Claude annuncia Mythos: l'AI talmente brava nel codice da non poter essere distribuita sul mercato! — Markdown

# Claude annuncia Mythos: l'AI talmente brava nel codice da non poter essere distribuita sul mercato!

13 aprile 2026 — Alessandro Caprai

---

Il panorama della sicurezza informatica è stato scosso da un annuncio che rappresenta probabilmente un punto di svolta nell'evoluzione dell'intelligenza artificiale applicata alla cybersecurity. Anthropic ha presentato Claude Mythos Preview, un modello linguistico di nuova generazione che dimostra capacità talmente avanzate nel campo della sicurezza informatica da aver spinto l'azienda a limitarne drasticamente la distribuzione. Non si tratta di una scelta commerciale, ma di una decisione etica che segna un precedente importante: per la prima volta, un'AI viene considerata troppo potente per essere rilasciata liberamente sul mercato.

## Un Modello che Ridefinisce gli Standard della Sicurezza Informatica

Claude Mythos Preview non è semplicemente un'evoluzione incrementale dei modelli precedenti. Le sue capacità nell'identificare vulnerabilità di sicurezza, sviluppare exploit e analizzare codice rappresentano un salto qualitativo che impone una riflessione profonda sulle implicazioni tecnologiche ed etiche dell'AI avanzata.

Le performance di Mythos Preview sono eccellenti su tutti i fronti, ma è nel dominio della computer security che il modello dimostra capacità straordinarie, mai viste prima in un sistema di intelligenza artificiale generale. Questa superiorità ha portato Anthropic a lanciare il Project Glasswing, un'iniziativa volta a utilizzare Mythos Preview per rafforzare la sicurezza del software più critico al mondo e preparare l'industria alle pratiche necessarie per mantenersi un passo avanti rispetto agli attaccanti informatici.

### Project Glasswing: Una Risposta Coordinata

Il Project Glasswing rappresenta un approccio completamente nuovo alla cybersecurity. Invece di seguire il tradizionale percorso di commercializzazione, Anthropic ha scelto di fornire accesso a Mythos Preview esclusivamente a grandi organizzazioni e maintainer di software critico. L'obiettivo è permettere loro di identificare e correggere le vulnerabilità prima che il modello diventi disponibile a un pubblico più ampio, riducendo così la finestra temporale in cui attori malintenzionati potrebbero sfruttare queste capacità per scopi criminosi.

Questa scelta certifica l'impegno di Anthropic verso un web più sicuro e giusto, mettendo la responsabilità sociale davanti agli interessi commerciali immediati.

## Capacità Tecniche: Cosa Rende Mythos Preview Così Eccezionale

### Identificazione di Vulnerabilità Zero-Day

Una delle capacità più impressionanti di Mythos Preview è la sua abilità nell'identificare vulnerabilità zero-day in codebase open source reali. Le vulnerabilità zero-day sono falle di sicurezza precedentemente sconosciute, quelle che rappresentano il massimo valore sia per i ricercatori di sicurezza che per gli attaccanti.

Durante i test, Mythos Preview ha dimostrato di poter:

1. Analizzare autonomamente grandi codebase
2. Identificare pattern di codice potenzialmente vulnerabili
3. Generare proof-of-concept funzionanti per le vulnerabilità scoperte
4. Classificare la severità delle vulnerabilità identificate

La percentuale di successo e la velocità con cui il modello identifica queste vulnerabilità superano significativamente le capacità dei sistemi precedenti, e in molti casi rivaleggiano con quelle di ricercatori di sicurezza esperti.

### Reverse Engineering e Exploit di Vulnerabilità N-Day

Altrettanto impressionante è la capacità di Mythos Preview nel reverse engineering di exploit su software closed-source e nella trasformazione di vulnerabilità N-day (note ma non ancora ampiamente patched) in exploit funzionanti.

Questo rappresenta un'evoluzione significativa rispetto ai modelli precedenti, che tipicamente mostravano difficoltà nell'analisi di binari compilati e nella comprensione di complesse catene di exploit. Mythos Preview invece dimostra una comprensione profonda dell'architettura dei sistemi, delle convenzioni di calling, e delle tecniche di exploitation moderne.

## Esempi Concreti: Vulnerabilità Scoperte da Mythos Preview

### Il Bug di OpenBSD Vecchio 27 Anni

Uno degli esempi più emblematici delle capacità di Mythos Preview riguarda una vulnerabilità nel protocollo TCP implementato in OpenBSD. Per comprendere l'importanza di questa scoperta, è necessario capire alcuni fondamenti del protocollo TCP.

Il Funzionamento Base di TCP

Come definito nell'RFC 793, TCP è un protocollo relativamente semplice nel suo concetto base. Ogni pacchetto inviato dall'host A all'host B include un sequence ID, e l'host B dovrebbe rispondere con un pacchetto di acknowledgement (ACK) contenente l'ultimo sequence ID ricevuto correttamente. Questo meccanismo permette all'host A di ritrasmettere i pacchetti mancanti.

