Home Fondamenti Token Modelli AI Deep Learning Tecniche RAG MCP Orchestrazione Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Anthropic avvisa che la preview Claude Mythos indi...

Anthropic avvisa che la preview Claude Mythos individua bug con maggiore velocità rispetto agli sviluppatori

The Decoder (EN) 23 maggio 2026

Anthropic ha annunciato in data 23 maggio 2026 i risultati del progetto Project Glasswing, il cui modello AI Claude Mythos è riuscito a rilevare in un mese più di 10.000 vulnerabilità critiche in software fondamentali per il funzionamento di sistemi internet e infrastrutture vitali, in collaborazione con circa 50 partner.

Rilevamento più veloce della capacità di patch

La capacità di individuazione del modello è superiore alla velocità con cui possono essere verificate e corrette, creando un periodo di transizione pericoloso. Anthropic avverte che modelli come Claude Mythos sono in grado di individuare le vulnerabilità molto più velocemente delle organizzazioni che devono intervenire per correggerle.

Progetto Glasswing e prime analisi

A un mese dal lancio del progetto, Anthropic ha rilasciato un post sul blog che descrive i primi risultati del modello Claude Mythos Preview. In particolare, il modello si concentra sull’individuazione di vulnerabilità con altissima o critica severità in software essenziali.

La società ha scelto di non rivelare informazioni tecniche per circa 90 giorni, periodo normativo standard per la divulgazione di nuove vulnerabilità, evitando così di mettere a rischio gli utilizzatori finali.

Ricovero di bug dieci volte maggiore

Gli partner del progetto, che sviluppano software fondamentali per internet e infrastrutture critiche, hanno segnalato un aumento di dieci volte nel numero di vulnerabilità rilevate.

    • Cloudflare ha segnalato 2000 bug, 400 con alta o critica severità, con un tasso di falsi positivi inferiore a quello degli umani.
    • Mozilla ha riscontrato e riparato 271 vulnerabilità in Firefox 150. Il numero è più di dieci volte superiore rispetto al risultato ottenuto con l’utilizzo del predecessore, Claude Opus 4.6, per Firefox 148.

Riconoscimenti e benchmark esterni

Altri enti, come il UK AI Security Institute, hanno riconosciuto la capacità di risoluzione del modello, affermando che il checkpoint di ultima generazione di Mythos è in grado di risolvere due cyber range in-house basati su simulazioni di attacchi complessi.

La piattaforma indipendente XBOW ha definito il modello una "grande evoluzione rispetto ai precedenti", lodando la "precisione senza precedenti".

Inoltre, Anthropic ha sostenuto che il modello supera i benchmark accademici ExploitBench e ExploitGym, dove si colloca al di sopra di GPT-5.5, anche se questo ultima versione è già accessibile al pubblico.

Diminuzione degli aggiornamenti per difetti

Anthropic ha registrato un aumento significativo nel numero delle correzioni effettuate nel mese scorso:

    • Palo Alto Networks ha consegnato cinque volte più patch rispetto alla norma nel suo ultimo aggiornamento.
    • Microsoft ha dichiarato che il numero di nuove correzioni risulterà "più elevato per un certo periodo".
    • Oracle ha dichiarato di rilevare e risolvere vulnerabilità "diverse volte più velocemente rispetto al passato".

Applicazione non solo per cybersecurity

Ancora, Anthropic ha riportato che il modello ha dimostrato la sua utilità anche al di fuori delle aree di cybersecurity. In un caso, ha aiutato un banco partner a bloccare una truffa con trasferimento di 1,5 milioni di dollari, evitando così la realizzazione del crimine.

Numero esteso di vulnerabilità rilevate nei progetti opensource

In collaborazione con partner, Anthropic ha utilizzato il modello Myhtos Preview per analizzare più di 1000 progetti opensource. Il modello ritiene di aver individuato 6202 vulnerabilità ad alta o critica severità, per un totale di 23019 individuazioni, con valutazione variabile.

Ad oggi, 1752 di quelle vulnerabilità ad alta o critica severità sono state riviste in modo indipendente da aziende di sicurezza, e il 90,6% sono state confermate come positive. Il 62,4% sono state verificate come vulnerabilità realmente ad alta o critica severità. A tale ritmo, Anthropic stima di avere individuato circa 3900 vulnerabilità confermate in codice opensource.

Tempistiche di riparazione e problematiche esterne

Tuttavia, rimane un problema: di quelle 23019 vulnerabilità scoperte, solo 97 sono state effettivamente aggiornate. La discrepanza da rilevazione alla correzione è chiara, con il grafico che evidenzia un forte calo.

Può richiedere circa due settimane la correzione di una vulnerabilità ad alta o critica severità. Al momento, 530 vulnerabilità sono state riferite ai collaboratori e 75 risolte. Inoltre, il 65% degli ultimi 530 ha ricevuto un comunicato ufficiale.

Chiesto di rallentare la divulgazione di informazioni

Alcuni manutentori open-source hanno contattato Anthropic per chiedere di rilasciare le informazioni delle vulnerabilità con maggiore attenzione, sostenendo di aver bisogno di tempo extra per risolvere le problematiche.

Ovviamente, Anthropic ha riconosciuto che non si è riusciti a contenere pienamente il pericolo di utilizzo scorretto di questi modelli potenti.

Rischi potenziali e modelli futuri

Anthropic avverte che modelli con capacità simili saranno presto accessibili a un vasto pubblico. Tra questi, OpenAI’s GPT-5.5 è citato come un esempio, con una variante specializzata in ambito cybersecurity denominata GPT-5.5 Cyber.

Questi modelli, afferma la società, apriranno un periodo di transizione in cui la velocità di identificazione di vulnerabilità supererà quella di correzione, accentuando i rischi per la stabilità dei sistemi esistenti.

I modelli di tipo Mythos riducono notevolmente i costi e il tempo di individuazione e sfruttamento delle vulnerabilità. Nessuna azienda, nemmeno Anthropic stessa, ha costruito misure di sicurezza sufficientemente robuste per impedire gli abusi.

Raccomandazioni e passaggi futuri

Nel tempo, i modelli di intelligenza artificiale potranno supportare gli sviluppatori a creare software molto più sicuri, fornendo una sorta di "controllo preventivo" prima del rilascio. Al momento, tuttavia, Anthropic consiglia alle squadre di software di abbreviare i cicli di aggiornamento e rendere gli aggiornamenti il più semplice possibile degli utenti.

Gli esperti di difesa di rete dovrebbero concentrarsi sui controlli di base, ad esempio l'autenticazione a più fattori, la configurazione avanzata e la registrazione dettagliata. Solo questi controlli base potranno fornire protezioni essenziali finché il periodo transitorio non verrà affrontato con maggiore efficacia

Leggi l'articolo originale →
← Torna alle news