Anthropic ha appena sganciato una bomba: Claude Mythos Preview, un modello AI che trova vulnerabilità di sicurezza meglio degli umani. Non “abbastanza bene” – meglio. Tipo, ha scovato un bug in OpenBSD che dormiva lì da 27 anni. OpenBSD, per chi non lo sapesse, è quel sistema operativo che ha fama di essere praticamente inespugnabile.
E qui parte Project Glasswing: AWS, Apple, Google, Microsoft, NVIDIA e un esercito di altre aziende si sono messe insieme per usare questo modello prima che lo facciano i cattivi. Perché – spoiler – se l’AI sa trovare bug così bene, immaginate cosa succede quando quella stessa capacità finisce nelle mani sbagliate.
I numeri che fanno girare la testa
Mythos Preview ha trovato migliaia di vulnerabilità zero-day. Migliaia. In ogni sistema operativo importante, in ogni browser principale, in FFmpeg (quel software che praticamente tutto usa per gestire i video). Una vulnerabilità in particolare aveva resistito a cinque milioni – CINQUE MILIONI – di test automatici senza che nessuno se ne accorgesse.
Sul benchmark CyberGym, Mythos Preview raggiunge l’83.1% contro il 66.6% di Claude Opus 4.6. Non è un miglioramento incrementale, è un salto.
Cosa hanno trovato (alcuni esempi concreti)
- Bug di 27 anni in OpenBSD che permetteva di crashare da remoto qualsiasi macchina semplicemente connettendosi
- Vulnerabilità di 16 anni in FFmpeg, nascosta in una riga di codice testata milioni di volte
- Chain di exploit nel kernel Linux per scalare da utente normale a controllo totale del sistema
Tutto questo trovato in modo completamente autonomo. Zero aiuto umano.
Il piano (e i soldi sul tavolo)
Anthropic ha messo sul piatto 100 milioni di dollari in crediti di utilizzo del modello, più 4 milioni di donazioni dirette a organizzazioni open-source. Il modello costa $25/$125 per milione di token input/output – cifre che iniziano a far senso quando consideri che può trovare in ore quello che a un team di sicurezza richiederebbe mesi.
I partner (AWS, Cisco, CrowdStrike, Microsoft e altri) stanno già usando Mythos Preview da settimane. Cisco parla di “identificare e fixare vulnerabilità attraverso hardware e software a un ritmo e scala precedentemente impossibili”. Microsoft conferma miglioramenti sostanziali rispetto ai modelli precedenti sul loro benchmark CTI-REALM.
Perché tutto questo adesso
Il punto è semplice ma inquietante: la finestra tra scoperta di una vulnerabilità e suo sfruttamento da parte di un attaccante è collassata. Quello che una volta richiedeva mesi ora succede in minuti con l’AI. I costi globali del cybercrimine sono stimati attorno ai 500 miliardi di dollari all’anno – e questi numeri erano pre-AI.
Mythos Preview non sarà disponibile pubblicamente (per ovvi motivi). L’obiettivo è sviluppare safeguard adeguate su un modello meno potente prima di rilasciare capacità di questo livello. Nel frattempo, oltre 40 organizzazioni che gestiscono infrastrutture software critiche hanno accesso per scansionare e mettere in sicurezza i loro sistemi.
Cosa succede nei prossimi 90 giorni
Anthropic ha promesso un report pubblico entro tre mesi su:
- Vulnerabilità trovate e fixate (quelle divulgabili)
- Best practice condivise tra i partner
- Raccomandazioni pratiche su come le pratiche di sicurezza dovrebbero evolversi nell’era AI
C’è anche collaborazione con il governo USA – normale, considerando che stiamo parlando di capacità che toccano la sicurezza nazionale. Mantenere il vantaggio tecnologico in AI non è più solo questione di business.
Le performance oltre la cybersecurity
Mythos Preview non è solo bravo a trovare bug. Sui benchmark di coding sta demolendo tutto:
- SWE-bench Verified: 93.9% (vs 80.8% di Opus 4.6)
- SWE-bench Pro: 77.8% (vs 53.4%)
- Terminal-Bench 2.0: 82% (92.1% con timeout estesi)
- GPQA Diamond: 94.6% in reasoning
Sono numeri che indicano un salto qualitativo, non incrementale. E questo solleva la domanda: se l’AI è diventata così brava a trovare vulnerabilità, quanto tempo abbiamo prima che queste capacità si diffondano?
Il nome (dettaglio nerd)
“Glasswing” viene dalla farfalla Greta oto, quella con le ali trasparenti. La metafora funziona in due modi: le ali trasparenti la fanno nascondere in pieno giorno (come le vulnerabilità nascoste nel codice), e le permettono di evitare danni – come la trasparenza che Anthropic sta cercando di applicare qui.
Il modello si chiama “Mythos” dal greco antico per “racconto” o “narrativa” – il sistema di storie attraverso cui le civiltà davano senso al mondo. Forse perché stiamo letteralmente riscrivendo la narrativa della cybersecurity.
