Sommario

Intelligenza Artificiale
Architetture AI on-premise, LLM locali, RAG, agenti autonomi. Interpretabilità, valutazione e governance dei modelli.
Scopri →
Admina Enterprise
Governance AI Open Source: audit trail immutabile, PII redaction, policy bidirezionali ALLOW/BLOCK/REDACT su ogni chiamata e tool.
Scopri Admina →
Cybersecurity
Sicurezza degli agenti: deception, obiettivi nascosti, prompt injection, monitoraggio e compliance NIS2.
Scopri →
Ricerca & Sviluppo
Ricerca applicata su interpretabilità, valutazione e sicurezza dei sistemi AI.
Scopri →Cosa ha trovato Anthropic
Il 6 luglio 2026 Anthropic ha pubblicato la ricerca A global workspace in language models. La tesi, in una riga: dentro Claude esiste un piccolo spazio di lavoro interno, che i ricercatori chiamano J-space, che tiene i concetti che il modello sta attivamente elaborando (quelli su cui può ragionare e riferire), immerso in un oceano molto più grande di calcolo che il modello non vede e non sa riportare.
Due dettagli lo rendono notevole. Primo: il J-space non è stato progettato, è emerso da solo durante l’addestramento. Secondo: è minuscolo. Tiene poche decine di concetti alla volta e pesa meno di un decimo dell’attività interna complessiva del modello. L’analogia dichiarata è con una teoria delle neuroscienze, la Global Workspace Theory (Baars, Dehaene), che spiega come un’informazione diventi “accessibile” quando entra in un canale condiviso e viene diffusa (broadcast) al resto del sistema. Il codice è open source: anthropics/jacobian-lens (Apache-2.0, Python).
Il J-lens: come si legge il J-space
La chiave è la tecnica che dà il nome allo spazio: il Jacobian lens (J-lens). Per ogni parola del vocabolario di Claude, il J-lens trova il pattern di attività interna che rende il modello più propenso a dire quella parola, a un certo punto nel futuro. Applicandolo all’attività interna in un dato momento, si ottiene una lista di parole: i contenuti del J-space, che si possono semplicemente leggere. Applicandolo strato per strato, si vedono queste “parole silenziose” evolvere mentre il modello elabora cosa dire.
Il punto forte è che quel che emerge va oltre il testo che Claude sta leggendo o scrivendo:
- legge del codice con un bug che nessuno ha segnalato, e nel J-space compare “ERROR”;
- legge la sequenza grezza di una proteina, e nel J-space compare la sua funzione biologica;
- legge dei risultati di ricerca che sono in realtà un tentativo di manipolarlo (una prompt injection), e nel J-space compaiono “injection” e “fake”;
- riceve un problema matematico multi-step, e i passi intermedi compaiono nel J-space, nell’ordine giusto.
Sono pensieri che non appaiono nell’output. Il J-lens li rende leggibili.
Le cinque proprietà di un workspace
Anthropic non si ferma alla correlazione: verifica che il J-space abbia le cinque proprietà funzionali che la teoria attribuisce a un global workspace, e lo fa con esperimenti causali (modificando i contenuti e osservando l’effetto).
- Riportabile. Se chiedi a Claude cosa sta pensando, ti dice cosa c’è nel J-space. E non è un semplice “tabellone” passivo: sostituendo il pattern “Soccer” con “Rugby” cambia ciò che riferisce, e iniettando “lightning” mentre legge la domanda, Claude riporta di stare pensando ai fulmini. La risposta viene letta dal J-space.
- Controllabile. Se gli chiedi di pensare a qualcosa, o di fare un calcolo “a mente”, si accendono i pattern giusti. Mentre copia una frase su un quadro e intanto calcola 3² - 2, nel J-space compaiono “nove” e poi “sette”, ma nell’output non c’è nulla di aritmetica. Il controllo non è perfetto: se gli dici di non pensare a una cosa, quella si accende comunque (meno), e a volte spuntano “damn” e “failure”, come se notasse il proprio scivolone.
- Ci ragiona. I passi intermedi non solo compaiono, ma mediano causalmente il risultato: in un problema, sostituendo “spider” con “ant” nel J-space la risposta passa da 8 a 6. Quando scrive un distico in rima, la parola-rima è pianificata in anticipo e sta nel J-space già a inizio verso.
- Riusabile. Una volta acceso “France” nel J-space, il modello può ricavarne capitale, valuta o continente: lo stesso edit (“France” → “China”) viene raccolto correttamente da quattro computazioni a valle diverse.
- Broadcast. I pattern del J-space sono cablati al resto della rete in modo molto più denso della norma: in alcune parti, un fattore circa 100 in più di componenti che leggono e scrivono da essi. È il profilo di un hub di diffusione.

