Quando Anthropic ha presentato Claude Mythos nell’aprile 2026, l’elemento più sorprendente non è stato il modello in sé, ma la scelta di non renderlo disponibile al pubblico. Secondo l’azienda, Mythos avrebbe raggiunto un livello di efficacia nell’individuazione di vulnerabilità software tale da superare quello della quasi totalità degli esperti umani.
Per questo motivo Anthropic ha deciso di limitarne l’accesso a una cerchia ristretta di organizzazioni attraverso Project Glasswing, un programma che oggi coinvolge oltre 150 enti distribuiti in più di quindici Paesi.
La decisione riflette una preoccupazione sempre più diffusa nel settore tecnologico. I modelli di frontiera stanno diventando straordinariamente efficaci nell’analizzare codice, individuare errori logici, automatizzare attività di fuzzing e sviluppare proof-of-concept exploit. In altre parole, le stesse capacità che possono rafforzare la sicurezza dei sistemi possono essere utilizzate anche per comprometterli.
L’effetto dirompente di Glasswing nella ricerca e gestione delle vulnerabilità
I numeri comunicati da Anthropic hanno inevitabilmente attirato l’attenzione. Attraverso Glasswing sarebbero state individuate oltre diecimila vulnerabilità ad alta o critica severità in software largamente utilizzati, inclusi sistemi operativi, browser e componenti infrastrutturali. Molte di queste falle sarebbero rimaste nascoste per anni, sfuggendo sia agli strumenti tradizionali sia alla comunità internazionale della sicurezza informatica.
Più del numero assoluto, colpisce però la velocità del processo. La scoperta di vulnerabilità è sempre stata un’attività costosa, lenta e fortemente dipendente dalle competenze umane.
Modelli come Mythos sembrano ridurre drasticamente i tempi necessari per passare dall’analisi all’identificazione di una falla sfruttabile. Se questa tendenza verrà confermata, il vantaggio competitivo non sarà più trovare vulnerabilità prima degli altri, ma riuscire a correggerle abbastanza rapidamente.
Il dibattito della comunità cyber su Claude Fable 5
Parallelamente Anthropic ha annunciato Claude Fable 5, la versione pubblica della propria tecnologia più avanzata. Nei benchmark generali il miglioramento rispetto a Opus 4.8 appare contenuto, ma nelle attività di programmazione complessa e nei task che richiedono ragionamenti estesi il divario diventa più evidente.
Per evitare utilizzi impropri, il modello incorpora una serie di limitazioni dedicate alle aree considerate più sensibili, tra cui cyber sicurezza offensiva, biologia e ricerca dual-use. In molti casi le richieste ritenute rischiose vengono elaborate utilizzando versioni meno potenti del sistema.
Questa scelta ha aperto un dibattito acceso all’interno della comunità cyber. Da un lato, limitare l’accesso alle capacità offensive riduce il rischio che criminali informatici, gruppi ransomware o attori statali possano automatizzare attività particolarmente pericolose. Dall’altro, gli stessi vincoli possono rendere più difficile il lavoro di chi si occupa di difesa, red teaming e ricerca sulla sicurezza.
Modelli AI avanzati e dimensione geopolitica
C’è poi un ulteriore elemento da considerare. I guardrail non sono perfetti. Negli ultimi anni ricercatori e team di red teaming hanno dimostrato più volte che sistemi apparentemente robusti possono essere aggirati attraverso tecniche sofisticate di prompt engineering.
La sicurezza di questi modelli non è quindi una condizione permanente, ma un processo continuo di adattamento tra chi costruisce i controlli e chi cerca di superarli.
Se questa è la dimensione tecnologica del problema, la dimensione geopolitica è forse ancora più interessante.
Project Glasswing mostra come l’accesso alle capacità avanzate di cyber sicurezza basate su AI stia diventando un fattore di potere strategico. Le prime organizzazioni ammesse al programma erano quasi esclusivamente statunitensi e comprendevano aziende come Microsoft, Google, Apple, Cisco, CrowdStrike e NVIDIA. Solo in una fase successiva l’iniziativa è stata estesa a soggetti europei e ad altri partner internazionali.
Per l’Europa il tema è particolarmente delicato. Negli ultimi anni Bruxelles ha costruito uno dei quadri regolatori più avanzati al mondo attraverso AI Act, NIS2 e Cyber Resilience Act. Tuttavia, le principali capacità tecnologiche continuano a essere sviluppate altrove.
L’Europa regola l’intelligenza artificiale, ma non dispone ancora di modelli comparabili a Mythos sviluppati e controllati all’interno del proprio ecosistema industriale.
L’ingresso di ENISA e di altre organizzazioni europee in programmi come Glasswing rappresenta certamente un passo avanti. Tuttavia, non risolve il nodo centrale: la dipendenza da soggetti extraeuropei per l’accesso alle tecnologie più avanzate.
Per anni il dibattito sulla sovranità digitale si è concentrato soprattutto sui dati. Il caso Mythos suggerisce però che la questione sia più ampia. Quando un sistema di AI analizza un’infrastruttura critica non produce soltanto un rapporto tecnico. Genera una conoscenza dettagliata delle debolezze di reti, applicazioni e sistemi che possono avere rilevanza strategica per un intero Paese.
In questo contesto il confine tra cyber sicurezza, vantaggio competitivo e intelligence diventa inevitabilmente più sfumato.
La postura italiana: tra partecipazione e rischio sovrano
Per l’Italia il problema assume contorni ancora più concreti. L’utilizzo di modelli avanzati per esaminare reti energetiche, ospedali, sistemi idrici, piattaforme pubbliche o infrastrutture di trasporto comporta inevitabilmente la produzione di informazioni estremamente sensibili.
