Il mondo della sicurezza informatica sta vivendo un momento di svolta, e il nome che circola con insistenza è quello di OpenMythos. Si tratta di un progetto aperto che prova a ricostruire, partendo da zero, un’architettura capace di avvicinarsi alle prestazioni di Claude Mythos, il modello di frontiera sviluppato da Anthropic e reso disponibile solo a un numero ristretto di organizzazioni nell’ambito del cosiddetto Project Glasswing. Il motivo di tanta riservatezza? Le implicazioni sulla sicurezza sono enormi.
Stando alla documentazione ufficiale, Claude Mythos è in grado di individuare e sfruttare vulnerabilità software con un livello di autonomia e precisione che supera quello della maggior parte degli esperti umani. Non parliamo di semplici suggerimenti su possibili bug: il sistema riesce a costruire catene di exploit complete, dall’analisi del codice fino alla compromissione effettiva del sistema preso di mira. Nei test reali ha identificato migliaia di vulnerabilità ad alta gravità, comprese falle zero-day in sistemi operativi e browser diffusi. Su benchmark come CyberGym o SWE-bench, ha superato nettamente modelli precedenti come Claude Opus, raggiungendo livelli che iniziano a sovrapporsi a quelli di interi team di sicurezza professionali.
Ed è proprio qui che entra in gioco OpenMythos. Se un sistema del genere esiste ma resta chiuso, qualcuno ha pensato che valesse la pena capire come funziona. O almeno provarci.
Cosa cerca di fare OpenMythos e su quali basi tecniche si appoggia
Va detto subito: OpenMythos non è una copia di Claude Mythos. Non nasce da un leak, né da una tecnica di distillazione (quel processo che trasferisce conoscenza da un modello più grande a uno più piccolo). Gli autori lo descrivono come una ricostruzione basata su principi fondamentali, ipotesi verificabili e letteratura accademica già esistente. Il codice è pubblico e testabile, i pesi ottenuti durante l’addestramento non costituiscono un modello ufficiale ma sono semplicemente i parametri numerici che determinano come il sistema elabora i dati.
In pratica, è un esercizio di reverse engineering teorico: si osservano le capacità attribuite a Mythos e si prova a immaginare un’architettura coerente che possa spiegarle. La soluzione proposta si basa su transformer con meccanismi ricorrenti, capaci cioè di riutilizzare le informazioni nei passaggi successivi. A questo si aggiunge una profondità dinamica della rete, che varia in base alla complessità del compito, e il riutilizzo dei parametri per ridurre il volume totale di risorse necessarie.
La domanda da cui parte tutto il progetto è piuttosto concreta: che tipo di struttura interna serve per ottenere un modello capace di ragionare sul codice in modo così profondo e iterativo? Anthropic stessa ha sottolineato che queste capacità potrebbero superare la velocità di risposta delle difese tradizionali, aprendo scenari di exploit su larga scala. Per questo ha scelto di mantenere riservato il funzionamento di Mythos. Ma la comunità open source, evidentemente, non si è fermata.
Cosa cambia davvero per chi sviluppa software e per la sicurezza
Strumenti come Mythos, e potenzialmente in futuro anche OpenMythos, abbassano in modo drastico la soglia di accesso all’analisi avanzata del codice. Attività che prima richiedevano giorni di lavoro manuale (auditing, fuzzing, revisione approfondita) possono essere accelerate o automatizzate. Il tempo che passa tra la pubblicazione di un’applicazione e la scoperta di una vulnerabilità tende a ridursi in modo significativo.
L’effetto però non è solo negativo. Gli stessi modelli possono servire a migliorare la qualità del codice prima del rilascio: analisi preventiva, suggerimenti di hardening, individuazione di pattern rischiosi. Il problema, semmai, è la simmetria: attaccanti e difensori hanno accesso a strumenti simili, ma non sempre con le stesse risorse o la stessa velocità di aggiornamento.
C’è poi la questione della scala. Un singolo modello può analizzare grandi quantità di codice in tempi molto brevi, e questo cambia anche il modo in cui si gestiscono progetti complessi o legacy. Dove prima si interveniva solo sulle parti più critiche, adesso è possibile svolgere controlli più estesi e frequenti.
OpenMythos indica la direzione verso la quale si stanno muovendo i modelli più avanzati: la competizione non si giocherà solo sulla dimensione, ma sulla capacità di effettuare attività di inferenza complessa su codice articolato e con molteplici riferimenti correlati. Per chi lavora nella sicurezza, significa adattarsi a un ritmo diverso, più veloce, meno prevedibile e decisamente più automatizzato.
