Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2026  aprile 21 Martedì calendario
La storia raccontata da Giorgio Dell'Arti 

repubblica.it, 21 aprile 2026

Cos’è Mythos, l’ultimo modello di Anthropic

Nelle ultime settimane il mondo della sicurezza informatica cerca di prendere le misure con uno strumento nuovo. In grado, sulla carta, di superare gli esseri umani in diversi aspetti di controllo e programmazione. Che ha scatenato un ampio dibattito nel mondo dei regolatori e della finanza. Uno strumento, manco a dirlo, portato alla luce da una società che si occupa di intelligenza artificiale. Mythos di Anthropic si è proposto come un nuovo standard.
Diversi colossi tecnologici hanno ottenuto l’accesso a Mythos, o lo hanno avuto tramite un’iniziativa chiamata Project Glasswing, progettata per rafforzare la resilienza contro lo stesso Mythos. Tuttavia è un tema dibattuto. Strumento dirompente per la cybersicurezza mondiale o mito creato ad arte dalla stessa Anthropic, che ha ogni interesse a dire che lo strumento ha capacità mai viste prima? Ancora una volta, l’Intelligenza artificiale si dimostra il banco di prova più arduo e urgente per distinguere realtà da propaganda. Innovazione dal marketing. Compito sempre più difficile. Sempre più annacquato da interessi aziendali e nazionali. Abbiamo provato a fare chiarezza con l’aiuto di un esperto.
Le origini di Mythos e il Project Glasswing
Dall’inizio. Mythos è uno dei modelli più recenti di Anthropic. È stato sviluppato come parte del più ampio sistema di intelligenza artificiale, noto nel mondo come Claude. Claude comprende l’assistente IA (il chatbot libero e accessibile a tutti) e in più la famiglia di modelli dell’azienda, concorrenti di ChatGPT di OpenAI e Gemini di Google. È stato presentato da Anthropic all’inizio di aprile come “Mythos Preview”. I ricercatori hanno affermato in un rapporto che Mythos si è dimostrato “sorprendentemente capace nei compiti di sicurezza informatica”.
Hanno scoperto che lo strumento è in grado di individuare bug di cui nessuno è a conoscenza, di cui nessuno si ricorda più, nascosti in programmi e codici scritti decenni fa. Difficili se non impossibili da scoprire a un umano. Ma non un’IA addestrata. Invece di renderlo disponibile agli utenti di Claude, Anthropic ha concesso l’accesso a 12 aziende tecnologiche tramite il Project Glasswing. Raccontato come “uno sforzo per mettere in sicurezza il software più critico del mondo”, è stato dato a: Amazon Web Services (gigante del cloud computing); Apple, Microsoft e Google (produttori di dispositivi); Nvidia e Broadcom (produttori di chip); Crowdstrike (nota per il grave blackout globale di luglio 2024 causato da un aggiornamento software difettoso).
Il rischio di un oligopolio della difesa
Ma perché limitare l’accesso a pochi colossi? Perché questa segretezza selettiva? “Secondo il mio parere il Project Glasswing unisce sia la reale necessità di arginare abusi su larga scala che una strategia di marketing di Anthropic (che mira a posizionarsi nel settore come ’custode etico’)”, ragiona a Italian Tech Emanuele De Lucia, esperto di sicurezza informatica e IA e CIO di Meridian Group.
“Nella prassi della cybersecurity questa chiusura rischia però di generare un pericoloso oligopolio difensivo. Negare l’accesso alla comunità globale di ricercatori impedisce lo sviluppo collaborativo di contromisure e la convalida indipendente delle infrastrutture. Poiché gli avversari svilupperanno inevitabilmente modelli equivalenti, la ‘segretezza selettiva’ ritarda l’evoluzione delle difese diffuse, centralizzando le capacità nelle mani di pochi e lasciando il mercato esposto. Inoltre, concentrando l’accesso e l’intelligence sulle vulnerabilità nelle mani di poche grandi corporazioni, si crea un obiettivo strategico di valore incalcolabile. Un attacco riuscito contro i sistemi interni di un partner Glasswing potrebbe esporre non solo i propri dati, ma l’intero inventario di vulnerabilità zero-day mondiali identificate da Mythos. Inoltre, la selezione unilaterale dei partner da parte di una società privata, senza supervisione democratica o regolamentare, solleva a mio parere dubbi sulla equità dell’accesso a strumenti di difesa critici”, aggiunge.
Capacità agentiche e il ruolo dello “scaffold"
Segretezza e selettività che porta subito a un’altra questione implicita. Perché se così è stato deciso è perché, pare, Mythos abbia portato il livello delle questioni di sicurezza informatica su parametri mai visti prima.
