Alla ISC.AI 2026, Zhou Hongyi — fondatore di 360 — ha lanciato un messaggio chiaro: la Cina deve avere il suo Mythos. E non solo per parità tecnologica, ma per sopravvivenza digitale.
Il 24 giugno 2026, sul palco della quattordicesima edizione dell’Internet Security Conference, Zhou ha svelato due nuovi sistemi: ‘Tidianlongfeng’, un agente intelligente per la scoperta automatica di vulnerabilità (la versione cinese di Mythos, per capirci), e ‘Yitianzhen’, un sistema di difesa automatizzata che promette di portare la cybersecurity dall’era della ‘manodopera umana’ all’era della ‘guida autonoma’.
Perché gli Stati Uniti hanno bloccato Mythos
Facciamo un passo indietro. Qualche settimana fa, il governo americano ha fatto una cosa rarissima: ha ordinato il blocco totale di due modelli di Anthropic — Mythos 5 e Fable 5 — a chiunque non sia cittadino USA. Non verso certi paesi. Verso tutti. Anche i dipendenti stranieri di Anthropic non possono usarli. Anthropic, non sapendo come discriminare per nazionalità, ha semplicemente chiuso l’accesso.
La motivazione ufficiale? ‘Sicurezza nazionale’. Quattro parole. Nient’altro.
Ma Zhou Hongyi va più a fondo. ‘Non si tratta di un modello AI migliore’ spiega. ‘Si tratta di una capacità strategica di livello nazionale’. Mythos sa fare una cosa che cambia le regole del gioco: trovare vulnerabilità in modo autonomo, analizzarle, costruire catene di attacco. In pratica, è l’equivalente AI di un’arma nucleare informatica.
E quando Fable — la versione ‘castrata’ per uso civile — è stata violata tramite jailbreak, Washington ha capito che il rischio di proliferazione era reale. Risultato: blocco totale. ‘Devono garantire che questa capacità resti un monopolio. Che solo loro ce l’abbiano’ aggiunge Zhou.
Il crollo delle azioni di cybersecurity
Appena la notizia di Mythos è trapelata, i titoli delle principali aziende di sicurezza informatica USA sono crollati. Perché? Perché il mercato ha capito subito: se un’intelligenza artificiale può scoprire vulnerabilità in modo automatico, scalabile e a basso costo, gran parte dei modelli di business tradizionali — basati su firewall, alert manuali, servizi a ore/uomo — diventano obsoleti.
‘È un attacco dimensionale’ dice Zhou. ‘Quando l’AI può scansionare codice 24/7, trovare bug nascosti da decenni e costruire exploit funzionanti in poche ore, le vecchie difese a strati non reggono più’.
Cosa rende Mythos così pericoloso
Zhou elenca quattro trasformazioni che Mythos porta con sé:
Velocità: scoprire una vulnerabilità critica richiedeva mesi o anni. Mythos ci mette 24 ore. Ha trovato un bug nel sistema OpenBSD — considerato tra i più sicuri al mondo — che era nascosto da 27 anni. E uno in FFmpeg, la libreria che alimenta miliardi di video streaming globali, rimasto invisibile per 16 anni.
Quantità: l’AI non si stanca. Può analizzare milioni di righe di codice senza sosta, scoprendo vulnerabilità che nessun team umano avrebbe mai il tempo di trovare. ‘Ci aspetta un’esplosione di bug’ avverte Zhou.
Costo: secondo stime citate da Zhou, Mythos può scoprire una vulnerabilità ad alto valore con meno di 1.000 dollari di potenza computazionale. Nel mercato nero, la stessa vulnerabilità può valere milioni. Il rapporto costo/beneficio è devastante.
Democratizzazione dell’attacco: non serve più essere un hacker geniale. Basta avere accesso a un’AI addestrata. ‘Anche se un agente AI ha solo il 60-70% delle capacità di un esperto umano, non importa — puoi clonarlo un milione di volte’.
Glasswing: l’alleanza USA per blindare le infrastrutture
Gli Stati Uniti non si sono fermati al blocco. Hanno creato la Glasswing Alliance, una coalizione che include Microsoft, Google, Apple, Nvidia e altre 40 aziende tecnologiche e di sicurezza, distribuite in 15 paesi alleati. Anthropic ha fornito loro accesso a Mythos con budget fino a 100 milioni di dollari, per scansionare il codice e trovare le vulnerabilità prima che lo facciano gli avversari.
‘È una grande bonifica preventiva’ spiega Zhou. ‘Gli USA vogliono sanare le proprie infrastrutture critiche prima che qualcun altro sviluppi capacità simili. E vogliono anche tenere quella capacità offensiva in tasca, per quando serve’.
Il problema? La Cina è esclusa. ‘Loro possono scansionare le nostre vulnerabilità. Noi non possiamo nemmeno vedere Mythos’.
