Stiamo andando verso un apocalisse cyber bug per via dell’AI? Un tornado di vulnerabilità esposte dai modelli e non riparate, da sviluppatori o da utenti?
Nel giro di 48 ore è successo qualcosa che fino a poco tempo fa sarebbe sembrato eccezionale.
Il 7 aprile 2026 Anthropic ha annunciato Project Glasswing e ha limitato l’accesso al modello Claude Mythos Preview che si è mostrato già in grado di trovare vulnerabilità nei principali sistemi operativi e browser (di cui uno in un sistema open source fondamentale in router e firewall mondiali);
il 9 aprile Axios ha riferito che anche OpenAI sta finalizzando un prodotto con capacità avanzate di cybersecurity da distribuire a un piccolo gruppo di partner. OpenAI, del resto, aveva già ufficializzato il 5 febbraio il programma Trusted Access for Cyber, costruito proprio per dare accesso selettivo a capacità cyber più avanzate.
Può sembrare una buona notizia questo senso di responsabilità (particolare per OpenAI, coerente per Anthropic). Ma è anche un segnale di allarme: gli LLM sono diventati “sovraumani” nella capacità di trovare (e forse riuscire a sfruttare) vulnerabilità.
Indice degli argomenti
AI cybersecurity e la soglia resa pubblica da Anthropic
Anthropic è stata la prima a documentare pubblicamente questa soglia in modo esteso. Project Glasswing mette Mythos Preview nelle mani dei partner di lancio e di oltre 40 organizzazioni che costruiscono o mantengono software critico, ma non prevede una disponibilità generale del modello.
La società presenta Mythos come un modello general purpose e unreleased che ha già trovato migliaia di vulnerabilità ad alta severità, incluse falle nei principali sistemi operativi e browser. Il punto importante non è solo il numero di bug emersi, ma il fatto che capacità del genere vengano ormai attribuite a un frontier model generalista, non a uno strumento costruito solo per il red teaming.
Il ritmo della discovery cambia più della precisione
La novità, quindi, non è solo la precisione. È il ritmo. Nel materiale tecnico pubblicato da Anthropic, Mythos Preview viene accreditato della scoperta autonoma di una falla di 27 anni in OpenBSD, di una vulnerabilità di 17 anni in FreeBSD che consente remote code execution e della capacità di concatenare più bug per costruire exploit contro sistemi moderni.
Nella prova sugli n-day del kernel Linux, Anthropic scrive di aver fornito al modello 100 CVE del 2024 e 2025: Mythos ne ha selezionate 40 come potenzialmente sfruttabili e, in più della metà dei casi, ha prodotto un exploit funzionante senza interventi umani successivi al prompt iniziale. In altri casi, aggiunge l’azienda, il modello ha scritto exploit in ore per attività che penetration tester esperti ritenevano da settimane.
AI cybersecurity e il cambio di scala visto dalle istituzioni
Su questo punto, le valutazioni istituzionali convergono. Nel gennaio 2024 il NCSC britannico aveva scritto che l’AI avrebbe quasi certamente aumentato volume e impatto degli attacchi nei due anni successivi. Nell’aggiornamento del maggio 2025 ha indicato nella AI-assisted vulnerability research and exploit development, la VRED, lo sviluppo cyber più significativo da qui al 2027.
Lo stesso documento osserva che, nel breve periodo, il pieno sfruttamento delle capacità più avanzate resterà soprattutto in mano ad attori statali molto capaci e ben finanziati, mentre la maggior parte degli altri gruppi userà o riadatterà modelli commerciali e open source. È questa traiettoria, più ancora del singolo benchmark, che rende Mythos un segnale strategico e non una curiosità di laboratorio.
La validazione resta un collo di bottiglia umano
La seconda implicazione riguarda la validazione. Trovare più vulnerabilità non significa saperle gestire meglio. Anthropic scrive che oltre il 99% delle vulnerabilità individuate non è ancora stato corretto e che, per evitare di scaricare rumore sui maintainer, ha incaricato contractor specializzati di validare manualmente ogni report prima della disclosure.
Nei 198 report revisionati, i validatori umani hanno confermato esattamente la severità assegnata dal modello nell’89% dei casi; nel 98% dei casi la valutazione è rimasta comunque entro un livello di severità di distanza. Sono numeri che mostrano due cose insieme: la qualità del modello è alta, ma il collo di bottiglia resta umano e richiede tempo, competenze e capacità di triage.
AI cybersecurity e una filiera difensiva già in affanno
Questo pesa ancora di più perché le organizzazioni partono già in affanno. ENISA, nel report NIS Investments 2025 pubblicato l’8 dicembre 2025, indica vulnerability and patch management come l’area più difficile da implementare per il 50% delle organizzazioni che si stanno adeguando alla NIS2. Il dato è importante perché fotografa una filiera difensiva già in tensione prima ancora che modelli come Mythos diventino diffusi su larga scala.
