Anthropic trattiene Claude Mythos e cambia la scoperta delle vulnerabilità AI

L’era del patching tradizionale è finita. Anthropic ha deciso di trattenere il rilascio pubblico di Claude Mythos, un’intelligenza artificiale avanzata in grado di analizzare trent’anni di codice legacy e individuare vulnerabilità sfruttabili in una frazione del tempo umano. Con la capacità di risolvere in minuti task che richiederebbero 10 ore a un esperto, Mythos azzera la “finestra di exploit”, rendendo ogni sistema potenzialmente indifeso. Mentre il Tesoro USA e la Fed convocano i CEO delle banche per un vertice d’emergenza, le aziende sono costrette ad abbandonare la prevenzione per adottare il modello “Assume-Breach”: la consapevolezza che essere violati non è più un’ipotesi, ma una certezza costante.

Anthropic limita Claude Mythos per ridurre i rischi di abuso

Anthropic annuncia il preview di Claude Mythos il 7 aprile 2026, ma decide di non rilasciare pubblicamente il modello. La scelta nasce dalla natura dual-use della tecnologia, capace di accelerare sia la difesa sia l’offensiva informatica. Mythos può analizzare software complessi, individuare falle sfruttabili e ridurre drasticamente i tempi necessari per passare dalla scoperta alla simulazione di un attacco. L’accesso viene quindi riservato a un gruppo ristretto di grandi organizzazioni, tra cui Microsoft, Apple, AWS e JPMorgan. Anthropic punta a mitigare rischi immediati, evitando che attori criminali possano usare il modello per scoprire vulnerabilità su larga scala. La decisione alimenta però un dibattito acceso: da un lato appare come prudenza responsabile, dall’altro concentra capacità avanzate nelle mani di pochi soggetti già dominanti.

Claude Mythos scopre vulnerabilità in minuti invece che settimane

Le capacità di Claude Mythos cambiano la scala della vulnerability discovery. Il modello identifica falle in sistemi operativi, browser e software legacy con tempi molto inferiori rispetto ai team umani. Task che richiedevano ore o giorni a ricercatori esperti vengono completati in pochi minuti, soprattutto in simulazioni di reti aziendali e ambienti software stratificati. Il vantaggio deriva dalla capacità di analizzare codice accumulato in decenni di sviluppo, riconoscere pattern vulnerabili e valutare la sfruttabilità con alta precisione. Project Glasswing mostra come l’AI possa riportare alla luce migliaia di vulnerabilità rimaste nascoste in software complessi. Questo potenziale difensivo è enorme, ma lo è anche il rischio offensivo: la stessa velocità che aiuta i team di sicurezza può consentire ad attaccanti avanzati di scalare campagne di exploit.

Finestra di exploit quasi azzerata con la scoperta automatizzata

Il punto critico è la riduzione della finestra tra scoperta e sfruttamento. Con Claude Mythos, il settore entra in uno scenario zero-window, dove le organizzazioni non possono più contare su giorni o settimane per analizzare, classificare e correggere una vulnerabilità. La scoperta automatizzata rende obsoleto il modello tradizionale basato su patching reattivo e cicli lenti di remediation. Questa trasformazione incide direttamente sulla gestione del rischio. Se un modello AI può identificare rapidamente falle sfruttabili, ogni ritardo operativo diventa un vantaggio per l’attaccante. Le aziende devono quindi rivedere procedure, inventari software e processi di risposta. Non basta più sapere quali vulnerabilità esistono: serve capire quali possono essere sfruttate subito, su quali asset critici e con quale impatto operativo.

Tesoro USA e Federal Reserve discutono i rischi per il sistema finanziario

Il 10 aprile 2026, il segretario al Tesoro Scott Bessent e il presidente della Federal Reserve Jerome Powell convocano una riunione urgente con i CEO delle principali istituzioni finanziarie. L’obiettivo è valutare i rischi generati da modelli AI capaci di accelerare vulnerabilità, exploit e simulazioni offensive. Il settore bancario è particolarmente esposto perché combina infrastrutture legacy, sistemi critici e altissima sensibilità regolatoria. La riunione conferma che Claude Mythos non è solo un tema tecnico, ma un problema di stabilità sistemica. Le istituzioni finanziarie devono prepararsi a un ambiente in cui la discovery automatizzata può colpire applicazioni core, API, sistemi di pagamento e infrastrutture cloud. Il rischio non riguarda soltanto intrusioni isolate, ma scenari di attacco coordinati con impatti su fiducia, liquidità e continuità operativa.

Assume-breach diventa il nuovo modello operativo per la cybersecurity

Di fronte a capacità come Claude Mythos, le organizzazioni devono adottare pienamente il modello assume-breach. Questo approccio parte dall’idea che una compromissione sia probabile o già in corso e sposta il focus da prevenzione assoluta a rilevazione, contenimento e risposta rapida. La priorità diventa individuare comportamenti anomali dopo l’accesso iniziale, prima che l’attaccante completi escalation e movimento laterale. Le piattaforme di Network Detection and Response diventano centrali perché offrono visibilità continua su traffico, autenticazioni e movimenti interni. Indicatori come connessioni RDP anomale, pivot tramite WMI, traffico SMB insolito, beaconing regolare e query DNS ad alta entropia assumono un valore operativo maggiore. In un mondo zero-window, il tempo di contenimento diventa più importante del tempo di patching.

