Skip to main content
AIAnthropic

Claude Mythos, l’IA di Anthropic che trova vulnerabilità zero-day

Claude Mythos, quando l’intelligenza artificiale diventa la migliore alleata (e il peggior nemico) della cybersecurity

C’è un momento preciso in cui una tecnologia smette di essere uno strumento e diventa un cambio di paradigma. Per la sicurezza informatica, quel momento è il 7 aprile 2026. Quel giorno, Anthropic ha fatto qualcosa che non aveva mai fatto prima nella sua storia. Ha presentato al mondo un documento tecnico dettagliato di un modello che non intende rilasciare al pubblico. Il motivo? Il modello in questione, Claude Mythos Preview, è ritenuto troppo potente per farlo.

Un’IA che trova ciò che decenni di ricerca non hanno trovato

Prima di capire le implicazioni, bisogna partire dai numeri concreti, perché sono quelli che fanno impressione.

Nel corso delle settimane precedenti all’annuncio, Claude Mythos Preview ha identificato in modo completamente autonomo migliaia di vulnerabilità zero-day, ovvero falle sconosciute persino agli sviluppatori del software, in ogni principale sistema operativo e in ogni principale browser web oggi in circolazione. Non si tratta di vulnerabilità banali. Molte di esse sono classificate ad alta severità, alcune erano nascoste nel codice da decenni.

Tre esempi concreti aiutano a capire la portata reale di questa capacità.

OpenBSD è un sistema operativo storicamente considerato tra i più sicuri al mondo, scelto da chi gestisce firewall e infrastrutture critiche proprio per la sua reputazione. Mythos ha trovato al suo interno un bug che esisteva da 27 anni, che avrebbe permesso a chiunque di mandare in crash da remoto qualunque macchina che lo stesse eseguendo.

FFmpeg è la libreria che alimenta la codifica e decodifica video di un numero enorme di applicazioni quotidiane, da piattaforme di streaming a strumenti di videoconferenza. Al suo interno giaceva una falla presente da 16 anni in una singola riga di codice. Gli strumenti di analisi automatizzata l’avevano ispezionata cinque milioni di volte senza mai rilevarla.

FreeBSD, sistema operativo che alimenta numerosi server e infrastrutture di rete, conteneva una vulnerabilità critica di 17 anni. Una volta sfruttata, consentiva a qualsiasi utente non autenticato, da qualsiasi punto di internet, di ottenere il controllo completo della macchina. Il tutto, Mythos lo ha scoperto e concatenato in modo del tutto autonomo, senza alcun intervento umano dopo la richiesta iniziale.

Il paradosso che nessuno vuole affrontare

Qui si apre la questione più delicata, e anche la più onesta da porre.

Le stesse capacità che rendono Claude Mythos uno strumento potenzialmente rivoluzionario per i difensori le rendono altrettanto preziose, se non di più, per chi vuole attaccare. Anthropic lo riconosce apertamente. Non si tratta di abilità inserite deliberatamente nel modello attraverso un addestramento specifico sulla sicurezza informatica. Sono emerse spontaneamente come conseguenza indiretta dei progressi generali nelle capacità di ragionamento, programmazione e autonomia del modello.

In altre parole, più un modello di intelligenza artificiale diventa bravo a scrivere e capire il codice, più diventa naturalmente in grado di trovarne le fragilità. Non è una scelta. È una conseguenza.

Questo crea un problema strutturale che va ben oltre il singolo prodotto. I modelli di prossima generazione, sviluppati da chiunque e non solo da Anthropic, avranno quasi certamente capacità simili. La domanda non è se queste capacità prolifereranno, ma a quale velocità e in mano a chi arriveranno per prime.

Project Glasswing, giocare d’anticipo

La risposta di Anthropic a questo scenario si chiama Project Glasswing, e rappresenta un tentativo esplicito di sfruttare le capacità offensive del modello per scopi difensivi prima che lo facciano altri.

Il nome non è casuale. La farfalla Greta oto, conosciuta come glasswing per le sue ali trasparenti, rende visibile ciò che normalmente è nascosto. L’analogia con la capacità di portare alla luce vulnerabilità invisibili è deliberata.