Il Problema con SACK

Tuttavia, questo approccio presenta una limitazione significativa. Supponiamo che l'host B abbia ricevuto i pacchetti 1 e 2, non abbia ricevuto il pacchetto 3, ma poi abbia ricevuto i pacchetti dal 4 al 10. In questo scenario, B può segnalare solo la ricezione fino al pacchetto 2, costringendo il client A a ritrasmettere tutti i pacchetti successivi, inclusi quelli già ricevuti correttamente.

Per risolvere questa inefficienza, è stata introdotta l'estensione SACK (Selective Acknowledgment), che permette all'host B di segnalare precisamente quali pacchetti ha ricevuto e quali no.

La Vulnerabilità Scoperta

Mythos Preview ha identificato una vulnerabilità nell'implementazione SACK di OpenBSD che permetterebbe a un avversario di mandare in crash qualsiasi host OpenBSD che risponde via TCP. Questa vulnerabilità era rimasta nascosta per 27 anni, nonostante OpenBSD sia un sistema operativo noto per l'attenzione maniacale alla sicurezza e per essere stato sottoposto a innumerevoli audit di sicurezza.

La scoperta di una vulnerabilità così vecchia in un componente così critico e studiato dimostra quanto profonda sia la capacità di analisi di Mythos Preview.

### La Vulnerabilità di FFmpeg Vecchia 16 Anni

Un altro esempio significativo riguarda FFmpeg, una libreria di elaborazione media utilizzata per codificare e decodificare file video e immagine. FFmpeg è uno dei progetti software più testati al mondo, dato che quasi ogni servizio importante che gestisce video si affida ad esso.

Il Ruolo del Fuzzing

Gran parte dei test di sicurezza su FFmpeg proviene dal fuzzing, una tecnica in cui i ricercatori di sicurezza alimentano il programma con milioni di file video generati casualmente, monitorando eventuali crash. Il fatto che FFmpeg sia stato sottoposto a campagne di fuzzing così intensive rende ancora più notevole la scoperta di Mythos Preview.

Il modello è riuscito a identificare una vulnerabilità presente nel codice da 16 anni, sfuggita a decenni di fuzzing automatizzato e analisi manuale da parte di esperti di sicurezza. Questo suggerisce che Mythos Preview non si limita a eseguire tecniche di testing conosciute in modo più efficiente, ma possiede una comprensione più profonda delle possibili interazioni problematiche nel codice.

## L'Approccio alla Divulgazione Responsabile

Uno degli aspetti più critici della gestione di capacità così avanzate è il processo di divulgazione delle vulnerabilità scoperte. Anthropic ha sviluppato principi operativi precisi per la coordinated vulnerability disclosure che guidano come vengono riportate le vulnerabilità identificate da Mythos Preview.

### Il Processo di Triaging e Validazione

Il workflow implementato prevede:

1. **Triaging automatico**: Ogni bug identificato viene inizialmente classificato dal sistema
2. **Validazione umana**: Le vulnerabilità ad alta severità vengono inviate a triager professionisti per la validazione
3. **Divulgazione coordinata**: Solo dopo la validazione, le vulnerabilità vengono comunicate ai maintainer

Questo processo multi-step serve a evitare di sommergere i maintainer con una quantità ingestibile di segnalazioni, molte delle quali potrebbero rivelarsi falsi positivi. Tuttavia, la lunghezza di questo processo implica anche che, al momento dell'annuncio, meno dell'1% delle potenziali vulnerabilità scoperte è stato completamente patchato dai maintainer.

### Le Implicazioni dei Numeri

Questa statistica ha implicazioni profonde. Significa che oltre il 99% delle vulnerabilità identificate da Mythos Preview rimane attualmente non patchato nel software in produzione. Per ragioni di sicurezza, Anthropic non può divulgare i dettagli di queste vulnerabilità fino al completamento del processo di responsible disclosure.

Ciò significa che le dimostrazioni e gli esempi discussi pubblicamente rappresentano solo un lower bound delle capacità reali del modello. Nei prossimi mesi, man mano che il processo di disclosure procederà e le vulnerabilità verranno patched, emergerà un quadro più completo dell'impatto di Mythos Preview.

## Trasparenza e Accountability: L'Uso degli Hash Crittografici

Per bilanciare la necessità di responsible disclosure con l'imperativo di trasparenza e accountability, Anthropic ha adottato un approccio innovativo basato su commitment crittografici.

