Lazarus 4 è una nuova versione del famoso IDE open source, compatibile con Delphi e progettata per il compilatore FreePascal. Sebbene l’ambiente di sviluppo sia strettamente correlato al Pascal, viene sviluppato separatamente dal linguaggio stesso. Lazarus 4 è basato su FreePascal 3.2.2 , rilasciato nel 2021, e sostituisce la versione precedente dell’IDE, Lazarus 3.8.

Nonostante sia stato scritto pensando per lo supporto multipiattaforma, Lazarus riesce a mantenere un comportamento simile a quello di Windows anche su Mac e, sorprendentemente, funziona. Dopo il rilascio di Lazarus 3.0 nel dicembre 2023. Corregge numerosi bug, aggiunge nuove funzionalità e rielabora diversi componenti. Una delle innovazioni più degne di nota è il sistema di docking dell’interfaccia integrato e l’editor di moduli. Ora non è più necessario ricostruire l’IDE per abilitare queste funzionalità: è sufficiente attivarle al primo avvio.

L’ambiente Lazarus supporta le versioni a 32 e 64 bit di Windows, Linux e FreeBSD. Su macOS, le build sono disponibili per PowerPC, x86 e Arm64. Per lo sviluppo di Cocoa è richiesto almeno macOS 12, ma sono supportati OS X dalla versione 10.5 alla 10.14 quando si utilizzano le API Carbon legacy. Esiste anche un’opzione per Raspberry Pi 4 e successivi. L’IDE funziona con diverse librerie GUI: Win32, Gtk2, parzialmente Gtk3, nonché le versioni Qt 4, 5 e 6.

Quando si parla di critiche a FreePascal, non è il linguaggio in sé a essere menzionato più spesso, ma la sua documentazione. Sebbene ce ne sia parecchio in giro (otto guide ufficiali FPC, un’ampia documentazione di Lazarus e perfino un tutorial a pagamento), può risultare difficoltoso per i principianti.

Un nuovo libro gratuito, FreePascal From Square One, di Jeff Dantermann, potrebbe rivelarsi utile. Ha rivisto le sue precedenti guide Turbo Pascal. Ammette che il libro non tratta argomenti come la programmazione Windows, la programmazione orientata agli oggetti o l’editor visuale Lazarus, ma spera che possa interessare i nuovi utenti.

Pascal potrebbe essere fuori moda, ma resta nella top ten della classifica TIOBE. Chissà, forse l’uscita di Lazarus 4 darà nuova vita all’ecosistema.

L'articolo Lazarus 4 è arrivato: il grande ritorno dell’IDE open source Pascal proviene da il blog della sicurezza informatica.

Gli sviluppatori di OpenPGP.js hanno rilasciato una correzione per una vulnerabilità critica che potrebbe essere sfruttata per lo spoofing. Il bug consentiva la falsificazione sia di messaggi firmati sia di messaggi crittografati.

OpenPGP.js è un’implementazione JavaScript della libreria open source di crittografia delle e-mail OpenPGP che può essere utilizzata su qualsiasi dispositivo. Gli sviluppatori del progetto spiegano che l’idea era di implementare tutte le funzionalità OpenPGP necessarie in una libreria JavaScript che potesse essere riutilizzata in altri progetti per estensioni del browser o applicazioni server.

OpenPGP.js è utilizzato in progetti quali FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere e Passbolt.

Di recente, gli esperti di Codean Labs hanno scoperto che OpenPGP.js ha una vulnerabilità critica. Questo problema consente a un aggressore di falsificare la verifica della firma tramite un messaggio contraffatto trasmesso a openpgp.verify o openpgp.decrypt. Di conseguenza, restituiscono un “risultato di verifica della firma positivo, anche se in realtà i dati restituiti non erano firmati”.

“Per falsificare un messaggio, un aggressore avrebbe bisogno di una firma valida (incorporata o separata) e dei dati firmati in chiaro. Dopodiché, è possibile generare un messaggio con firma in linea o un messaggio firmato e crittografato contenente qualsiasi dato. E il messaggio apparirà come firmato legittimamente nelle versioni vulnerabili di OpenPGP.js“.Spiegano i ricercatori. “In altre parole, un messaggio con una firma incorporata può essere modificato per restituire qualsiasi altro dato (pur indicando che la firma è valida). Lo stesso è possibile per i messaggi firmati e crittografati se un aggressore riesce a ottenere una firma valida e crittografare un nuovo messaggio (con contenuto arbitrario) insieme a quella firma.”

Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-47934 (8,7 punti sulla scala CVSS) e riguarda le versioni 5 e 6 di OpenPGP.js. Le versioni 4.x non sono interessate. Gli sviluppatori hanno risolto il bug con il rilascio delle versioni 5.11.3 e 6.1.1.

Daniel Huigens, crittografo capo presso Proton e responsabile della manutenzione di OpenPGP.js, afferma che gli utenti dovrebbero installare gli aggiornamenti il ​​prima possibile. Prima di fare ciò, si consiglia di studiare attentamente tutti i messaggi presumibilmente firmati e di controllare ogni firma come se fosse unica.

Per i messaggi firmati e crittografati, Huygens suggerisce di verificarne l’autenticità in due passaggi. Per prima cosa chiamare openpgp.decrypt senza verificationKeys, quindi passare le firme restituite e i dati decrittati a openpgp.verify per la verifica esplicita.

L'articolo OpenPGP.js aveva un bug così elegante da far passare messaggi fake per sicuri proviene da il blog della sicurezza informatica.

Man mano che i modelli linguistici di grandi dimensioni diventano più intelligenti, diventano anche più difficili da utilizzare. Ciò crea problemi, soprattutto nei paesi in cui l’accesso ai potenti chip americani è limitato, come la Cina. Tuttavia, anche al di fuori di queste regioni, sta crescendo l’interesse verso soluzioni che rendano l’IA più economica da utilizzare. Sempre più spesso gli sviluppatori utilizzano architetture Mixture of Experts (MoE) e tecnologie di compressione per ridurre i requisiti hardware e i costi di esecuzione dei grandi modelli linguistici (LLM).

Sebbene i primi modelli MoE, come Mixtral di Mistral AI, esistano da molto tempo, hanno iniziato a trovare un utilizzo diffuso nella pratica solo nell’ultimo anno. Oggi, architetture simili sono utilizzate nei modelli di Microsoft, Google, IBM, Meta, DeepSeek e Alibaba, tutti basati sul principio proposto nei primi anni ’90.

L’essenza del MoE è che il modello è costituito da molte sottoreti più piccole, gli “esperti”. Invece di attivare tutti i parametri, come avviene nei tradizionali modelli “densi”, il sistema collega solo gli esperti necessari per svolgere un compito specifico. Ad esempio, DeepSeek V3 utilizza 256 esperti instradati e uno generale, ma solo otto esperti instradati e uno generale sono attivi durante la generazione del testo. Ciò comporta notevoli guadagni in termini di efficienza: meno transazioni, minore produttività e minori costi di manutenzione.

Allo stesso tempo, la qualità dei modelli MoE potrebbe essere leggermente inferiore a quella delle loro controparti più dense. Ad esempio, il modello Qwen3-30B-A3B di Alibaba si è rivelato leggermente più debole nei risultati benchmark rispetto alla versione densa Qwen3-32B. Tuttavia, la nuova architettura richiede una larghezza di banda di memoria notevolmente inferiore: i parametri attivi in ​​MoE rappresentano solo una parte del volume totale, il che consente di fare a meno della costosa memoria HBM.

Per chiarezza, vale la pena confrontare i modelli Meta Llama 3.1 405B e Llama 4 Maverick. Il primo è un modello denso, che richiede oltre 405 GB di memoria e circa 20 TB/s di throughput per servire 50 token al secondo nella versione a 8 bit. Allo stesso tempo, anche il sistema di fascia alta basato su Nvidia HGX H100, il cui costo parte da 300 mila dollari, fornisce 26,8 TB/s e soddisfa praticamente tutte queste esigenze. Per eseguire una versione a 16 bit del modello, sarebbero necessari almeno due sistemi di questo tipo.

Il Llama 4 Maverick è un modello MoE con una quantità di memoria simile, ma ha solo 17 miliardi di parametri attivi. Ciò è sufficiente per ottenere le stesse prestazioni con una velocità di trasmissione inferiore a 1 TB/s. Sulla stessa base hardware, un modello del genere funzionerà molto più velocemente. In alternativa, se la velocità non è un fattore critico, è possibile utilizzarlo su soluzioni più economiche con GDDR6/7 o addirittura DDR, ad esempio sui nuovi server CPU di Intel.

Intel ha già dimostrato questa capacità: una piattaforma dual-socket basata su Xeon 6 con memoria MCRDIMM ad alta velocità ha mostrato una velocità di 240 token al secondo con una latenza media inferiore a 100 ms. Ciò è sufficiente per consentire a circa due dozzine di utenti di lavorare contemporaneamente con il modello.

