La ciberseguridad è diventata il nuovo terreno di scontro tra i giganti dell’intelligenza artificiale, e tutto è partito da una mossa di Anthropic che ha scombussolato le carte in tavola. Claude Mythos Preview, il nuovo modello dell’azienda, si è rivelato talmente potente nella scoperta di vulnerabilità informatiche che i suoi stessi creatori hanno deciso di non renderlo disponibile al pubblico. Nell’annuncio ufficiale, Anthropic non ha usato giri di parole. Mythos è in grado di individuare falle di sicurezza che sembravano quasi impossibili da scovare. E il messaggio che ne è derivato suona piuttosto inquietante. Chi vuole davvero proteggere i propri sistemi, avrà bisogno proprio di questo modello per farlo.
Il passaggio dal vibecoding alla cibersegurità ha generato un’ondata di interesse enorme. Non si parla più di un modello apprezzato perché programma meglio degli altri, ma di uno strumento che, almeno in teoria, è capace di tenere al sicuro applicazioni e servizi dagli attacchi informatici. Una questione cruciale, soprattutto di questi tempi. I primi a volersi tutelare sono governi e istituzioni finanziarie. Per ora solo pochi soggetti selezionati hanno accesso a Mythos, e la Banca Centrale Europea starebbe già preparando piani di contingenza. Se prima l’intelligenza artificiale conquistava tutti con il vibecoding, ora la promessa è quella di salvaguardare qualcosa di ben più concreto, i risparmi di milioni di persone.
Claude Mythos: OpenAI risponde due volte
Il discorso di Anthropic è stato così incisivo che OpenAI non ha voluto restare a guardare. Con il lancio di GPT-5.5, avvenuto pochi giorni fa, l’azienda guidata da Sam Altman ha subito messo in evidenza l’esistenza di una variante chiamata GPT-5.5 Cyber, pensata specificamente per l’analisi di cibersegurezza. L’idea era rendere il modello accessibile a ogni tipo di organismo e impresa, aprendo un programma di accesso certificato, qualcosa che Anthropic al momento non sembra offrire. La cosa curiosa è che lo stesso Altman aveva definito la mossa di Anthropic una semplice manovra di marketing, per poi finire col replicare esattamente la stessa strategia basata sulla paura.
Ma OpenAI non si è fermata qui. Nella giornata di ieri è stata annunciata Daybreak, un’iniziativa che non è un modello concorrente di Mythos ma un programma di cibersegurezza che combina GPT-5.5 Cyber con un agente specializzato chiamato Codex Security. L’accesso è stato limitato in modo simile a quanto fatto da Anthropic, anche se è possibile richiedere una scansione di sicurezza e contattare il team commerciale. Tra le organizzazioni che hanno già ottenuto l’accesso figurano nomi come Akamai, Cisco, Cloudflare e Oracle. Resta il paradosso di un Altman che critica il rivale per poi copiargli le mosse non una, ma due volte. Alla fine dei conti, si tratta pur sempre di una strategia di marketing per vendere soluzioni di intelligenza artificiale orientate alla cibersegurezza.
Google entra in partita e gli esperti lanciano l’allarme
Anche Google ha voluto dire la propria. Un rapporto del Google Threat Intelligence Group (GTIG) pubblicato ieri ha alimentato ulteriormente la discussione. Gli esperti di cibersegurezza dell’azienda hanno raccontato come siano riusciti prima a individuare e poi a bloccare un exploit sviluppato interamente con l’intelligenza artificiale. Google non ha annunciato nessun modello o iniziativa che rivaleggi direttamente con quelle dei concorrenti, ma si è allineata a un messaggio sempre più diffuso. L’IA rappresenta la prossima grande minaccia per la sicurezza informatica.
Nel frattempo, diversi esperti del settore cominciano a sollevare questioni scomode. Himanshu Anand ha spiegato in settimana come la nota politica di divulgazione dei 90 giorni stia perdendo di senso. Secondo questa prassi, quando qualcuno scopre una vulnerabilità in un’applicazione, lo sviluppatore ha un margine di 90 giorni per creare e distribuire la patch correttiva. Ma come ha sottolineato Anand: “Quando dieci ricercatori che non si conoscono tra loro trovano lo stesso difetto in sei settimane, e l’IA è capace di trasformarlo in un exploit operativo in 30 minuti, chi protegge esattamente quel periodo di 90 giorni? Nessuno”.
Mythos alla prova dei fatti: non è infallibile
Mentre i grandi nomi del settore prendono posizione, Mythos ha anche mostrato i propri limiti. Daniel Stenberg, lo sviluppatore del celebre strumento curl, ha raccontato in settimana come abbia usato il modello di Anthropic per analizzare il codice sorgente del suo progetto. Curl, scritto in C, conta 176.000 righe di codice e 660.000 parole, il 12% in più rispetto all’edizione inglese del romanzo “Guerra e pace”. Si tratta di un progetto estremamente maturo e ben gestito, il che lo rendeva un banco di prova particolarmente interessante.
Mythos ha dichiarato di aver trovato cinque falle di sicurezza confermate, ma dopo un’analisi approfondita con il suo team, Stenberg ha chiarito che in realtà ne aveva individuata soltanto una. E per giunta con “bassa severità”, quindi non particolarmente pericolosa. Degli altri risultati, tre si sono rivelati falsi positivi e il quarto era un semplice bug senza rilevanza per la sicurezza. Per Stenberg, Mythos non sembra molto più avanzato rispetto ad altre soluzioni simili già testate in passato: “Può darsi che questo modello sia un pochino migliore, ma anche se lo fosse, non lo è in misura tale da rappresentare un grande impatto nell’analisi del codice”. Ha comunque riconosciuto che i nuovi strumenti di intelligenza artificiale per l’analisi del codice sono significativamente superiori rispetto agli strumenti tradizionali utilizzati finora per lo stesso compito.