La riduzione del rischio non coincide con la scoperta. Il nodo patch
Il terzo punto è che la scoperta della vulnerabilità non coincide con la riduzione del rischio. Ma serve la patch: da fare, applicare diffusamente.
Anche quando una falla viene trovata per scopi difensivi, il passaggio decisivo resta la distanza tra discovery, disclosure, patch e deployment. Qui i numeri sono eloquenti. Verizon ha calcolato nel DBIR 2024 che servono circa 55 giorni per correggere il 50% delle vulnerabilità critiche del catalogo KEV di CISA dopo che la patch è disponibile, mentre il tempo mediano entro cui una vulnerabilità KEV comincia a essere scansionata su internet è di cinque giorni. Nel DBIR 2025, Verizon aggiunge che lo sfruttamento delle vulnerabilità è salito al 20% come vettore iniziale delle violazioni, con una crescita del 34% su base annua. Il tempo, in altre parole, si sta comprimendo dalla parte sbagliata.
Il problema degli n-day e dell’ultimo miglio
Qui entra in gioco un punto sottovalutato dello stesso materiale di Anthropic. Nel post tecnico, l’azienda osserva che una parte consistente del danno reale arriva dagli n-day: vulnerabilità già scoperte e già corrette, ma ancora sfruttabili sui sistemi che non hanno applicato la patch.
Tradotto: anche se modelli come Mythos venissero usati solo per vulnerability discovery difensiva, l’esito dipenderebbe comunque dalla velocità con cui vendor e clienti riescono a distribuire e installare la correzione. Se quell’ultimo miglio resta lento, la migliore discovery del mondo non basta.
Da notare che questo problema dell’applicazione patch resta viva anche nell’ipotesi, ottimistica, che i modelli super capaci di trovare le vulnerabilità resteranno sempre in mani ristrette e controllate; evitando quindi che la vulnerabilità sia esposta prima che una patch sia disponibile.
AI cybersecurity e la risposta regolatoria europea
Il legislatore europeo si sta già muovendo in questa direzione. La Commissione europea ed ENISA spiegano che, con il Cyber Resilience Act, dall’11 settembre 2026 i produttori di prodotti con elementi digitali dovranno notificare vulnerabilità attivamente sfruttate e incidenti gravi tramite la Single Reporting Platform: early warning entro 24 ore, notifica completa entro 72 ore e rapporto finale sulle vulnerabilità entro 14 giorni da quando è disponibile una misura correttiva. È una scansione temporale che fotografa bene il problema: non basta sapere che una falla esiste, bisogna far circolare subito le informazioni utili alla mitigazione e alla risposta.
La difesa automatizzata non compensa ancora
Questo non significa che i difensori siano disarmati. DARPA e AIxCC hanno mostrato nell’agosto 2025 che sistemi autonomi basati su AI possono trovare e correggere vulnerabilità reali in software open source. Alla finale, i team hanno scoperto 18 vulnerabilità reali non sintetiche e fornito 11 patch per vulnerabilità reali, con i sistemi resi disponibili in open source per favorirne l’adozione. La difesa automatizzata esiste, ma il punto decisivo resta un altro: oggi non è ancora dimostrato che possa compensare, su larga scala e in ambienti reali, l’accelerazione impressa dal lato offensivo.
AI cybersecurity e il caso OpenAI come segnale di settore
A rafforzare questa lettura c’è adesso anche il caso OpenAI. La notizia riportata da Axios non equivale ancora, sul piano probatorio, alla documentazione pubblica diffusa da Anthropic su Mythos: per ora si parla di un prodotto cyber distinto dal prossimo modello generalista, non di una system card o di un benchmark tecnico comparabile.
Ma proprio per questo il suo valore è strategico. Se anche OpenAI si muove verso accesso fiduciario, programmi su invito e distribuzione ristretta di capacità cyber avanzate, allora Anthropic non è più un’eccezione. Sta emergendo un pattern di settore.
Una nuova asimmetria tra attaccanti e difensori
Claude Mythos Preview conta perché rende pubblica una soglia che molti nel settore intuivano, ma che non avevano ancora visto descritta in questi termini. E il fatto che, quasi in contemporanea, anche OpenAI venga associata a una distribuzione selettiva di capacità cyber avanzate rafforza l’idea che i grandi laboratori non stiano più trattando questi strumenti come semplici miglioramenti incrementali. Li stanno trattando come una classe di sistemi dual use da governare.
Finché capacità di questo livello resteranno concentrate in poche aziende e in programmi a accesso ristretto, il rischio immediato sarà almeno in parte contenuto da disclosure coordinata, validazione umana e controlli di accesso. Il problema vero arriva dopo.
Quando la stessa classe di capacità si diffonderà, la cyber security dovrà reggere non solo un aumento del numero di vulnerabilità trovate, ma una compressione dei tempi tra scoperta, exploit, patch e deployment. Se validazione, remediation e aggiornamento dei sistemi continueranno a muoversi con tempi umani mentre la discovery corre a tempi macchina, l’asimmetria tra attaccanti e difensori si allargherà ancora.
