Un singolo modello di intelligenza artificiale ha trovato in poche settimane piu' di 10.000 vulnerabilita' ad alta o critica gravita' nel software che fa funzionare il mondo. Il 26 maggio 2026 Anthropic ha aggiornato i risultati di Project Glasswing, l'iniziativa di cybersicurezza costruita attorno a Claude Mythos Preview, un suo modello di frontiera ancora non rilasciato al pubblico.
Il numero da solo basterebbe a fare notizia. Ma il dato che inquieta di piu' e' un altro: di quelle migliaia di falle inedite, finora ne sono state corrette meno di cento. L'IA ha dimostrato di saper trovare i buchi molto piu' velocemente di quanto l'industria sappia tapparli.
10.000 falle, meno di 100 corrette: il problema della patch
Project Glasswing, avviato il 7 aprile 2026, ha messo Claude Mythos al lavoro sul codice di sistemi operativi, browser e software critici. Nel giro di poche settimane il modello ha identificato migliaia di vulnerabilita' "zero-day" - cioe' sconosciute e quindi prive di rimedio - in ogni principale sistema operativo e in ogni grande browser, oltre che in numerose librerie diffuse.
Il collo di bottiglia non e' piu' la scoperta, ma la correzione. Trovare un bug e' diventato economico; analizzarlo, scrivere la patch, testarla e distribuirla resta un lavoro umano, lento e costoso. Il divario tra le due velocita' e' il vero allarme: se uno strumento simile finisse nelle mani sbagliate, gli attaccanti avrebbero un vantaggio enorme su difensori che non riescono a stare al passo.
Un bug di 27 anni in OpenBSD e uno di 16 in FFmpeg
Alcune scoperte sono clamorose proprio perche' riguardano codice studiato da migliaia di occhi umani per decenni. Tra i casi citati ci sono una vulnerabilita' rimasta nascosta per 27 anni in OpenBSD, un sistema operativo notoriamente attento alla sicurezza, e un bug di 16 anni in FFmpeg, la libreria multimediale onnipresente in software e dispositivi di mezzo mondo.
Sono esempi che spiegano perche' l'approccio cambia le regole del gioco: un modello capace di leggere e ragionare su enormi quantita' di codice trova schemi e percorsi di attacco che la revisione manuale, per quanto rigorosa, puo' lasciarsi sfuggire anno dopo anno.
Perche' Anthropic non rilascia Mythos
Proprio per la sua potenza offensiva, Anthropic ha deciso di non rendere Claude Mythos disponibile in modo generale. L'accesso e' stato concesso in forma controllata a un gruppo di partner selezionati - tra cui Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks - oltre che a parti della comunita' open source, per consentire di correggere le falle prima che vengano sfruttate.
E' la logica del "dual use": lo stesso strumento che difende puo' attaccare. Mettere un modello del genere a disposizione di chiunque significherebbe consegnare a potenziali criminali e a Stati ostili una macchina per scovare exploit. La scelta di Anthropic e' di tenerlo chiuso e di usarlo per ridurre il debito di sicurezza accumulato in decenni di software.
L'IA che attacca e difende: cosa cambia per la cybersicurezza
Glasswing e' un assaggio di un futuro prossimo in cui la sicurezza informatica diventa una corsa tra IA. Da un lato i difensori potranno scansionare il proprio codice prima del rilascio, riducendo drasticamente le falle che arrivano in produzione. Dall'altro, il rischio e' che modelli simili - magari versioni open o trafugate - finiscano per alimentare attacchi automatizzati su scala industriale.
Per le aziende il messaggio operativo e' chiaro: la "superficie d'attacco" del software esistente e' molto piu' ampia di quanto si pensasse, e va affrontata con processi di patch piu' rapidi e con strumenti di analisi automatica del codice. Per i regolatori, la vicenda riapre il dibattito sulla divulgazione responsabile delle vulnerabilita' e sul controllo dei modelli piu' capaci. Mythos non e' ancora un prodotto, ma ha gia' cambiato la conversazione: l'intelligenza artificiale non e' piu' solo un bersaglio da proteggere, e' diventata uno degli attori principali della sicurezza informatica.
