dall'interazione con un honeytoken-esca.
Il punto critico è la via d'ingresso. Secondo l'analisi di Wiz, un account GitHub di un dipendente Red Hat compromesso ha spinto commit orfani sui repository RedHatInsights in due ondate (10:53 e 13:44–13:46 UTC); il workflow iniettato ha richiesto token OIDC con permesso id-token: write e pubblicato i pacchetti con attestazioni di provenance SLSA valide. Firma e provenance, quindi, non hanno protetto nulla: erano autentiche perché generate dalla pipeline a monte compromessa. Il malware è una variante di Mini Shai-Hulud (codice open-sourced da TeamPCP) ribrandizzata "Miasma: The Spreading Blight", con payload cifrato in modo unico a ogni infezione — gli IOC basati su hash sono inefficaci. SecurityWeek riporta 210 repository con credenziali già rubate. Red Hat ha rimosso le versioni malevole e ripubblicato i 32 pacchetti puliti.
Va però dimensionato l'impatto a valle. Nel bollettino RHSB-2026-006 (aggiornato il 3 giugno 2026) Red Hat precisa alcuni punti chiave: i pacchetti sono librerie frontend JavaScript usate nell'interfaccia web della Hybrid Cloud Console (console.redhat.com); nessuna release della console è stata pubblicata nella finestra di compromissione; il processo di pubblicazione rimuove gli script install-time prima del deployment su console.redhat.com; sulla base dei risultati correnti, non sono richieste azioni ai clienti. Il rischio concreto ricade quindi su chi ha installato direttamente i pacchetti dallo scope npm, non sugli utenti della console gestita.
Perché conta
- INGEGNERI ICT / IT MANAGER: Dimostra che firma e provenance SLSA non sostituiscono la sicurezza della pipeline: se la CI/CD a monte è compromessa, gli artefatti malevoli arrivano con attestazioni perfettamente valide. Azione concreta: isolare/disabilitare i preinstall hook in installazione, restringere i trust OIDC e i permessi
id-token: write, e non fidarsi degli IOC basati su hash quando il payload è cifrato per-infezione.
Check Point, bypass dell'autenticazione critico (CVE-2026-50751) sfruttato in-the-wild: hotfix urgente per le VPN su IKEv1
Un difetto critico (CVSS 9.3) nelle VPN Remote Access e Mobile Access di Check Point permette di scavalcare l'autenticazione sulle configurazioni che usano il protocollo IKEv1 deprecato. È già sfruttato attivamente, con un caso ricondotto al ransomware Qilin.
Check Point ha rilasciato un hotfix urgente per CVE-2026-50751, una vulnerabilità critica (CVSS 9.3) di bypass dell'autenticazione che colpisce le configurazioni Remote Access VPN e Mobile Access. Il difetto è un errore di logica nel processo di validazione dei certificati del protocollo IKEv1, ormai deprecato. La conseguenza è netta: un attaccante non autenticato può stabilire una sessione VPN senza disporre di una password valida (Check Point).
Non è una falla teorica. Secondo l'advisory, lo sfruttamento è attivo ma circoscritto a poche decine di organizzazioni nel mondo. Il dettaglio operativamente più scomodo è la cronologia: gli attacchi sono iniziati il 7 maggio e si sono intensificati a inizio giugno, mentre la patch è arrivata solo l'8 giugno. Significa circa un mese di vantaggio per gli attaccanti prima che esistesse una correzione (The Register).
In un caso confermato, l'attività post-compromissione è stata associata a un affiliato del ransomware Qilin. Check Point valuta con confidenza media che l'attore sia motivato finanziariamente e usi Qilin, con esfiltrazione via Rclone (BleepingComputer).
Il punto chiave è che si tratta di configurazioni legacy ancora in produzione: il bug richiede IKEv1 attivo, l'accettazione dei client di accesso remoto datati e l'assenza di certificato macchina obbligatorio. Oltre all'hotfix (sk185033/sk185035, con IoC), Check Point consiglia tre contromisure: passare ad autenticazione solo IKEv2, rendere obbligatorio il certificato macchina e abilitare IPS. È stata corretta anche CVE-2026-50752 (CVSS 7.4, man-in-the-middle su VPN site-to-site IKEv1), non risultata sfruttata.