Da qui nasce una domanda che finora non ha trovato una risposta pubblica chiara: quando un’organizzazione italiana utilizza un modello come Mythos per analizzare le proprie infrastrutture critiche, chi vede i risultati? Dove vengono conservate le informazioni sulle vulnerabilità individuate? Quali soggetti possono accedervi?
La questione assume ulteriore rilevanza considerando che Anthropic ha dichiarato di collaborare con il governo statunitense sui temi legati alla sicurezza nazionale e agli impatti strategici dei propri modelli. Questo non significa che le informazioni generate da Glasswing vengano automaticamente condivise con Washington. Significa però che il tema della governance di questi dati non può essere ignorato.
Il dibattito richiama inevitabilmente quello che, negli anni passati, ha portato alla nascita del Polo Strategico Nazionale e alla Strategia Cloud Italia. In quel caso il tema era la collocazione dei dati strategici della pubblica amministrazione. Oggi emerge una questione diversa ma collegata: non conta soltanto dove risiedono i dati, ma anche chi possiede gli strumenti più avanzati per analizzarli.
Gli Stati Uniti restano il principale alleato occidentale dell’Italia. Ma alleanza e identità di interessi non coincidono necessariamente. Una mappa dettagliata delle vulnerabilità presenti nelle infrastrutture critiche di un Paese rappresenta un asset informativo di enorme valore strategico. La storia delle relazioni internazionali insegna che l’accesso privilegiato a informazioni sensibili non è mai completamente neutrale, nemmeno tra partner e alleati.
Per Roma emerge quindi un dilemma difficile da aggirare. Restare fuori da iniziative come Glasswing significa rinunciare a strumenti che potrebbero migliorare sensibilmente la capacità difensiva nazionale. Parteciparvi significa invece affidarsi a tecnologie sviluppate e controllate al di fuori del perimetro europeo.
Il problema di fondo è che oggi non esistono vere alternative. Le strategie nazionali hanno rafforzato la protezione delle infrastrutture e la governance dei dati, ma non hanno generato modelli di frontiera capaci di competere con quelli sviluppati dai grandi laboratori americani o cinesi. Di conseguenza, l’Italia si trova a dover scegliere tra una dipendenza tecnologica non ideale e la rinuncia a capacità che potrebbero diventare essenziali nel prossimo futuro.
Il prossimo campo di battaglia
Nel medio termine il vantaggio competitivo offerto da Mythos potrebbe rivelarsi temporaneo. OpenAI ha già annunciato iniziative analoghe e altri laboratori, sia statunitensi sia cinesi, stanno investendo massicciamente nella cyber security assistita dall’intelligenza artificiale. È probabile che entro pochi anni capacità oggi considerate eccezionali diventino molto più diffuse.
Il vero cambiamento riguarda però la natura stessa della difesa informatica. Se i modelli saranno in grado di individuare migliaia di vulnerabilità in poche settimane, il vantaggio competitivo non risiederà più nella scoperta delle falle ma nella capacità di gestirle. Verificarle, stabilirne la priorità, sviluppare correzioni e distribuirle rapidamente diventerà il nuovo fattore critico.
Le organizzazioni che non dispongono di processi maturi di vulnerability management rischiano di trovarsi sommerse da un volume crescente di problemi già identificati ma non ancora risolti. In altre parole, la scarsità potrebbe spostarsi dalla scoperta delle vulnerabilità alla capacità operativa di gestirle.
Esiste inoltre un aspetto spesso trascurato. I partecipanti a programmi come Glasswing non stanno acquisendo soltanto tecnologia. Stanno accumulando esperienza, metodologie e competenze organizzative che potrebbero trasformarsi in un vantaggio duraturo. Quando modelli equivalenti saranno disponibili su scala più ampia, chi li utilizza da anni partirà inevitabilmente da una posizione privilegiata.
Nel lungo periodo la trasformazione potrebbe essere ancora più profonda. La cybersicurezza è stata storicamente una disciplina fondata sulle competenze delle persone. L’intelligenza artificiale non elimina il fattore umano, ma ne modifica il ruolo, spostando il valore verso chi controlla modelli avanzati, infrastrutture computazionali e grandi quantità di dati.
In gioco il controllo della sicurezza digitale globale
Chi controllerà questi tre elementi controllerà una quota crescente della sicurezza digitale globale.
Per questo motivo la sfida europea non è soltanto normativa. È industriale, tecnologica e strategica. Senza investimenti significativi nella ricerca AI applicata alla cyber sicurezza, il continente rischia di trovarsi nella posizione paradossale di regolamentare tecnologie dalle quali dipende per la propria sicurezza.
Project Glasswing rappresenta quindi molto più di un programma di ricerca. È uno dei primi segnali concreti di una nuova geopolitica della cyber sicurezza, nella quale l’accesso ai modelli di intelligenza artificiale più avanzati potrebbe diventare importante quanto il controllo delle infrastrutture che quei modelli sono chiamati a proteggere.
Se Mythos manterrà le promesse, tra qualche anno potremo ricordare questa fase come il momento in cui la sicurezza informatica ha cambiato natura. Non perché siano cambiate le vulnerabilità o gli attaccanti, ma perché è cambiata la velocità con cui entrambi riescono a operare.
A quel punto, la questione centrale non sarà più soltanto chi possiede i dati, ma chi possiede gli strumenti migliori per interpretarli, comprenderli e trasformarli in potere strategico.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Pierluigi Paganini
Source link
