Quando un modello di intelligenza artificiale riesce a scovare più di 10.000 vulnerabilità di gravità alta e critica in appena un mese, il panorama della sicurezza informatica cambia radicalmente. È esattamente quello che ha fatto Claude Mythos, il potente modello AI di Anthropic, nell’ambito del Project Glasswing, l’iniziativa lanciata a inizio aprile 2026 con il coinvolgimento di circa 50 partner tra aziende, organizzazioni e governi. I risultati, comunicati in un primo aggiornamento ufficiale, sono impressionanti e pongono una questione non banale: cosa succede quando si trovano così tante falle da non riuscire a correggerle tutte in tempo?
Nel settore della cybersicurezza esiste da anni una convenzione abbastanza consolidata. I dettagli sulle vulnerabilità vengono resi pubblici 90 giorni dopo la scoperta, oppure 45 giorni dopo il rilascio della patch. Questo meccanismo serve a dare tempo agli utenti di aggiornare il software prima che qualche malintenzionato possa sfruttare la falla. Il problema è che Claude Mythos, insieme ad altri modelli AI, ha accelerato talmente tanto il ritmo delle scoperte che quei 90 giorni non bastano più. Verificare tutte le vulnerabilità e scrivere le relative patch in quel lasso di tempo è diventato praticamente impossibile. Per questo Anthropic ha deciso di non pubblicare i dettagli fino a quando le patch non saranno ampiamente distribuite, anche se dovesse volerci più di 90 giorni.
Numeri che parlano da soli: da Mozilla a Cloudflare
Le cifre emerse dal primo mese di attività del progetto meritano attenzione. Mozilla, ad esempio, ha individuato 271 vulnerabilità grazie a Claude Mythos, tutte risolte con il rilascio di Firefox 150. Cloudflare ne ha trovate circa 2.000, con una percentuale molto bassa di falsi positivi, il che dimostra l’affidabilità del modello nel distinguere le minacce reali dal rumore di fondo. Anthropic stessa ha utilizzato il proprio modello per analizzare il codice di oltre 1.000 progetti open source, portando alla luce più di 23.000 vulnerabilità, di cui circa 6.200 classificate come di gravità alta e critica.
C’è anche un caso piuttosto emblematico che va oltre l’analisi del codice. Claude Mythos ha permesso di rilevare e bloccare il trasferimento di circa 1,4 milioni di euro dal conto di un cliente bancario, dimostrando che le applicazioni possibili vanno ben oltre la semplice scansione software.
Il nodo delle patch e il futuro di Project Glasswing
Il rovescio della medaglia, però, è significativo. Il numero di patch effettivamente rilasciate resta molto basso, meno di 100, soprattutto per i progetti open source. Chi gestisce questi progetti spesso non dispone delle risorse delle grandi aziende per rispondere con la rapidità necessaria. Anthropic suggerisce agli sviluppatori di sfruttare i tool AI già disponibili pubblicamente, come Claude Security, per velocizzare la scrittura delle correzioni. Va da sé che l’aggiornamento dei software nel minor tempo possibile resta fondamentale.
Per quanto riguarda Claude Mythos, il modello è considerato troppo potente per un rilascio pubblico. Non è previsto, almeno per ora, che diventi accessibile a chiunque. Verranno però aggiunti nuovi partner al Project Glasswing: aziende, organizzazioni e governi selezionati. Da alcuni giorni, i dettagli sulle vulnerabilità trovate dal modello possono essere condivisi tra i partner coinvolti nel progetto. Un passaggio che dovrebbe accelerare il rilascio delle patch e, di conseguenza, migliorare la sicurezza dei software su larga scala.