Tuttavia, MoE riduce solo i requisiti di larghezza di banda, non quelli di memoria. Anche Llama 4 Maverick a 8 bit richiede oltre 400 GB di memoria video. Ed è qui che entra in gioco la seconda tecnologia chiave: la quantizzazione. La sua essenza è comprimere i pesi del modello mantenendone la precisione. Il passaggio da 16 a 8 bit non ha praticamente alcun effetto sulla qualità, ma la compressione a 4 bit richiede già dei compromessi. Alcuni sviluppatori, come DeepSeek, hanno iniziato ad addestrare i modelli direttamente in FP8, il che evita problemi di post-elaborazione.

Parallelamente si ricorre anche a metodi di potatura, ovvero alla rimozione di pesi in eccesso o insignificanti. Nvidia ha utilizzato attivamente questa pratica, rilasciando versioni ridotte di Llama 3 ed è stata una delle prime a implementare il supporto per FP8 e FP4, che riducono i requisiti di memoria e velocizzano i calcoli. AMD, a sua volta, sta preparando dei chip con supporto FP4 il mese prossimo.

Ad aprile Google ha mostrato come è possibile ottenere una compressione 4x nei suoi modelli Gemma 3 utilizzando l’apprendimento consapevole della quantizzazione (QAT). Allo stesso tempo, la qualità non è stata quasi influenzata e le perdite per perplessità sono state ridotte del 54%. Alcuni approcci, come Bitnet, vanno ancora oltre, comprimendo i modelli a 1,58 bit per parametro, il che ne riduce le dimensioni di un fattore 10.

Combinando MoE e quantizzazione, i modelli consumano molto meno memoria e larghezza di banda. Ciò è particolarmente rilevante nell’era delle soluzioni Blackwell Ultra più costose e delle restrizioni sulle esportazioni di chip. Anche se una delle due tecnologie viene utilizzata separatamente, è già in grado di ridurre significativamente i costi di lancio di modelli di grandi dimensioni e di renderli disponibili al di fuori dei data center.

Certo, resta un’ultima domanda: tutto questo porta con sé qualche vantaggio? Secondo un sondaggio IBM, solo il 25% dei progetti di intelligenza artificiale giustificava effettivamente l’investimento. Il resto, non ancora.

L'articolo L’IA costa troppo? Ecco come MoE e quantizzazione stanno cambiando le regole del gioco proviene da il blog della sicurezza informatica.

Un team di ricercatori della Palisade Research ha pubblicato un insolito rapporto sulle capacità dell’intelligenza artificiale moderna nel campo della sicurezza informatica offensiva.

Per la prima volta, ai sistemi di intelligenza artificiale è stato permesso di partecipare a pieno titolo alla competizione di hacking Capture The Flag e non solo hanno vinto, sono anche risultati tra i migliori. Nella competizione AI vs Humans, gli agenti autonomi basati sull’intelligenza artificiale sono entrati all’interno del 5% dei migliori partecipanti, mentre nella competizione su larga scala Cyber ​​Apocalypse hanno ottenuto risultati tra il 10%, tra decine di migliaia di giocatori professionisti.

L’idea principale del lavoro è testare quanto efficacemente il metodo di “elicitazione” (massima divulgazione del potenziale dell’IA) possa essere utilizzato tramite crowdsourcing, cioè tramite competizioni aperte. Invece di affidarsi a test di laboratorio chiusi, Palisade ha consentito a team esterni e appassionati di personalizzare ed eseguire l’IA in condizioni reali di tornei CTF.

I risultati sono stati inaspettati. Alcuni agenti sono riusciti a risolvere 19 compiti su 20, eguagliando in velocità i migliori team umani. Le IA si sono dimostrate particolarmente abili nei compiti di crittografia e di reverse engineering. Al torneo Cyber ​​Apocalypse, a cui hanno partecipato più di 8.000 squadre, l’intelligenza artificiale è riuscita a risolvere problemi che a un giocatore esperto hanno richiesto circa un’ora. Ciò è in linea con le stime di altri ricercatori: i modelli linguistici moderni riescono già a gestire con sicurezza compiti tecnici della durata massima di 60 minuti.

Lo studio affronta anche la questione del cosiddetto “evals gap”, ovvero il divario tra i risultati dei test interni dell’intelligenza artificiale e le sue reali capacità quando correttamente configurata. Gli autori ritengono che il crowdsourcing potrebbe diventare una forma di valutazione più equa ed efficace, soprattutto man mano che l’intelligenza artificiale diventa più potente e versatile.

