Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

scenari

L’era di Mythos: così l’IA ha imposto la remediation autonoma

Home Cultura cyber
Partecipa al dibattito
Indirizzo copiato

In seguito all’esfiltrazione di documenti interni da Anthropic, che hanno anticipato e accelerato l’annuncio di Mythos, il paradigma della sicurezza informatica è cambiato definitivamente. Ecco come e perché

Pubblicato il 5 mag 2026
Fabrizio Saviano

CISO ANPS Milano

Mythos
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il 7 aprile 2026 il paradigma della sicurezza informatica è cambiato definitivamente: a seguito dell’esfiltrazione di documenti interni da Anthropic, è stato anticipato e accelerato l’annuncio di Mythos, il sistema di intelligenza artificiale dedicato alla scoperta autonoma di vulnerabilità.

Questo evento ha innescato un effetto domino nel settore, costringendo OpenAI a rilasciare in risposta la propria architettura GPT-5.5-Cyber.

Mythos, Gpt 5.4 Cyber: come attrezzarci contro il diluvio di attacchi in arrivo

Mythos: iniziata la corsa agli armamenti algoritmici

Il risultato immediato di questa corsa agli armamenti algoritmici è stato il ritrovamento di migliaia di zero-day a velocità macchina. Tra questi, sono emersi difetti storici presenti da decenni nei sistemi operativi, come una falla in OpenBSD vecchia di 27 anni ed un bug RCE in FreeBSD NFS presente da 17 anni.

Interessante notare che, quando Anthropic ha lanciato Mythos ad accesso iper-ristretto (solo per partner selezionati), Sam Altman li ha criticati duramente pubblicamente, definendolo “marketing basato sulla paura”.

Eppure, pochi giorni dopo, OpenAI ha seguito esattamente lo stesso playbook: ha chiuso l’accesso ai modelli GPT-Cyber, distribuendoli solo a “difensori verificati” attraverso un rigoroso programma chiamato Trusted Access for Cyber (TAC).

I dati elaborati dai principali player di settore documentano tre mutamenti strutturali simultanei che rendono obsoleti i vecchi modelli di gestione:

  1. Esplosione dei volumi CVE: La scoperta assistita dall’IA raddoppia o triplica il volume degli avvisi, aggiungendosi ad un arretrato di circa 3.000 nuovi ticket al mese. A fronte di questa ondata, il National Vulnerability Database (NVD) ha dovuto dichiarare l’incapacità di fornire arricchimento dati per gestire il picco.
  2. Exploit al Giorno -1: Gli exploit funzionanti esistono prima della divulgazione pubblica. La finestra temporale per subire un attacco è scesa sotto le 20 ore, rendendo totalmente inadeguato il tempo medio di risoluzione (MTTR) del settore, storicamente attestato oltre i 67 giorni.
  3. Il problema del rumore:Oltre il 99% delle vulnerabilità divulgate da Mythos rimane senza patch, creando code di lavoro impossibili da smaltire. Tuttavia, analizzando 48.000 CVE scoperte, meno dell’1% risulta effettivamente sfruttabile all’interno di un ambiente di produzione specifico.

L’asimmetria dei 100 dollari: scoprire gli 0-day diventa un gioco da ragazzi

Quando Anthropic ha annunciato le capacità del suo modello Mythos, dopo un primo momento di sconquasso c’è stata un’implicita consolazione: si tratta di un’intelligenza artificiale elitaria, dal costo proibitivo e limitata ad un club esclusivo di partner. Sembrava una minaccia ad uso esclusivo degli Stati nazione.

Quella consolazione è durata poche settimane.

La ricerca pubblicata da AISLE (“System Over Model: Zero-Day Discovery at the Jagged Frontier”) ha distrutto l’illusione della barriera all’ingresso economica. I ricercatori hanno dimostrato che non serve un’intelligenza artificiale brillante e costosa per trovare valanghe di bug critici. È sufficiente un sistema progettato per applicare modelli linguistici microscopici, rapidi ed economici su ogni singolo file di un codice sorgente, in parallelo.

Proviamo, dunque, a fornire le chiavi di lettura operative in un mercato dove le regole cambiano in poche ore, in modo da consentire ai decisori di spostare gli investimenti dalla semplice “scoperta” dei problemi alla loro risoluzione automatizzata.

100 dollari per bucare un kernel

L’esperimento condotto con il tool open source nano-analyzer ha un esito che ogni CISO deve metabolizzare. Invece di chiedere a un modello intelligente dove cercare i bug, i ricercatori hanno sottoposto l’intero codice del kernel di FreeBSD (7,5 milioni di righe di codice) a modelli piccolissimi, come gpt-5.4-nano o varianti open source da pochi miliardi di parametri.

Il risultato? Questi modelli economici hanno individuato la famigerata vulnerabilità RCE di 17 anni fa (CVE-2026-4747), esattamente come aveva fatto il costosissimo Mythos. E non si sono fermati lì: hanno isolato nuovi difetti di corruzione della memoria presenti nel codice da 26 anni (come la falla AISLE-2026-8073).

