GPT-OSS com’è il modello “open-weight” (che non vuol dire affatto open source) di OpenAI

Il 5 agosto 2025 OpenAI ha pubblicato due versioni di GPT-OSS, descritto sul blog di OpenAI come capaci di fornire prestazioni realmente competitive rispetto alla concorrenza, a costi contenuti, e con risultati quasi allineati con quelli di alcuni dei modelli precedenti.

“Disponibili con la flessibile licenza Apache 2.0,” si legge testualmente sul blog “questi modelli superano i modelli aperti di dimensioni simili nelle attività di ragionamento, dimostrano forti capacità di utilizzo degli strumenti e sono ottimizzati per un'implementazione efficiente su hardware consumer.”

Fin qui, il marketing di OpenAi e da qui, invece, un’analisi più dettagliata di cosa è veramente GPT-OSS.

Open source oppure open weight?

Nonostante la frase appena riportata, quella secondo la quale i modelli sarebbero “Available under the flexible Apache 2.0 license…”, GPT-OSS non è affatto, come si potrebbe essere portati a credere, open source ma soltanto “open weight” che è una cosa totalmente differente.

OpeanAI, infatti, ha applicato la licenza Apache 2.0 di GPT-OSS, soltanto ai pesi e non a tutto il resto. In altri termini, OpenAI ha deciso di rendere noti e riutilizzabili i parametri che definiscono il modo di reagire di una rete neurale a valle dell’addestramento (i pesi, appunto), ma non ha fatto lo stesso con le componenti software utilizzate, ad esempio, per l’addestramento.

La scelta è del tutto legittima e comprensibile dal punto di vista commerciale, ma non consente di forzare il senso delle parole lasciando intendere che gli utenti abbiano accesso a tutto quello che fa parte del modello. Dunque, sarebbe stato corretto scrivere “With the weights available under the flexible Apache 2.0 license, these models…” — con i pesi disponibili secondo la flessibile licenza Apache 2.0… — tre parole che cambiano radicalmente la forma della frase e la sostanza del suo significato.

Cosa vuol dire che GPT-OSS non è open source

GPT-OSS nella sua globalità non è “open source” né tantomeno “free” nel significato giuridico della parola definito dalla Free Software Foundation, cioè totalmente libero anche nelle sue componenti software. Piuttosto, quanto al software, GPT-OSS è un modello “proprietario” nel senso che OpenAI mantiene il controllo e il segreto su come è stato costruito e su come funziona la sua gestione.

Un piattaforma AI, infatti, è composta da molte parti, come, in modo molto rozzo ed estremamente (e anche troppo) semplificato: dati grezzi poi organizzati in un dataset, software usato per creare e gestire il dataset sulla base del quale far funzionare il modello e, appunto, i “weight” —“pesi”. Solo questi ultimi, come detto, sono rilasciati con licenza Apache 2.0 che consente di “riprodurre, preparare opere derivate, mostrare pubblicamente, eseguire pubblicamente, concedere in sublicenza e distribuire l'opera e tali opere derivate in formato sorgente o oggetto”.

Il fatto che la “flessibilità” riguardi il solo riutilizzo dei pesi è fondamentale perché se solo questi sono riutilizzabili e modificabili, allora è possibile per chiunque “personalizzare”, ma solo parzialmente, il modo in cui funziona il modello. Il che pone un serio problema che potrebbe invitare a pensarci due volte prima di creare modelli “accuratizzati” di GPT-OSS e usarli per offrire prodotti e servizi.

Open weight, safety check e jailbreak

Oltre a creare versioni (parzialmente) specializzate di GPT-OSS, lavorare sui pesi consentirebbe, in teoria, di eliminare o almeno ridurre l’efficienza dei controlli di sicurezza incorporati nel modello e che dovrebbero impedire la generazione di risposte che i progettisti hanno ritenuto non accettabili —peraltro secondo standard soggettivi e non necessariamente imposti dalla legge.

L’introduzione alla model card di GPT-OSS e poi quest’ultima con maggior dettaglio evidenziano una particolare attenzione nel filtrare, per esempio, dati relativi agli ambiti chimico, biologico, radiologico e nucleare. Questo, per evitare che pur eseguendo un’accuratizzazione “maligna” il modello raggiunga un’alta capacità di fornire risposte pericolose in questi settori.

Da questo sembrerebbero dedursi due conseguenze ipotetiche e una certa.

La prima è che sembrerebbe in ogni caso (estremamente difficile ma) possibile accuratizzare GPT-OSS per scopi illeciti (salvo che non siano attuati, per esempio, sistemi che “rompano” il modello in caso di forzature indesiderate dell’accuratizzazione).

La seconda, basata sul presupposto precedente, è che non viene specificato cosa si potrebbe fare di male con questi modelli illeciti meno efficienti e capaci, ma pur sempre funzionanti nel “lato oscuro”.

Quali che siano le risposte a questi due interrogativi, in assenza di riscontri sperimentali qualsiasi affermazione sarebbe puramente speculativa; al contrario è però certo che, per gli stessi motivi, non tutte le accuratizzazioni di GPT-OSS risulterebbero possibili. Quindi la qualificazione giuridica del modello richiederebbe di essere ulteriormente precisata, chiarendo che i pesi possono essere modificati negli stretti limiti fissati autonomamente da OpenAI e che, dunque, il modello è “partially open weight” o che la licenza Apache 2.0 non è pienamente applicabile.

Così fan (quasi) tutti

In conclusione, è chiaro (e per certi versi scontato) che anche GPT-OSS, come anche le sue versioni proprietarie e quelle di (quasi) tutta la concorrenza, consente un utilizzo molto ampio ma in ogni caso ristretto dalle scelte progettuali di chi lo ha realizzato, il che non è accettabile.

Poco importa che questo venga fatto per evitare azioni legali, per limitare la diffusione di informazioni sgradite agli esecutivi (come nel caso di DeepSeek), o per evitare di essere sommersi dalle immancabili ondate di social-sdegno che si sollevano ogni volta che qualcuno da’ la colpa allo strumento (e non a chi se ne serve) perché è stato utilizzato in modo illegale o disturbante.

Limitare —censurare— preventivamente l’uso di un LLM perché qualcuno potrebbe abusarne per commettere atti illeciti significa trattare tutti gli utenti come potenziali soggetti pericolosi che, dunque, devono essere controllati a prescindere, e per di più da un soggetto privato secondo le sue proprie regole.

Giustamente, questo approccio ha suscitato polemiche e proteste quando Apple e la Commissione Europea hanno iniziato a parlare di client-side scanning (la perquisizione preventiva e automatica di tutti i device degli utenti alla ricerca di contenuti illegali prima che possano essere inviati).

Se è così, non si capisce, dunque, perché ad OpenAI e a tutte le altre AI company dovrebbe essere consentito di fare quello che ad altri chiediamo di vietare.

Dall’altro lato, se è fondata la preoccupazione che un modello senza controlli di sicurezza sia troppo pericoloso, allora dovrebbero essere gli Stati ad assumersi la responsabilità di definire il perimetro di questi controlli, invece di delegarla a soggetti privati, le cui agende non coincidono, necessariamente, con la tutela dell’interesse pubblico (di cittadini non necessariamente statunitensi).