È così? “Strutturalmente, Mythos si differenzia dai modelli precedenti per le sue avanzate capacità agentiche: mentre GPT-4 eccelle nel generare codice per sfruttare vulnerabilità già note, Mythos è in grado di scoprire autonomamente falle inedite (le cosiddette 0-day, ndr) e concatenare attacchi multi-fase”, commenta De Lucia. “Tuttavia, sebbene effettivamente automatizzi gli attacchi su bersagli, la compromissione di architetture complesse richiede ancora la supervisione strategica (chiamata in gergo steering) di un ricercatore o di un operatore umano esperto”, aggiunge.
E, infine, “andrebbe compreso quanto le capacità di Mythos dipendano effettivamente dalla sua inaccessibile ’super-intelligenza’ e quanto dallo scaffold (cioè dai sistemi di supporto, ndr) nel quale opera”. Perché, è il messaggio, “gran parte del valore di un sistema di questo genere dipenda dall’ecosistema e dagli strumenti di cui è dotato”.
La fine del mito del codice legacy
Anthropic ha dichiarato di aver dato accesso a Mythos a oltre 40 organizzazioni responsabili di software critici. L’amministratore delegato di Anthropic, Dario Amodei, ha affermato di essersi offerto di collaborare con i funzionari del governo statunitense per “aiutare a difendersi dai rischi di questi modelli”. “Mythos Preview ha già trovato migliaia di vulnerabilità ad alta gravità, incluse alcune in ogni principale sistema operativo e browser web”, ha dichiarato Anthropic il 7 aprile.
Il modello, dice, può individuare – senza troppa supervisione – bug critici che richiedono un intervento immediato in sistemi obsoleti (incluso un bug presente da 27 anni) e suggerire modi per sfruttarli.
Quanto grave è questa scoperta? Così datata nel tempo, tra l’altro? “Il ritrovamento di vulnerabilità storiche demolisce un po’ l’illusione che il codice legacy sia sicuro perché ‘collaudato dal tempo’, confermando una certa superiorità di Mythos nell’automatizzare analisi statica e fuzzing su vastissima scala”, continua De Lucia. “Tuttavia dobbiamo considerare che un bug vecchio di 27 anni è spesso solo una falla banale sepolta in librerie trascurate, non una minaccia sofisticata. Per quanto riguarda la cybersecurity però questo potrebbe rappresentare un cambio di paradigma irrevocabile: è possibile prevedere un’inflazione di CVE su software obsoleto, imponendo all’industria di abbandonare l’approccio reattivo manuale per abbracciare la bonifica del codice AI-driven e architetture puramente secure-by-design”, aggiunge.
Hype, marketing e corse agli armamenti
I timori legati all’IA non sono una novità. Il settore è caratterizzato da un mix di paura ed eccitazione che spesso fa parte delle strategie di marketing. Nel caso di Mythos, non sappiamo ancora abbastanza per capire se questi timori siano giustificati o se riflettano l’enfasi mediatica (quello che generalmente viene chiamato hype) che da sempre accompagna questa industria, e in generale l’industria del tech.
“Dobbiamo essere consapevoli che la narrazione del rischio è anch’essa un asset commerciale; secondo il mio parere definire un modello ‘troppo pericoloso per essere rilasciato’ è, almeno in parte, una leva di marketing utile a catalizzare ed accentrare ingenti investimenti”, aggiunge l’esperto. “Creando un’aura di ’potenza ineguagliabile’, l’azienda si posiziona come leader etico e giustifica ecosistemi chiusi che impediscono lo scrutinio tecnico indipendente. Sebbene le minacce cyber legate alle IA autonome siano già oggi concrete ed estremamente pericolose, questa narrativa trasforma l’asimmetria informativa in un asset commerciale: si monetizzano paura ed esclusività, mantenendo un vantaggio competitivo senza il rischio di veder smentite pubblicamente le reali limitazioni operative del sistema”.
Eppure la rivelazione di Mythos e del progetto che lo ha accompagnato ha creato molti timori. Ha spinto ministri delle finanze e banchieri centrali a esprimere serie preoccupazioni, temendo che il modello possa minare la sicurezza dei sistemi finanziari. Si temono effetti apocalittici. E si temono nell’immediato.
“Definirei la narrativa dell’"evento apocalittico” come una chiara iperbole sensazionalistica. Nella realtà tecnica, i modelli avanzati non “rompono” matematicamente i moderni standard crittografici, ma scalano massivamente lo sfruttamento di vulnerabilità di implementazione, configurazioni errate e vettori collaterali. Ci troviamo all’alba di una simmetrica corsa agli armamenti algoritmica: il temporaneo vantaggio offensivo attuale catalizzerà inevitabilmente lo sviluppo e l’adozione di difese AI-driven proattive, capaci di auto-riparazione e neutralizzazione autonoma delle minacce, spostando il conflitto cyber verso una pura competizione tra ecosistemi a velocità macchina”, conclude De Lucia.