### Il Meccanismo dei Commit Hash

In diverse sezioni dell'annuncio, l'azienda discute vulnerabilità in modo astratto, senza nominare progetti specifici o spiegare dettagli tecnici precisi. Per evitare che queste affermazioni restino non verificabili indefinitamente, Anthropic pubblica gli hash SHA-3 di varie vulnerabilità ed exploit attualmente in loro possesso.

```python
# Esempio concettuale di come funziona il commitment
import hashlib

vulnerability_details = """
Project: [REDACTED]
CVE: [PENDING]
Severity: Critical
Description: [DETAILED TECHNICAL DESCRIPTION]
PoC: [PROOF OF CONCEPT CODE]
"""

# Generazione dell'hash SHA-3
sha3_hash = hashlib.sha3_256(vulnerability_details.encode()).hexdigest()
print(f"Commitment hash: {sha3_hash}")
```

Una volta completato il processo di responsible disclosure (entro massimo 90 + 45 giorni dalla segnalazione alla parte interessata), ogni commit hash verrà sostituito con un link al documento sottostante, permettendo a chiunque di verificare che le affermazioni originali corrispondano alle vulnerabilità effettivamente scoperte.

Questo approccio rappresenta un equilibrio sofisticato tra:

1. La necessità di proteggere gli utenti evitando la divulgazione prematura
2. L'imperativo di trasparenza scientifica e tecnica
3. La responsabilità verso la comunità di security

## Implicazioni per l'Industria della Cybersecurity

L'emergere di capacità come quelle dimostrate da Mythos Preview rappresenta un momento spartiacque per l'industria della sicurezza informatica. Non si tratta semplicemente di un nuovo strumento nel toolbox del ricercatore di sicurezza, ma di un cambiamento qualitativo che richiede una ricalibrazione delle nostre assunzioni fondamentali.

### La Fine dell'Oscurità come Strategia di Sicurezza

Tradizionalmente, molte organizzazioni hanno fatto affidamento su una forma di "security through obscurity", assumendo che la complessità del loro codice e la limitata disponibilità di esperti di sicurezza fornisse una protezione intrinseca. Mythos Preview dimostra che questa assunzione non è più valida.

Quando un modello di AI può:

1. Analizzare milioni di righe di codice in tempi brevi
2. Identificare pattern vulnerabili con accuratezza comparabile a quella di esperti umani
3. Generare exploit funzionanti automaticamente

La barriera all'entrata per l'identificazione di vulnerabilità si abbassa drasticamente. Questo vale sia per i difensori che per gli attaccanti.

### L'Asimmetria Attaccante-Difensore si Intensifica

Un aspetto preoccupante è che Mythos Preview potrebbe, paradossalmente, aumentare l'asimmetria tra attaccanti e difensori, almeno nel breve termine. Gli attaccanti necessitano di trovare una sola vulnerabilità per compromettere un sistema, mentre i difensori devono identificare e patchare tutte le vulnerabilità.

Con strumenti come Mythos Preview, gli attaccanti potrebbero:

1. Identificare rapidamente vulnerabilità zero-day
2. Sviluppare exploit sofisticati senza competenze tecniche approfondite
3. Automatizzare la ricerca di vulnerabilità su larga scala

Questa è precisamente la ragione per cui Anthropic ha scelto un approccio di distribuzione controllata, dando priorità ai difensori.

### La Necessità di Pratiche Difensive Evolute

L'industria deve urgentemente adottare pratiche difensive più sofisticate. Anthropic conclude il suo annuncio con raccomandazioni per i cyber defenders e un appello all'azione coordinata:

1. **Adozione accelerata di pratiche di secure coding**: Il codice deve essere scritto assumendo che sarà sottoposto ad analisi AI avanzate
2. **Investimenti in testing automatizzato**: Le organizzazioni devono investire in strumenti di testing che incorporano capacità AI simili
3. **Riduzione della superficie di attacco**: Minimizzare il codice esposto e le dipendenze esterne diventa ancora più critico
4. **Programmi di patch management aggressivi**: La finestra tra disclosure e exploitation si ridurrà drasticamente

## Riflessioni Etiche e Filosofiche

L'approccio di Anthropic solleva questioni etiche e filosofiche profonde che vanno oltre la pura tecnica.

### Il Principio di Precauzione nell'AI

La decisione di limitare la distribuzione di Mythos Preview rappresenta un'applicazione del principio di precauzione all'intelligenza artificiale. Invece di massimizzare il ritorno commerciale immediato, Anthropic ha scelto di dare priorità alla sicurezza collettiva.

Questa scelta stabilisce un precedente importante: non tutte le capacità AI devono essere immediatamente disponibili al pubblico generale, specialmente quando i rischi superano i benefici nel breve termine.

### La Responsabilità dei Laboratori di AI

L'annuncio pone implicitamente una domanda cruciale: qual è la responsabilità dei laboratori di AI quando sviluppano capacità che potrebbero essere utilizzate per scopi dannosi?