Perché conta
- INGEGNERI ICT / IT MANAGER: È una priorità operativa immediata: censire i gateway Check Point esposti, verificare se IKEv1 e i client legacy sono ancora attivi, applicare l'hotfix e migrare ad autenticazione solo IKEv2 con certificato macchina obbligatorio. Dato il mese di sfruttamento precedente alla patch, l'aggiornamento non basta. Vanno cercati gli IoC pubblicati e ogni accesso VPN anomalo va trattato come possibile compromissione iniziale, soprattutto per il rischio ransomware Qilin.
NVIDIA e SK hynix firmano una partnership pluriennale sulla memoria per le AI factory
Il 7 giugno 2026 i due gruppi hanno formalizzato in un accordo pluriennale una collaborazione che già durava da anni. L'intesa la estende al co-design della memoria di nuova generazione e all'uso dell'AI nella progettazione e produzione dei chip.
NVIDIA e SK hynix hanno annunciato il 7 giugno 2026 una partnership tecnologica pluriennale per la memoria di nuova generazione destinata alle AI factory e per accelerare la progettazione e la manifattura dei semiconduttori. L'elemento da pesare: SK hynix è già il principale fornitore di memoria di NVIDIA e la sua fonte chiave di HBM per gli acceleratori AI. L'accordo non crea un rapporto nuovo, ma trasforma una fornitura consolidata in un co-design strutturato.
La nota di SK hynix dettaglia i due pilastri. Primo: sviluppare memoria allineata alla roadmap NVIDIA — dai supercomputer Vera Rubin alle CPU Vera, dai PC RTX Spark ai computer robotici Jetson Thor. Il perimetro copre AI infrastructure, personal AI e physical AI. I comunicati ufficiali parlano genericamente di memoria avanzata di nuova generazione; secondo Tom's Hardware la cooperazione iniziale riguarda HBM4, LPDDR5X e 3D NAND. Secondo pilastro: applicare l'AI alla fabbrica stessa. Le librerie CUDA-X e PhysicsNeMo accelerano simulazioni, TCAD e litografia computazionale; Omniverse, OpenUSD e cuOpt alimentano i digital twin verso fab autonome.
Non sono stati comunicati volumi né valori economici. Il caveat materiale arriva dalla copertura indipendente. Jensen Huang ha avvertito che la carenza di memoria durerà anni, con la domanda che eccede l'offerta su memoria, wafer e packaging. Il chairman di SK Group Chey Tae-won punta a raddoppiare la capacità di wafer in cinque anni, ma la HBM 2026 è già esaurita.
Perché conta
- IMPRENDITORI: Segnala che margini, disponibilità di GPU e time-to-market dei prodotti AI dipenderanno sempre più da contratti di capacità e dalla supply chain della memoria, non solo dalla qualità del modello. Con la HBM 2026 già esaurita e una carenza che secondo i protagonisti potrebbe durare anni, l'accesso alla capacità diventa un vincolo strategico da presidiare oggi, non a valle.
Suno raccoglie oltre 400 milioni di dollari a una valutazione di 5,4 miliardi: la musica generata si avvicina al mercato di massa, con le cause sul copyright ancora aperte
Il generatore musicale AI più diffuso più che raddoppia il proprio valore in sette mesi. Ma il modello 'licenziato' con l'industria è ancora in test e i contenziosi con le major restano irrisolti.
Suno, piattaforma di generazione musicale basata su AI con sede a Cambridge, ha chiuso un round di Serie D da oltre 400 milioni di dollari guidato da Bond Capital, portando la valutazione a 5,4 miliardi di dollari (TechCrunch, annuncio ufficiale di Suno). La cifra più che raddoppia i 2,45 miliardi raggiunti appena sette mesi prima con la Serie C da 250 milioni. Secondo il CEO Mikey Shulman, a febbraio l'azienda aveva superato i 2 milioni di abbonati paganti ed era "on pace" per 300 milioni di dollari di ricavi annui (Music Business Worldwide); sulla piattaforma vengono generate oltre 7 milioni di canzoni al giorno (Fortune).
