Claude Mythos si prepara a un debutto pubblico più ampio e nel mondo della cybersecurity il dibattito è già aperto tra entusiasmo e prudenza.
Anthropic starebbe lavorando a un rilascio nel corso del 2026 del suo modello di intelligenza artificiale pensato per individuare vulnerabilità nel codice. I primi risultati arrivano dal programma chiuso Project Glasswing e mostrano un potenziale notevole, ma anche un rischio evidente: uno strumento capace di scovare migliaia di bug può aiutare molto i difensori, oppure diventare troppo veloce da gestire se finisce nelle mani sbagliate.
Project Glasswing, i numeri che pesano: 1.000 progetti analizzati e 23.000 vulnerabilità trovate
Nel primo rapporto su Project Glasswing, Anthropic ha spiegato che Claude Mythos avrebbe passato al setaccio oltre 1.000 progetti open source, molti dei quali usati in aziende e in pezzi centrali dell’infrastruttura Internet. Il bilancio dichiarato è notevole: più di 23.000 vulnerabilità individuate, di cui oltre 6.200 falle giudicate elevate o critiche. Non tutto, però, è stato preso per buono senza una verifica umana. Tra i 1.752 bug critici e ad alto rischio già controllati manualmente, secondo Anthropic, il 90,6% è stato confermato come una vulnerabilità reale.
Un dato che ha fatto discutere gli addetti ai lavori, anche perché alcuni partecipanti al programma avrebbero riconosciuto un problema molto concreto: la quantità di falle emerse supera la normale capacità dei team di sicurezza di preparare e distribuire patch in tempi rapidi. Nel progetto sarebbero stati coinvolti circa 50 partner, tra cui Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft e Nvidia. La Linux Foundation, inoltre, avrebbe aperto l’accesso a un numero limitato di organizzazioni e progetti open source.
Mythos non è ancora per tutti: perché Anthropic frena sul rilascio pubblico
La cautela di Anthropic nasce da una valutazione messa nero su bianco dalla stessa azienda: strumenti come Mythos, almeno nel breve periodo, potrebbero essere più utili agli aggressori che ai difensori. Non è un dettaglio. Secondo la società, il modello supererebbe Claude Opus 4.7 nell’analisi del codice e nei compiti svolti in autonomia, mostrando capacità avanzate anche nella costruzione di possibili percorsi d’attacco. In parole semplici: non si limiterebbe a leggere codice e segnalare difetti, ma potrebbe ragionare su come usarli.
Per questo l’accesso iniziale è rimasto dentro un programma chiuso, riservato a partner già attrezzati per gestire vulnerability disclosure, triage e correzioni. Negli ultimi giorni, però, alcuni utenti hanno notato riferimenti a claude-mythos-1-preview in Claude Code e Claude Security. Altri avrebbero visto per poco tempo un’opzione per passare a Mythos nella versione pubblica di Claude Code, poi sparita. Anthropic ha parlato di modelli disponibili in un “futuro prossimo”, ma solo dopo l’arrivo di sistemi di sicurezza più solidi.
Patch, falsi positivi e abusi: l’AI alza la pressione sulla cybersecurity
Il caso Claude Mythos mette in fila tre nodi che la cybersecurity conosce bene, ma che l’AI rende più veloci e più difficili da governare: la mole di segnalazioni, la verifica tecnica e il rischio di abuso. Anche con un tasso di conferma alto, migliaia di report significano analisti al lavoro, manutentori da coinvolgere, coordinamento con i progetti open source e tempi di aggiornamento da rispettare. “Il collo di bottiglia non è più solo trovare il bug”, ha spiegato più volte il settore della sicurezza applicativa, “ma correggerlo senza rompere altro”.
Restano poi i falsi positivi, che fanno perdere tempo, e il punto più delicato: gli attori malevoli. Un modello capace di accelerare la scoperta di vulnerabilità critiche può diventare uno strumento difensivo molto forte se usato in ambienti controllati. Fuori da quei confini, però, potrebbe abbassare i costi di campagne offensive contro software diffusi e non ancora aggiornati. Per questo il possibile debutto pubblico di Mythos viene osservato con attenzione: non come una semplice novità di prodotto, ma come un passaggio capace di cambiare il ritmo della caccia ai bug.
