Oltre 23.000 vulnerabilità potenziali individuate in più di 1.000 progetti open source. Sono questi i numeri di Project Glasswing, l’iniziativa lanciata da Anthropic nell’aprile 2026 con un modello sperimentale chiamato Claude Mythos Preview, non disponibile al pubblico. E il dato che colpisce di più non è tanto la quantità, quanto la qualità: il 90,6% dei problemi analizzati da verificatori indipendenti si è rivelato autentico. Non è certo la prima volta che strumenti automatizzati promettono di cambiare le regole nella ricerca di bug, ma numeri così sono davvero difficili da liquidare con una scrollata di spalle.
Il progetto coinvolge oltre 40 partner industriali di primissimo piano, fra cui Amazon Web Services, Apple, Cisco, Google, Microsoft, NVIDIA e Palo Alto Networks. Claude Mythos Preview non si ferma a segnalare pattern sospetti nel codice. Va oltre: tenta di validare l’effettiva possibilità di sfruttare ogni difetto trovato, e questo riduce in modo drastico quei falsi positivi che da sempre rallentano il lavoro degli esperti di sicurezza informatica. Il processo segue fasi ben precise: scansione del repository, identificazione del flusso di esecuzione vulnerabile, generazione di un possibile exploit, verifica automatizzata e poi, alla fine, revisione umana.
Anthropic ha sottoposto 1.752 vulnerabilità candidate a società indipendenti specializzate. Di queste, 1.587 sono risultate autentiche e 1.094 hanno mantenuto la classificazione “high” o “critical” anche dopo il controllo umano. Al momento della pubblicazione, 97 vulnerabilità risultavano già corrette. Un punto interessante: secondo Anthropic il collo di bottiglia oggi non riguarda più l’individuazione iniziale del bug, ma tutto quello che viene dopo. Conferma, correzione e distribuzione delle patch restano fasi lente, e nel mondo del software open source questo è un problema serio, visto che molti progetti fondamentali dipendono da team di volontari con risorse limitate.
Perché Project Glasswing interessa banche, governi e infrastrutture critiche
Il governo giapponese ha avviato un gruppo di lavoro dedicato ai rischi cyber derivanti da sistemi come Claude Mythos Preview. Gruppi bancari del calibro di Mitsubishi UFJ, Mizuho e Sumitomo Mitsui starebbero valutando l’accesso al sistema per rafforzare le proprie difese, anche se al momento nessuna adozione ufficiale è stata confermata.
E qui emerge il nodo più delicato dell’intera faccenda. Se un modello di intelligenza artificiale è in grado di individuare vulnerabilità critiche in poche ore, lo stesso tipo di capacità potrebbe finire nelle mani sbagliate. Gruppi criminali potrebbero ridurre drasticamente tempi e costi per costruire attacchi avanzati. Anthropic ha dichiarato di aver scelto un accesso estremamente limitato a Project Glasswing proprio per evitare un abbassamento della soglia d’ingresso per i cybercriminali.