Il progetto riunisce alcune delle più grandi aziende tecnologiche e finanziarie del pianeta. Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks. Oltre a questi partner principali, l’accesso a Mythos Preview è stato esteso a più di 40 organizzazioni che sviluppano o gestiscono infrastrutture software critiche.

L’impegno economico è considerevole. Cento milioni di dollari in crediti di utilizzo del modello per i partner del progetto, più quattro milioni di dollari in donazioni dirette alle organizzazioni dedicate alla sicurezza open source, tra cui 2,5 milioni alla Linux Foundation per Alpha-Omega e OpenSSF, e 1,5 milioni alla Apache Software Foundation.

Le domande aperte

Project Glasswing è un passo importante. Ma sarebbe scorretto dipingerlo come una soluzione definitiva, perché non lo è.

Il primo nodo critico è quello della velocità di remediation. Al momento dell’annuncio, oltre il 99% delle vulnerabilità scoperte da Mythos non era ancora stato corretto. Questo non sorprende perché il processo di patching richiede tempo, risorse umane, cicli di test e coordinamento tra maintainer. Un modello AI può scoprire migliaia di falle in settimane, ma il sistema umano di correzione non è attrezzato per rispondere alla stessa velocità. Scoprire un bug è solo metà del problema.

Il secondo nodo riguarda la concentrazione. Distribuire una capacità difensiva così potente attraverso un singolo modello controllato da una singola azienda crea una dipendenza strutturale. Cosa succede se l’accesso viene interrotto? Chi può fare audit indipendenti del processo?

Il terzo nodo è di natura geopolitica. Anthropic ha avvisato privatamente funzionari governativi statunitensi che Mythos aumenta significativamente la probabilità di attacchi informatici su larga scala nell’arco del 2026. Non perché Mythos stesso verrà usato per attaccare, ma perché la sua esistenza dimostra che il salto di capacità è già avvenuto. Modelli analoghi, sviluppati senza le stesse precauzioni, potrebbero già essere in mani meno attente.

Cosa significa per le aziende oggi

Per le organizzazioni che si occupano di sicurezza informatica, o che semplicemente dipendono da software critico (il che significa praticamente tutte), il messaggio di Project Glasswing è chiaro. L’era dei controlli periodici e dei penetration test annuali sta finendo.

Quello che Mythos dimostra è che l’analisi continua del codice, il red-teaming automatizzato e la scoperta proattiva delle vulnerabilità non sono più un lusso riservato ai team di sicurezza più strutturati. Diventeranno una necessità operativa per chiunque voglia mantenere un livello di protezione adeguato.

Jim Zemlin, CEO della Linux Foundation, ha sintetizzato bene la posta in gioco. Storicamente, l’expertise in sicurezza è stata un privilegio riservato alle organizzazioni con team dedicati. I maintainer open source, il cui software sorregge buona parte dell’infrastruttura digitale mondiale, hanno sempre dovuto arrangiarsi. Project Glasswing offre una via concreta per cambiare questo squilibrio.

Resta da vedere se ci riuscirà. Ma il problema che affronta è reale, il salto tecnologico è documentato, e l’urgenza non è mai stata così alta.

Idea IT è una realtà italiana che offre soluzioni e servizi nell’ambito dell’Information & Communication Technology.

P.Iva: 11388691005
Pec: ideait@pec.it

SEDE LEGALE

Via la Spezia 6,
00182 Roma RM

SEDE LAZIO

HEADQUARTER | SYSTEMS AND INFRASTRUCTURES

Via Pontina Vecchia, Km. 33,
00071 Pomezia RM

SEDE ABRUZZO

BU DIGITAL SOLUTIONS R&S

Via Papa Leone XIII,
66100 Chieti CH

CONTATTI

+39 06 869951

SOCIAL

SITO WEB

Le nostre soluzioni
Managend services
La nostra storia
Clienti e business partners
Le nostre certificazioni

© 2026 Idea IT. All rights reserved. Cookie PolicyPrivacy Policy