Dario Amodei, CEO e co-fondatore di Anthropic, interviene al Forum economico mondiale di Davos, in Svizzera, il 20 gennaio 2026. (Foto: Reuters).JPG
Nell'aprile del 2026, il mondo della sicurezza informatica ha assistito a un evento raro: Anthropic ha lanciato il suo nuovo modello, Mythos, ma ha esitato a renderlo disponibile al grande pubblico. Ciò che ha reso Mythos così significativo non è stata la sua capacità di parlare meglio di un tipico chatbot, ma l'affermazione di Anthropic secondo cui sarebbe stato in grado di individuare e sfruttare vulnerabilità del software su una scala fino ad allora accessibile solo ai massimi esperti.
In altre parole, non si tratta più di una storia sull'IA che sa scrivere codice o che fornisce assistenza nella programmazione, ma di un'IA che partecipa direttamente all'aspetto più delicato della sicurezza informatica: individuare le vulnerabilità prima che gli esseri umani possano notarle e trasformarle in percorsi di attacco utilizzabili. Pertanto, fin dal giorno del suo annuncio, il 7 aprile, Anthropic ha reso Mythos accessibile solo a un pubblico limitato, anziché rilasciarlo sul mercato generale.
In particolare, Mythos non è potente solo in teoria. Anthropic ha annunciato che il suo modello ha individuato migliaia di vulnerabilità critiche, tra cui un bug di 27 anni in OpenBSD, un bug di 16 anni in FFmpeg e un bug di 17 anni in FreeBSD. L'azienda ha anche affermato che oltre il 99% delle vulnerabilità individuate all'epoca non erano ancora state corrette, pertanto i dettagli non potevano essere divulgati pubblicamente. Se questi dati venissero confermati da un processo di revisione e pubblicazione responsabile, dimostrerebbero che le capacità dell'IA hanno iniziato a raggiungere un ambito molto delicato: la ricerca di bug profondamente radicati nel codice sorgente, presenti da tempo nel sistema e che hanno superato molteplici livelli di test automatizzati, nonché diverse fasi di revisione umana. La questione, quindi, non riguarda più "l'IA è più veloce degli umani", ma "l'IA sta cambiando la natura stessa della ricerca di bug".
Il logo di Anthropic è visualizzato sullo schermo di un telefono a Créteil, in Francia, il 21 aprile 2026. (Foto AFP).jpg
Per comprendere la preoccupazione del settore della sicurezza informatica, è necessario considerare il problema di lunga data rappresentato dall'intervento umano: tempo, competenze e costi. Una vulnerabilità grave richiede in genere ore o giorni di analisi e ricostruzione prima che sia possibile sviluppare un exploit. Con Mythos, questo collo di bottiglia è stato improvvisamente alleviato. L'AISI del Regno Unito riporta che Mythos è il primo modello in grado di completare una simulazione completa di attacco informatico aziendale in 32 fasi in 3 tentativi su 10, con un tasso di successo medio di 22 su 32 fasi. Nei test CTF di livello esperto, il modello ha raggiunto un tasso di successo del 73%. È importante notare che l'AISI non afferma che Mythos sia in grado di superare tutte le difese più robuste del mondo reale. Tuttavia, il semplice fatto che l'IA abbia compiuto questi progressi in una lunga sequenza di attività indica che la finestra temporale tra la scoperta e lo sfruttamento di una vulnerabilità si ridurrà rapidamente.
Questo punto è stato chiaramente dimostrato nella pratica. Mozilla ha dichiarato che la versione 150 di Firefox ha corretto 271 vulnerabilità scoperte grazie a una versione preliminare di Mythos. In precedenza, in collaborazione con Anthropic e utilizzando una generazione precedente di modelli, Firefox 148 aveva corretto solo 22 falle critiche. Il numero 271 non significa automaticamente che Internet sia diventato immediatamente 271 volte più pericoloso. Ma mostra qualcosa di molto più concreto: le capacità di scansione basate sull'intelligenza artificiale possono spingere i team di sicurezza a una fase di pulizia su larga scala, in cui vengono scoperte simultaneamente numerose potenziali vulnerabilità. Pertanto, l'era che ci attende potrebbe non essere un'era in cui "gli hacker dell'IA trionfano su tutto", ma piuttosto un'era in cui ogni team di sviluppo software è costretto a eseguire un audit completo più approfondito, rapido e che richiede molte più risorse.
Testo simulato dall'intelligenza artificiale su una scheda madre di computer, 23 giugno 2023. (Foto: Reuters)
Naturalmente, Mythos non è solo una lente d'ingrandimento per i difensori. La duplice natura di questa tecnologia è ciò che preoccupa le autorità di regolamentazione. Anthropic riconosce che il modello può identificare e sfruttare vulnerabilità zero-day sui principali sistemi operativi e browser su richiesta. Il loro rapporto tecnico afferma inoltre che anche chi non ha una formazione specifica in materia di sicurezza, se dotato degli strumenti giusti, può consentire a Mythos di individuare le vulnerabilità e sfruttarle automaticamente. È questo che cambia completamente gli equilibri della sicurezza informatica: quando la conoscenza degli attacchi viene integrata in un modello, la barriera d'ingresso per gli aggressori si abbassa, mentre la pressione sui difensori aumenta drasticamente. In breve, l'intelligenza artificiale sta trasformando la ricerca di bug da un'attività costosa a un processo replicabile su scala automatizzata.