Il nodo resta legale. Suno è citata in giudizio da Universal Music Group, Sony e dalla tedesca GEMA (oltre alla danese Koda): a maggio 2026 UMG e Sony hanno chiesto al tribunale di aggiungere oltre 61.000 brani protetti alla causa originaria, che ne contestava circa 560, sostenendo che il modello sia stato addestrato su milioni di tracce coperte da diritto d'autore. La difesa di Suno poggia sul "fair use". L'unico accordo siglato è quello con Warner Music, ma il primo modello "sviluppato in partnership con l'industria musicale" è ancora in fase di test e arriverà solo "nei prossimi mesi". Resta il dubbio di fondo sollevato da Fortune: l'audience della creazione musicale è davvero abbastanza ampia da sostenere una valutazione da 5,4 miliardi, e diventerà un'abitudine quotidiana come Spotify o ChatGPT?
Perché conta
- UTENTI FINALI: Suno rende la creazione musicale uno strumento sempre più mainstream e accessibile a chiunque, ma con un caveat decisivo: il modello pienamente licenziato con le major non è ancora disponibile e i brani che si generano oggi poggiano su materiale conteso in tribunale, in una zona grigia del diritto d'autore non ancora risolta. Cosa si possa usare e pubblicare liberamente dipenderà dall'esito delle cause e dal lancio del modello concordato con l'industria.
Il Pentagono prova OpenAI, Google e xAI per sostituire Claude; Anthropic resiste in tribunale
Il Dipartimento della Difesa USA testa modelli rivali dopo aver bollato Anthropic come 'rischio di supply chain'. Il motivo: il rifiuto dell'azienda di togliere i paletti su sorveglianza di massa e armi autonome. Il caso è ora in causa, con esiti opposti tra San Francisco e Washington.
Il Dipartimento della Difesa statunitense sta valutando i modelli di OpenAI, Google e xAI (Grok) per rimpiazzare Claude di Anthropic sulle reti classificate. Su quelle reti Claude era il fornitore AI primario, profondamente integrato nel Maven Smart System. La prova è stata affidata a 25 "power users" del dipartimento ed è partita ai primi di marzo 2026. L'avvio è arrivato circa tre giorni dopo che il segretario alla Difesa Pete Hegseth aveva designato Anthropic come "rischio di supply chain". La notizia, originata da un report Bloomberg del 21 maggio, è tornata in evidenza in questi giorni.
La frattura nasce dal rifiuto di Anthropic di rimuovere due linee rosse contrattuali: niente sorveglianza di massa degli americani e niente armi letali pienamente autonome senza controllo umano. Il nodo è il come: OpenAI sostiene di avere inserito red lines esplicite e un safety stack, con un linguaggio contrario alla sorveglianza domestica. Tuttavia il testo pubblicato mantiene lo standard "all lawful purposes". Quel testo, secondo l'esperta di appalti pubblici Jessica Tillipman, non dà a OpenAI un diritto autonomo in stile Anthropic per vietare usi che il governo ritenga altrimenti legali. Del resto molte pratiche di sorveglianza restano legali finché non vengono contestate in giudizio.
Anthropic ha portato il caso in tribunale a San Francisco e a Washington, sostenendo che la designazione le costerebbe miliardi di ricavi. Gli esiti finora divergono. A San Francisco un giudice federale ha bloccato la designazione come probabile ritorsione. Nel D.C. Circuit, invece, l'8 aprile la corte ha negato la richiesta di Anthropic di sospendere la designazione in pendenza del ricorso. Alla successiva udienza del 19 maggio il panel è apparso diviso e non ha indicato quando avrebbe deciso sul merito, con la giudice Karen LeCraft Henderson che ha definito la mossa uno "spectacular overreach" (un clamoroso eccesso) del dipartimento e la collega Neomi Rao più cauta nel sindacare il giudizio del segretario.
Perché conta
- IMPRENDITORI: I vincoli etici di un fornitore AI possono trasformarsi in rischio contrattuale concreto. Chi sceglie un vendor deve valutare non solo capacità e prezzo, ma anche le clausole sull'uso ammesso e la solidità del rapporto col cliente principale: un singolo committente che 'delista' il fornitore può azzerarne ricavi e continuità. La 'safety' diventa così una variabile di compliance e di lock-in da mettere a budget.