Remediation e backlog diventano il vero punto debole aziendale

Claude Mythos accelera la discovery, ma molte organizzazioni non sono pronte a gestire il volume di finding generato. Il problema non è solo trovare vulnerabilità, ma trasformare ogni finding in un intervento tracciato, assegnato e verificato. Oggi molti risultati finiscono ancora in spreadsheet, ticket generici o report PDF senza ownership chiara, priorità contestuale e re-testing finale. Il gap tra discovery e remediation rischia quindi di ampliarsi. Un pentest tradizionale può produrre pochi finding critici in alcune settimane, mentre un sistema AI continuo può generarne molti di più in tempi brevissimi. Le aziende devono adottare piattaforme centralizzate per normalizzare dati da scanner, red team, pentest e bug bounty. La priorità deve basarsi sul rischio reale, non solo sul punteggio CVSS: una vulnerabilità critica su un sistema isolato pesa meno di una falla media su un’API esposta ai clienti.

Falsi positivi e qualità dei finding restano una sfida aperta

Anthropic indica un accordo dell’89 per cento sulla severità tra Claude Mythos e contractor umani, ma il dato riguarda campioni curati. Il tasso di falsi positivi su output non filtrati resta una questione critica. In cybersecurity, un falso positivo plausibile può generare costi elevati perché costringe i team a verifiche manuali, escalation inutili e distrazione da minacce reali. Esperti come Bruce Schneier sottolineano proprio questo rischio: un modello capace di produrre finding convincenti ma non sempre corretti può sovraccaricare i team di sicurezza. La qualità del triage diventa quindi essenziale. L’AI deve essere inserita in processi con validazione, priorità contestuale e verifica tecnica. Senza questi passaggi, la scoperta automatizzata può trasformarsi in rumore operativo invece che in vantaggio difensivo.

Accesso limitato aumenta il divario tra big tech e aziende più piccole

Il trattenimento di Claude Mythos crea un secondo problema: la concentrazione delle capacità difensive. Le grandi organizzazioni con accesso privilegiato possono individuare e correggere vulnerabilità molto più rapidamente, mentre piccole e medie imprese restano esposte con strumenti meno avanzati. Questo divario può aumentare la distanza tra Fortune 500 e resto del mercato. La disparità riguarda anche la capacità di remediation. Le grandi aziende dispongono di team dedicati, piattaforme di orchestrazione e processi di risposta maturi. Le PMI spesso non hanno inventario aggiornato, visibilità di rete o personale sufficiente per gestire un flusso continuo di finding. Se modelli simili a Mythos diventano disponibili anche agli attaccanti, il rischio si sposterà proprio verso le organizzazioni meno preparate.

Project Glasswing apre il dibattito sulla disclosure responsabile dell’AI offensiva

Il caso Project Glasswing riapre il tema della disclosure responsabile applicata ai modelli AI avanzati. Una tecnologia capace di scoprire vulnerabilità in minuti deve essere condivisa per migliorare la sicurezza collettiva oppure trattenuta per evitare abusi? Non esiste una risposta semplice. Il rilascio pubblico potrebbe democratizzare la difesa, ma anche accelerare attività criminali. L’accesso ristretto riduce il rischio immediato, ma concentra potere e conoscenza. La comunità AI e cybersecurity si divide su questo punto. Alcuni considerano la scelta di Anthropic un atto necessario di responsabilità, altri la interpretano come un vantaggio competitivo mascherato da prudenza. Il rischio è che stati, gruppi criminali e aziende rivali sviluppino capacità simili in modo opaco. Mythos diventa quindi un forcing function: costringe il settore a definire regole, governance e limiti per strumenti AI con capacità offensive.

Claude Mythos costringe aziende e governi a riscrivere i playbook

L’impatto di Claude Mythos va oltre la singola tecnologia. Le organizzazioni devono aggiornare inventari, pipeline di patching, sistemi di monitoraggio e processi di incident response. La Cloud Security Alliance suggerisce programmi Mythos-ready basati su monitoraggio continuo, operazioni assume-breach e protezione degli ecosistemi fidati. Il punto centrale è prepararsi a una discovery costante, non a test periodici. I governi devono affrontare anche il problema della governance. Se modelli AI possono trovare vulnerabilità in infrastrutture critiche, banche, cloud e software legacy, servono regole su accesso, audit, responsabilità e condivisione controllata delle informazioni. Il rischio non è soltanto tecnico, ma istituzionale. Claude Mythos mostra che l’AI può comprimere tempi e costi dell’offensiva cyber, obbligando tutto il settore a una nuova postura difensiva.

Cybersecurity entra in una fase zero-window guidata dall’intelligenza artificiale

La decisione di Anthropic di trattenere Claude Mythos segna un passaggio decisivo per la cybersecurity. La scoperta automatizzata di vulnerabilità riduce il tempo disponibile per reagire, rende insufficiente il patching tradizionale e sposta il valore verso detection, containment e remediation verificata. Le aziende non possono più permettersi backlog opachi o asset non censiti. Il modello dimostra anche che la sicurezza del futuro sarà definita da una tensione costante tra capacità AI offensive e difensive. Chi avrà accesso a strumenti avanzati potrà rafforzare i propri sistemi, ma gli stessi strumenti potrebbero essere replicati o abusati. Il caso Mythos rende evidente una nuova realtà: la prossima frontiera della cybersecurity non sarà solo trovare vulnerabilità più velocemente, ma governare responsabilmente chi può farlo, come e con quali controlli.