Tidianlongfeng: la strada cinese
Zhou è convinto che copiare il modello americano — modello gigante, potenza computazionale enorme, chip all’avanguardia — non funzioni per la Cina. ‘I nostri modelli hanno ancora un gap del 20-30% rispetto ai migliori USA. Non possiamo aspettare di colmare quel divario — non c’è tempo’.
La soluzione di 360 si chiama percorso degli agenti intelligenti. Invece di puntare tutto su un super-modello, 360 combina modelli esistenti con tre asset strategici:
1. Esperienza offensiva reale: 360 lavora nella sicurezza da vent’anni. Ha scoperto più vulnerabilità di chiunque altro in Cina, vincendo premi da Apple, Microsoft, Google. ‘Anthropic è un’azienda AI. Noi siamo un’azienda di sicurezza. Sappiamo come pensa un attaccante’.
2. Piattaforma di agenti: i modelli linguistici sono cervelli intelligenti, ma senza mani. La piattaforma di 360 dà loro strumenti, memoria, capacità operative. ‘Se Mythos è un processore top di gamma, noi costruiamo il computer completo — che funziona 24/7 senza andare in crash’.
3. Sciami multi-agente: invece di un singolo genio, 360 orchestra team di agenti specializzati. Uno fa threat modeling, uno traccia i flussi di dati, uno scrive exploit, uno testa in sandbox. ‘Non un hacker solitario, ma una squadra d’attacco coordinata’.
I risultati finora
Tidianlongfeng ha già scoperto 3.432 vulnerabilità, di cui 105 confermate dalle autorità di regolamentazione cinesi, molte classificate come ad alto rischio.
Tra i colpi più significativi: bug in Windows nascosti da 5 anni, vulnerabilità di esecuzione remota in Office ferme da 8 anni, falle in Excel vecchie di un decennio. Tutti riconosciuti ufficialmente da Microsoft.
Ma non solo codice legacy. 360 ha anche trovato 4 vulnerabilità in componenti core di OpenClaw (confermate dal fondatore), 23 bug nell’ecosistema ‘Lobster’, e 13 zero-day in Flowise, una piattaforma per costruire agenti AI — dove un attaccante potrebbe rubare chiavi API o manipolare dati aziendali.
Yitianzhen: difesa in modalità autopilota
Trovare le vulnerabilità è metà del lavoro. L’altra metà è difendersi quando arriva l’attacco. E con agenti AI ostili che operano a velocità macchina, la difesa manuale non basta più.
‘Yitianzhen’ è il sistema di difesa autonoma di 360. Non è un assistente che suggerisce cosa fare — è un team di sicurezza che agisce. ‘L’obiettivo è portare la cybersecurity in modalità guida autonoma’ dice Zhou.
Il sistema può:
- Operare senza supervisione umana continuativa
- Contestualizzare i rischi in base al business dell’azienda (quali asset sono critici, quali sistemi non possono fermarsi)
- Simulare attacchi continui per testare le difese
- Apprendere da ogni incidente e migliorare nel tempo
Yitianzhen è già in test presso enti critici e sarà lanciato a breve.
Il piano ‘Scudo di Roccia’
Alla conferenza, 360 ha lanciato la ‘Panshi Zhidun’ (Scudo di Roccia) Security Collaboration Initiative, in partnership con aziende cinesi di chip (Feiteng, Haiguang), sistemi operativi (Kylin, Tongxin), cloud, database e sicurezza.
‘Gli USA hanno Glasswing. Noi abbiamo bisogno della nostra alleanza’ afferma Zhou. ‘La sicurezza non è questione di una singola azienda. Serve coordinamento tra chi fa modelli, chi costruisce software, chi gestisce infrastrutture critiche’.
Le capacità di Tidianlongfeng e Yitianzhen saranno aperte in forma controllata a enti chiave e aziende critiche per la sovranità tecnologica cinese. ‘Le vulnerabilità devono essere scoperte da noi per primi. Dobbiamo vedere i nostri punti deboli prima che lo facciano gli altri’.
Una nuova era della sicurezza informatica
Zhou chiude con una riflessione netta: ‘La Cina rischia una seconda ondata di trasparenza unilaterale’. La prima era quando gli attaccanti erano invisibili nelle reti cinesi. 360 ha risolto quel problema in vent’anni. Ora il rischio è diverso: ‘nemico veloce, noi lenti; nemico numeroso, noi pochi’.
‘Quando l’AI può scoprire vulnerabilità in massa e a bassa latenza, sei trasparente anche se non lo sai. Pensavi di essere sicuro, ma sei già un colabrodo agli occhi dell’avversario’.
La partita è appena iniziata. E stavolta, dice Zhou, la Cina non può permettersi di restare fuori.
