Il nuovo modello di intelligenza artificiale di Anthropic, chiamato Claude Mythos Preview, sta facendo discutere parecchio nel mondo della sicurezza informatica. L’azienda lo presenta come un punto di svolta fondamentale per la cybersecurity, capace di scoprire vulnerabilità in qualsiasi tipo di software e di sviluppare in autonomia exploit funzionanti. Un’affermazione che ha spaccato in due la comunità degli esperti: chi ci crede davvero e chi fiuta l’ennesima operazione di marketing gonfiata dall’hype sull’intelligenza artificiale.
Proprio per la potenza dichiarata del modello, Anthropic ha scelto di non renderlo disponibile a tutti. L’accesso è stato concesso solo a un gruppo ristretto di organizzazioni, tra cui Microsoft, Apple, Google e Linux Foundation, riunite in un nuovo consorzio chiamato Project Glasswing. L’idea è dare ai difensori un vantaggio temporale: utilizzare Claude Mythos per scovare le debolezze nei propri sistemi prima che capacità simili finiscano nelle mani di chi attacca. Logan Graham, responsabile del red teaming di Anthropic, ha raccontato che le telefonate con le aziende coinvolte nel progetto si sono fatte sempre più brevi col passare dei giorni, perché la portata della minaccia risultava evidente quasi da subito.
Il vero salto di qualità: le catene di exploit
Il punto su cui diversi ricercatori concordano è uno in particolare. Claude Mythos sarebbe molto abile nel trovare e concatenare le cosiddette catene di exploit, ovvero gruppi di vulnerabilità sfruttabili in sequenza per penetrare in profondità un sistema. Questo tipo di tecnica è alla base degli attacchi più sofisticati, compresi quelli zero click, che compromettono un dispositivo senza alcuna interazione da parte dell’utente.
Alex Zenla, direttore tecnico dell’azienda di sicurezza cloud Edera, ha dichiarato di essere normalmente molto scettico su annunci del genere, ma di ritenere che questa volta la minaccia sia reale. Niels Provos, ingegnere e ricercatore di sicurezza, ha aggiunto un dettaglio importante: Claude Mythos non cambia la natura del problema, ma abbassa drasticamente il livello di competenze necessarie per trovare e sfruttare le vulnerabilità. E questo, in un mondo dove moltissime aziende faticano già ad applicare le patch ai propri sistemi, è un fatto tutt’altro che trascurabile. Non solo il settore tech sta prendendo la cosa sul serio. La scorsa settimana il segretario al Tesoro degli Stati Uniti Scott Bessent e il presidente della Federal Reserve Jerome Powell hanno convocato i leader del settore finanziario a Washington per discutere delle potenziali ripercussioni di modelli come Claude Mythos.
Opportunità o allarmismo? Il dibattito resta aperto
C’è anche chi non si lascia travolgere dall’entusiasmo. Davi Ottenheimer, consulente esperto di sicurezza, ha paragonato il tutto a un classico scenario da spaghetti western, dove qualcuno predica la fine del mondo e poi se ne va con i soldi degli altri. Secondo Ottenheimer, si tratta di un cambiamento paragonabile al passaggio dalle armi a otturatore alle mitragliatrici: significativo, sì, ma niente di magico. Jeetu Patel, presidente e responsabile del prodotto di Cisco (anch’essa parte del Project Glasswing), ha invece sottolineato la necessità che anche le difese raggiungano una scala industriale, dato che gli attacchi lo sono già. A detta di Patel, quello che ha fatto Anthropic è positivo perché crea un livello di asimmetria a favore di chi difende.
Jen Easterly, esperta di cybersecurity ed ex direttrice dell’Agenzia statunitense per la sicurezza informatica, ha scritto che Project Glasswing potrebbe inaugurare un futuro in cui l’intelligenza artificiale aiuterà non solo a difendere il software difettoso, ma a costruire tecnologia più sicura fin dall’inizio. Non la fine della cybersecurity come missione, ma l’inizio della fine della cybersecurity come la conosciamo oggi. Zenla di Edera ha chiuso il ragionamento con un’immagine efficace: Claude Mythos e modelli simili accelereranno il ritmo con cui gli aggressori saranno in grado di raggruppare le vulnerabilità in serie funzionanti, un po’ come un numero infinito di ricercatori che, lavorando insieme, finiscono per produrre risultati che un singolo essere umano non potrebbe mai ottenere da solo.