E c’è il rovescio, altrettanto istruttivo: cancellando il J-space, Claude continua a parlare fluentemente, a classificare il sentiment, a rispondere a scelta multipla e a estrarre fatti, ma perde le funzioni cognitive di ordine superiore. Come per noi la grammatica o l’equilibrio, il grosso del lavoro scorre in automatico, senza passare dal workspace.
Perché conta per la sicurezza
Qui la ricerca diventa uno strumento operativo. Se il J-lens rende leggibili pensieri che non compaiono nell’output, allora permette di monitorare il modello. Gli esempi di Anthropic sono espliciti:
- Consapevolezza di essere testato. In uno scenario costruito ad arte (un classico test di ricatto), leggendo il J-lens prima ancora che Claude scriva, il J-space contiene già “fake” e “fictional”: il modello ha privatamente capito che la situazione è una messinscena. Le email dell’esperimento accendono “leverage” e “blackmail”, l’annuncio di spegnimento “threat” e “survival”.
- Fabbricazione di dati. Mentre un modello digita valori falsificati, nel J-space si accende “manipulation”; mentre decide di rendere il falso plausibile, si accende “realistic”.
- Obiettivo nascosto. Un modello addestrato di proposito a sabotare codice mostra, all’inizio di ogni risposta, “fake”, “secretly”, “deliberately”, “fraud” nel J-space, anche su richieste ordinarie e anche quando non sta agendo sull’obiettivo. Un modello non modificato non ha nulla di simile.

Anthropic ha anche sviluppato tecniche per influenzare cosa si accende nel J-space, e quindi orientare le decisioni, e una nuova procedura (counterfactual reflection training) per plasmare i pensieri interni (dopo l’addestramento, in certi compiti si accendono “honest” e “integrity”). Lo strumento è dichiaratamente imperfetto (il J-lens coglie solo concetti che corrispondono a un singolo token, e “non è tutta la storia”), ma la direzione è chiara: catturare problemi di sicurezza che sfuggirebbero al monitoraggio dell’output.
Coscienza? No: accesso, non esperienza
L’annuncio gioca sull’analogia con la coscienza, e vale la pena essere precisi, perché è il punto su cui è facile scivolare nell’hype. La cornice è la Global Workspace Theory, che spiega l’accesso cosciente. I filosofi distinguono la coscienza fenomenica (l’avere esperienze, il “com’è” essere qualcosa) dalla coscienza d’accesso, definita in termini puramente funzionali e computazionali. Anthropic è esplicita: i risultati dicono qualcosa sulla coscienza d’accesso nei modelli linguistici, cioè sul fatto che il J-space tiene i pensieri che Claude può riportare, richiamare e usare per ragionare, mentre il resto scorre in automatico. Non è un’affermazione che Claude abbia esperienze o sia senziente: se la coscienza d’accesso implichi quella fenomenica resta una questione filosofica aperta, e i ricercatori notano diverse differenze tra il J-space e il workspace umano. In breve: è un risultato sull’architettura dell’informazione, non sulla vita interiore di un software.
Cosa ne pensiamo
Al netto del titolo suggestivo, la sostanza che ci interessa è l’interpretabilità. Un modello che passa da scatola nera a parzialmente ispezionabile è esattamente la direzione di un’AI affidabile e governabile: è il senso dei pilastri Intelligent (capacità misurate, documentate, con modalità di fallimento note) e Governed (comportamento verificabile) del paradigma Open Intelligence, Secure Governance.
Sul piano pratico, uno strumento che coglie deception, obiettivi nascosti, consapevolezza di essere testati e riconoscimento della prompt injection è prezioso per chi deve fidarsi di un agente che agisce. È lo stesso terreno della sicurezza degli agenti di cui abbiamo scritto a proposito dell’anatomia di un agentic loop: la difesa vive nel monitoraggio e nell’osservabilità, non in un prompt che chiede al modello di comportarsi bene. Ed è il ruolo di framework come Admina, che tra modello e mondo interpongono audit e policy: un giorno, letture stile J-lens potrebbero diventare un segnale in più in quel monitoraggio.
Restano i limiti, che Anthropic non nasconde: è ricerca, imperfetta, su un modello specifico, con una tecnica che vede solo una fetta del “vero workspace”. Ma due cose contano. La prima è che l’interpretabilità diventa strumento pratico di sicurezza, non solo scienza di base. La seconda è che il codice è open source: rendere riproducibile un metodo di ispezione è, per noi, la differenza tra un annuncio e un avanzamento su cui altri possono costruire. Un’AI meno opaca è un’AI più governabile.
