Claude Mythos entra al centro del dibattito sulla sicurezza informatica, perché Anthropic ha pubblicato i primi risultati di Project Glasswing: il modello, ancora non disponibile al pubblico, avrebbe aiutato partner e aziende a trovare oltre 10.000 vulnerabilità ad alta o critica gravità.
La notizia mostra il lato utile dell’AI nella difesa software, ma apre anche un rischio evidente: gli stessi strumenti possono aiutare anche gli attaccanti. Per questo Anthropic vuole usare Mythos con partner selezionati, governi e aziende, senza distribuirlo subito a tutti.

Claude Mythos e Project Glasswing

Claude Mythos non è un normale chatbot: Anthropic lo descrive come un modello pensato anche per attività avanzate di sicurezza informatica, con capacità di ricerca, analisi e verifica delle vulnerabilità.

Il modello lavora dentro Project Glasswing, iniziativa lanciata da Anthropic per usare l’AI contro gli attacchi informatici basati sull’AI. L’idea è semplice: se i modelli generativi rendono più facile cercare falle nel codice, allora i difensori devono usarli prima degli attaccanti.

A circa un mese dal lancio, Anthropic ha parlato di numeri importanti: secondo l’azienda, Mythos Preview e i partner del progetto avrebbero trovato oltre 10.000 vulnerabilità ad alta o critica gravità nei software più rilevanti.

Non è un dato piccolo. Inoltre, secondo Anthropic, diversi partner avrebbero aumentato di oltre dieci volte la velocità nella ricerca dei bug. Questo sposta il problema: non è più solo trovare le falle, ma verificarle, comunicarle e correggerle in tempi utili.

Claude Mythos accelera la caccia ai bug

I primi esempi aiutano a capire la portata della novità: Cloudflare avrebbe trovato circa 2.000 bug, di cui 400 ad alta o critica gravità, nei propri sistemi più delicati.

Anche Mozilla ha usato Mythos Preview nei test su Firefox. Il risultato dichiarato parla di 271 vulnerabilità trovate e corrette in Firefox 150, con un aumento superiore a dieci volte rispetto a una versione precedente analizzata con un altro modello Claude.

Anthropic ha anche analizzato oltre 1.000 progetti open-source. In questo caso, Mythos Preview avrebbe individuato 23.019 vulnerabilità complessive, di cui 6.202 stimate come ad alta o critica gravità.

Poi arriva la parte più interessante: tra le vulnerabilità già valutate da ricercatori esterni o da Anthropic, il 90,6% si è rivelato un vero positivo. Questo dato rende il progetto più credibile, perché uno dei problemi dei report generati dall’AI resta la qualità delle segnalazioni.

La sicurezza AI entra in una fase nuova

La notizia non riguarda solo Anthropic, riguarda tutto il settore software. Se un modello può trovare migliaia di vulnerabilità in poche settimane, la sicurezza informatica cambia ritmo.

Finora il lavoro dei ricercatori era limitato anche dalla fatica di scoprire nuove falle. Ora, invece, il collo di bottiglia diventa la fase successiva: confermare il bug, scrivere un report utile, avvisare gli sviluppatori e preparare una patch.

Questo crea un paradosso: da un lato, l’AI può rendere il software più sicuro, dall’altro, può sommergere team e maintainer con un volume enorme di segnalazioni. Nel mondo open-source il rischio è ancora più evidente, perché molti progetti dipendono da sviluppatori volontari.

Anthropic stessa riconosce il problema. Alcuni maintainer avrebbero chiesto di rallentare il ritmo delle segnalazioni, perché serve tempo per verificare e correggere le vulnerabilità, quindi l’AI trova più bug, ma gli esseri umani devono ancora chiudere il cerchio.

Perché Mythos non arriva al pubblico

Anthropic non ha rilasciato Claude Mythos al pubblico. La scelta nasce da un motivo preciso: secondo l’azienda, oggi non esistono ancora protezioni abbastanza solide per evitare abusi di modelli con queste capacità.

Questo è il passaggio più delicato: un modello capace di trovare vulnerabilità critiche può aiutare i difensori, ma può anche dare una mano a chi vuole attaccare sistemi, servizi e infrastrutture.

Per ora Anthropic vuole quindi lavorare con partner selezionati. Nella lista compaiono aziende e organizzazioni di primo piano, tra cui Amazon Web Services, Apple, CrowdStrike, Google, JPMorganChase, NVIDIA, Palo Alto Networks, Microsoft e altri soggetti del settore.

In prospettiva, Anthropic ha parlato anche di una collaborazione con governi statunitensi e alleati. L’obiettivo è ampliare Project Glasswing, ma mantenendo un controllo stretto sull’accesso ai modelli più potenti.

Claude Mythos mostra il doppio volto dell’AI

La vicenda racconta bene dove sta andando l’intelligenza artificiale. Non siamo più solo davanti a strumenti che scrivono testi, generano immagini o aiutano nel codice, qui l’AI entra in una zona più delicata, dove può migliorare la sicurezza o aumentare il rischio.

Per aziende e sviluppatori il messaggio è diretto: i cicli di aggiornamento devono diventare più rapidi. Inoltre, gli utenti devono installare le patch con meno ritardi, perché le vulnerabilità potrebbero essere scoperte e sfruttate in meno tempo.

Anthropic sta già lavorando anche su strumenti più accessibili. Claude Security, per esempio, è in beta pubblica per clienti Claude Enterprise e può aiutare i team a scansionare il codice e proporre correzioni.

Il dato più importante, però, resta culturale: la cybersecurity non può più trattare l’AI come un’aggiunta esterna. I modelli generativi stanno entrando direttamente nella ricerca dei bug, nella verifica delle falle e nella gestione delle patch.

Claude Mythos mostra il lato difensivo di questa evoluzione. Però Anthropic sa che la stessa tecnologia, se finisse nelle mani sbagliate, potrebbe rendere più economici e rapidi anche gli attacchi. Ed è esattamente per questo che Project Glasswing sarà un banco di prova da seguire con attenzione.