Pertanto, Anthropic non ha rilasciato Mythos come un tipico prodotto di consumo. Ha invece creato Project Glasswing, riunendo partner come Amazon Web Services, Apple, Google, Microsoft, NVIDIA, JPMorgan Chase, la Linux Foundation e Palo Alto Networks, e ampliando la collaborazione fino a includere oltre 40 organizzazioni che sviluppano o gestiscono infrastrutture software critiche. Anthropic ha stanziato fino a 100 milioni di dollari in crediti per Mythos e 4 milioni di dollari in supporto diretto a organizzazioni di sicurezza open source. In teoria, si tratta di uno sforzo per dare priorità alle capacità difensive rispetto a quelle offensive. Ma anche l'altro lato della medaglia è evidente: uno strumento in grado di influenzare la sicurezza globale del software è ora nelle mani di un laboratorio privato e di un gruppo selezionato di partner. Il dibattito non riguarda solo "quanto è pericolosa l'IA", ma anche "chi è autorizzato a usarla e chi la supervisiona".
Il sito web del progetto antropico Glasswing è visualizzato su un telefono a Bruxelles, in Belgio, il 12 aprile 2026. (Foto: AFP)
Il mercato ha reagito rapidamente. Reuters ha riportato un calo dei titoli software statunitensi dopo l'annuncio di Mythos il 7 aprile, mentre il Financial Times ha osservato che i titoli della sicurezza informatica sono stati messi sotto pressione, poiché gli investitori hanno iniziato a considerare la possibilità che l'intelligenza artificiale potesse cambiare i modelli di business tradizionali della sicurezza. C'è un paradosso notevole in questo. Quando un modello di intelligenza artificiale aiuta a individuare le vulnerabilità in modo più efficace, la domanda di sicurezza informatica non diminuisce. Al contrario, la domanda potrebbe addirittura aumentare significativamente, ma si sposterà dai prodotti di protezione tradizionali a nuove funzionalità come la scansione basata sull'intelligenza artificiale, l'applicazione automatica delle patch, la valutazione della catena di fornitura del software, il monitoraggio delle anomalie e la risposta rapida in tempo reale.
Ciononostante, la cautela rimane essenziale. Il rapporto sui rischi di Anthropic non descrive Mythos come una "super IA ribelle", ma conclude che il rischio complessivo è molto basso, sebbene superiore a quello dei modelli precedenti. L'azienda afferma che le prime versioni a volte reagiscono in modo eccessivo per portare a termine i compiti e, in rari casi, ci sono segnali di tentativi di occultamento di tale comportamento. Bloomberg ha anche riportato che un gruppo di utenti non autorizzati ha ottenuto l'accesso a Mythos e il Wall Street Journal ha riferito che la Casa Bianca si è opposta all'estensione dell'accesso di Anthropic a circa 120 organizzazioni per motivi di sicurezza nazionale. Questi fatti dimostrano che la questione più importante non riguarda i dettagli sensazionalistici, ma un problema ben più complesso: come gestire uno strumento in cui sia la sicurezza che l'espansione comportano dei rischi.
Pertanto, ciò che Mythos ha veramente scosso non è stato un singolo sistema, ma il modo in cui il mondo pensa alla sicurezza informatica. Per anni, le aziende hanno creduto che fosse sufficiente aumentare i budget per la sicurezza, assumere un numero sufficiente di esperti e applicare regolarmente le patch alle vulnerabilità per mantenere l'equilibrio. Mythos dimostra che questo equilibrio si sta spostando. Quando l'IA sarà in grado di individuare le vulnerabilità su scala industriale, il vincitore sarà chi disporrà di una migliore disciplina di aggiornamento, di un controllo degli accessi più rigoroso, di una registrazione più accurata e chi farà della sicurezza informatica una questione di competenza del consiglio di amministrazione, non solo del reparto tecnico. Questo è anche ciò che il governo britannico e l'AISI stanno sottolineando: in questa nuova era, principi fondamentali come l'applicazione delle patch, la configurazione sicura, l'autorizzazione corretta e il monitoraggio continuo non sono obsoleti; sono più importanti che mai. Oggi è Mythos. Domani saranno modelli ancora più potenti. Da questo momento in poi, la domanda non è più se l'IA sia entrata nel campo di battaglia della sicurezza informatica, ma se le organizzazioni si siano adattate per sopravvivere in quel campo di battaglia.
Fonte: https://vtv.vn/mythos-mo-hinh-ai-lam-rung-chuyen-the-gioi-an-ninh-mang-100260525191904058.htm
![[Foto] La delegazione partecipante al 14° Congresso dei sindacati vietnamiti visita il Mausoleo del Presidente Ho Chi Minh.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780451842301_ndo_br_img-3824-jpg.webp)
Commento (0)