Oltre ai risultati pratici, il progetto ha un obiettivo più ampio: fornire a decisori politici, ricercatori e aziende uno strumento per una valutazione tempestiva e indipendente delle crescenti capacità dell’intelligenza artificiale. Gli organizzatori propongono di integrare i percorsi di intelligenza artificiale nelle competizioni CTF esistenti, offrendo piccoli premi e incoraggiando la partecipazione. Questo, secondo loro, non solo aiuterà a esplorare i limiti dell’intelligenza artificiale, ma renderà anche il processo di valutazione più trasparente, riproducibile e pertinente alle attività del mondo reale.

In sostanza, stiamo parlando del futuro dell’audit dell’IA: non attraverso parametri chiusi, ma attraverso competizioni aperte , in cui l’IA stessa deve dimostrare di cosa è capace, competendo con persone reali.

L'articolo L’Intelligenza Artificiale mostra agli Hacker chi comanda! proviene da il blog della sicurezza informatica.

La Casa Bianca ha avviato un’indagine dopo che ignoti hanno avuto accesso al telefono personale del capo dello staff presidenziale degli Stati Uniti, Susie Wiles, e hanno utilizzato i dati per contattare alti funzionari, fingendosi lei.

Secondo Wall Street Journal, sarebbe stata Wiles a dire ai colleghi che il suo telefono era stato hackerato. Questa informazione è stata confermata anche da fonti della CBS News.

Gli hacker avrebbero ottenuto l’accesso alla sua lista dei contatti, che comprende i numeri di telefono di personaggi influenti e di alti funzionari degli Stati Uniti. Alcuni di loro hanno ricevuto chiamate con la voce falsa di Wiles, apparentemente generata dall’intelligenza artificiale, nonché messaggi da un numero sconosciuto a suo nome.

Come ha spiegato a TechCrunch la portavoce della Casa Bianca Anna Kelly, non è chiaro se l’account cloud associato al telefono di Wiles sia stato hackerato o se si sia verificato un attacco informatico più sofisticato, come quello che ha coinvolto uno spyware di livello governativo. L’amministrazione ha affermato che “la questione è in fase di revisione” e ha sottolineato che “la sicurezza informatica dei dipendenti è una priorità”.

Non è la prima volta che Wiles subisce aggressioni. Nel 2024, il Washington Post ha riferito di un tentativo da parte di hacker iraniani di accedere alla sua e-mail personale. Come si è scoperto in seguito, l’attacco ebbe successo e gli aggressori rubarono un dossier su J.D. Vance, l’allora candidato vicepresidente di Trump.

L’incidente di Wiles è l’ultimo di una serie di fughe di notizie e vulnerabilità che hanno afflitto l’amministrazione Trump sin dal suo ritorno alla Casa Bianca.

A marzo è stato rivelato che l’ex consigliere per la sicurezza nazionale Michael Waltz aveva aggiunto per errore un giornalista a una chat privata di Signal in cui si discuteva, tra le altre cose, dei piani per attacchi aerei nello Yemen.

Successivamente si è scoperto che i partecipanti non stavano utilizzando il Signal originale, bensì una sua modifica, TeleMessage , progettata per l’archiviazione della corrispondenza. Sembra che il sistema sia stato hackerato almeno due volte, con conseguente fuga di messaggi privati.

L'articolo Shock alla Casa Bianca! Gli hacker imitano la voce del capo dello staff con l’IA! proviene da il blog della sicurezza informatica.

Il 9 febbraio avevo cancellato l'account Facebook, il sistema mi aveva detto che per 30 giorni sarebbe stato solo disattivato e che l'eliminazione vera e propria sarebbe avvenuta solo 30 giorni dopo.

Siamo al 30 maggio e il mio account è ancora lì.

Stasera sono nuovamente entrato e ho rifatto la procedura, al termine della quale il sistema mi ha ancora una volta confermato che la mia richiesta di cancellazione era stata ricevuta, che l'account era stato programmato per l'eliminazione ma che per 30 giorni sarebbe stato solo disattivato, casomai avessi cambiato idea.

Qualcuno di voi è riuscito a cancellarsi per davvero?

Nel frattempo ho scritto al Garante per la Privacy segnalando il problema e chiedendo come fare per poter vedere rispettato il mio diritto ad essere rimosso da quel social network.

Ho visto il primo episodio di Adolescence.

Non avrei mai dovuto farlo.