Il costo totale in chiamate API per scansionare interi sistemi operativi ed individuare zero-day pronti all’uso è stato inferiore ai 100 dollari.

Questo significa che oggi qualsiasi criminale informatico, anche con risorse finanziarie trascurabili, possiede l’equivalente digitale di un team di ricercatori di vulnerabilità che lavora 24 ore su 24. A queste condizioni, il principio di Linus Torvalds cambia così: «Dato un numero sufficiente di occhi artificiali, tutti gli zero-day vengono a galla».

La detection è morta, lunga vita alla remediation

Se l’identificazione delle vulnerabilità è ormai una commodity alla portata di chiunque, il paradigma della sicurezza difensiva deve cambiare rotta in modo radicale.

Se continui a misurare l’efficacia del tuo dipartimento IT basandoti su quante vulnerabilità i tuoi scanner riescono a trovare, stai guardando il cruscotto dell’auto che sta per schiantarsi. Alza lo sguardo o non vedrai il muro davanti a te.

Il mercato è inondato da migliaia di nuove CVE scoperte dall’intelligenza artificiale, ma il 99% di queste vulnerabilità genera solo rumore. Meno dell’1% risulta effettivamente sfruttabile all’interno del tuo specifico ambiente di produzione. Il problema non è più “vedere” la vulnerabilità, ma riuscire a riparare quell’1% di rischio reale prima che un attaccante da 100 dollari lo sfrutti contro di te.

Il dilemma del CISO: rischio di produzione VS rischio normativo

Storicamente, nessun CISO avrebbe mai avallato l’applicazione automatica ed immediata delle patch, temendo blocchi operativi ed interruzioni del business. Oggi devi scegliere preventivamente quale scomoda conversazione affrontare in caso di incidente.

Puoi scegliere di spiegare all’opinione pubblica ed al Board che una patch applicata automaticamente ha generato un disservizio temporaneo, poiché puoi dimostrare di avere meccanismi di auto-rollback o virtual patching funzionanti.

Oppure puoi spiegare agli ispettori delle Authority, mentre compilano la sanzione, ed agli azionisti che la tua organizzazione pubblica o privata adotta un graceful period arbitrario prima di applicare una patch, dal momento che i processi ITIL impongono di attendere o testare in laboratorio, lasciando il sistema esposto ad un exploit noto ed attivo da settimane.

Dal Vulnerability Management alle RiskOps

Il processo di risoluzione deve eguagliare la velocità di rilevamento della macchina. La risposta tecnica a Mythos non è un nuovo scanner, ma un cambio di modello operativo:

  • Iper-prioritizzazione: Isolare esclusivamente l’1% di esposizioni verificate, passando dal rischio teorico al rischio validato.
  • Fiducia nell’automazione: Affidarsi ad indici di affidabilità (Patch Reliability Score) addestrati su milioni di installazioni precedenti, in modo da instradare le patch sicure verso l’installazione autonoma e bloccare quelle instabili.
  • Alternative tecniche: Utilizzare la disinstallazione, le modifiche di configurazione o le mitigazioni di rete quando l’installazione della patch comporta un rischio troppo elevato per l’ambiente produttivo.

Riformulare la comunicazione con il Board

L’evoluzione tecnologica impone di cambiare le metriche di riferimento. Smetti di riportare al Consiglio di Amministrazione il numero di CVE trovate, la quantità di patch installate o le dashboard basate sulla semplice gravità teorica dei sistemi CVSS.

Inizia a comunicare tre numeri basati sul rischio, sul denaro e sulla resilienza:

  • AWE (Average Window of Exposure): Il trend in giorni, confrontando il trimestre attuale con il precedente, poiché dimostra la riduzione effettiva del tempo in cui l’azienda è esposta al rischio validato.
  • Impatto Finanziario: La conversione in valuta del rischio ($ AWE/MTTR) associato ai servizi di business critici.
  • Resilienza Operativa: Il tempo in ore necessario per applicare con successo le risoluzioni al primo tentativo, senza necessità di eseguire procedure di rollback.

Di fronte alla domanda «Siamo pronti per l’ondata di vulnerabilità generate dall’IA?» la risposta deve basarsi sulla capacità di isolare matematicamente l’1% di rischio reale ed affrontarlo a velocità macchina, lasciando il restante 99% fuori dalle metriche di allarme.

Non puoi fermare lo tsunami di vulnerabilità scatenate dall’intelligenza artificiale economica. Tuttavia, puoi costruire un sistema di riparazione che funzioni abbastanza velocemente da rendere inutili le scoperte dei tuoi avversari.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Fabrizio Saviano
CISO ANPS Milano

Istruttore Autorizzato (ISC)² per la certificazione CISSP, consulente e autore di libri nell’ambito della sicurezza e governance IT, tecnologie persuasive e cognitive.

Laureato in Scienze della Comunicazione con specializzazione in Cognitivismo, è stato agente scelto della squadra intrusioni della Polizia Postale di Milano, CISO di una banca globale e ha avviato BT Security in Italia.

Seguimi su
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x