Anthropic suggerisce che questa responsabilità include:

1. Valutazione proattiva dei rischi
2. Sviluppo di strategie di mitigazione prima del rilascio
3. Collaborazione con stakeholder per gestire l'impatto
4. Trasparenza sui limiti e i rischi

Questo modello potrebbe diventare un template per come l'industria dell'AI gestisce capacità dual-use in futuro.

### L'Equilibrio tra Apertura e Sicurezza

La comunità dell'AI si è tradizionalmente orientata verso l'apertura, con molti sostenitori dell'open source che argomentano che la trasparenza e l'accessibilità portino a sistemi migliori e più sicuri. Mythos Preview sfida questa assunzione, almeno nel contesto della cybersecurity.

L'approccio di Anthropic suggerisce che potrebbe esistere una categoria di modelli AI per cui la distribuzione controllata e graduale è più responsabile della pubblicazione immediata open source.

## Prospettive Future

Mentre Mythos Preview rappresenta un punto di svolta, è importante riconoscere che si tratta solo dell'inizio di una traiettoria tecnologica più ampia.

### L'Evoluzione delle Capacità AI in Security

Possiamo aspettarci che le capacità dimostrate da Mythos Preview non solo persistano, ma si amplino nei modelli futuri. Questo include:

1. **Analisi più profonda**: Capacità di identificare vulnerabilità logiche complesse che richiedono comprensione semantica approfondita
2. **Exploit chain automatizzati**: Generazione automatica di catene di exploit che combinano multiple vulnerabilità
3. **Analisi di sistemi complessi**: Comprensione delle interazioni di sicurezza tra componenti multipli
4. **Adattamento a contromisure**: Capacità di aggirare automaticamente misure difensive

### La Corsa agli Armamenti nella Cybersecurity AI

È inevitabile che si sviluppi una forma di corsa agli armamenti nell'ambito dell'AI per la cybersecurity. Laboratori di AI competeranno per sviluppare modelli sempre più capaci, mentre attori statali e organizzazioni criminali cercheranno di ottenere accesso a queste tecnologie.

La sfida per l'industria sarà mantenere un vantaggio per i difensori, garantendo che le capacità difensive evolvano più rapidamente di quelle offensive.

### Il Ruolo della Regolamentazione

L'annuncio di Mythos Preview probabilmente accelererà le discussioni sulla regolamentazione dell'AI nel contesto della cybersecurity. Possiamo aspettarci:

1. **Requisiti di disclosure**: Obblighi di rivelare capacità AI potenzialmente dannose alle autorità
2. **Standard di sicurezza**: Requisiti minimi per il testing di sicurezza prima del deployment di modelli AI
3. **Controlli sull'esportazione**: Limitazioni sulla distribuzione internazionale di AI con capacità offensive
4. **Liability frameworks**: Nuove normative sulla responsabilità per danni causati da AI mal utilizzate

## Conclusioni: Un Nuovo Paradigma per la Sicurezza Informatica

L'annuncio di Claude Mythos Preview e del Project Glasswing rappresenta molto più di un semplice lancio di prodotto. È il riconoscimento che siamo entrati in una nuova era della cybersecurity, in cui l'intelligenza artificiale non è più solo uno strumento ausiliario, ma diventa un fattore determinante nell'equilibrio tra attaccanti e difensori.

La scelta di Anthropic di limitare la distribuzione di Mythos Preview, privilegiando l'accesso a organizzazioni che possono utilizzarlo per rafforzare la sicurezza del software critico, stabilisce un precedente importante per come l'industria dell'AI dovrebbe gestire capacità dual-use potenzialmente pericolose.

Il fatto che un'azienda sia disposta a sacrificare potenziali guadagni commerciali immediati per dare priorità alla sicurezza collettiva è incoraggiante. Certifica l'impegno di Anthropic verso un web più giusto e sicuro, e dimostra che è possibile bilanciare innovazione e responsabilità.

Nei prossimi mesi, mentre più vulnerabilità vengono patched e più dettagli emergono sulle capacità di Mythos Preview, avremo un quadro più completo dell'impatto di questa tecnologia. Una cosa è certa: l'industria della cybersecurity non sarà più la stessa, e tutti noi, sviluppatori, security researchers, e utenti finali, dovremo adattarci a questa nuova realtà.

La domanda non è se l'AI trasformerà la cybersecurity, ma come noi come industria e società sceglieremo di gestire questa trasformazione. L'approccio di Anthropic con Mythos Preview offre un modello promettente, ma richiederà uno sforzo coordinato da parte di tutti gli stakeholder per garantire che questa potente tecnologia venga utilizzata per rafforzare, piuttosto che indebolire, le nostre difese collettive.

Il futuro della sicurezza informatica è arrivato, e richiede che agiamo con urgenza, responsabilità e collaborazione senza precedenti.