Apple è uno dei vendor che più hanno investito nell’aumentare il costo tecnico degli exploit, per questo il caso emerso in queste ore, con protagonista il solito Mythos, ha un peso speciale.
Indice degli argomenti
Mythos ha trovato vulnerabilità in MacOs Apple
Calif (security firm californiana specializzata in vulnerability research, penetration testing e ricerca offensiva supportata dall’AI) sostiene di avere costruito con il supporto di Claude Mythos Preview una catena di privilege escalation locale contro MacOS 26.4.1 su chip M5, capace di sopravvivere a Memory Integrity Enforcement (MIE), la protezione che Apple ha presentato nel settembre 2025 come il risultato di un lavoro di cinque anni sulla sicurezza della memoria.
Stiamo davvero entrando di colpo in una nuova fase in cui i modelli frontier aiutano ricercatori esperti a trovare più vulnerabilità, metterle in relazione e arrivare più in fretta a una catena sfruttabile.
Con implicazioni ancora non chiarissime, potenzialmente enormi, e che si riveleranno presto.
Bisogna soppesare bene questo annuncio.
Calif stessa scrive che Mythos ha aiutato a identificare i bug e a sostenere lo sviluppo dell’exploit, mentre il bypass di MIE ha richiesto competenze umane specialistiche. Se da una parte Mythos è un game changer della cyber security – tanto che ne stanno parlando anche il presidente Usa e il presidente cinese al summit di Pechino in queste ore – con implicazioni geopolitiche e di sicurezza nazionale, è anche vero che restano necessarie competenze specialistiche. E’ anche un modello che richiede enormi risorse di calcolo. Certo sia competenze sia risorse sono alla portata di uno Stato nazione, per intenderci.
| Fronte | Anthropic | OpenAI |
|---|---|---|
| Programma | Project Glasswing con Claude Mythos Preview | Trusted Access for Cyber, GPT-5.5, GPT-5.5-Cyber, Daybreak |
| Logica di accesso | Preview controllata, non general availability | Accesso ampliato a difensori verificati, modelli più permissivi per subset autorizzati |
| Focus dichiarato | Trovare e correggere vulnerabilità nei software più critici | Accelerare il ciclo difensivo: ricerca, patching, detection, supply chain security |
| Salvaguardie | Partner selezionati, disclosure coordinata, sviluppo di nuove safeguards | Verifica identità e trust signals, monitoring, Advanced Account Security dal 1 giugno |
Perché il caso Apple conta davvero: i dettagli tecnici delle vulnerabilità scoperte da Mythos in macOs
Nel blog con cui ha presentato MIE, Apple ha definito questa tecnologia il più importante salto in avanti nella memory safety dei sistemi operativi consumer, integrando protezioni hardware e software sempre attive.
Calif sostiene ora di avere ottenuto, in cinque giorni, un exploit pubblico contro il kernel di macOS su hardware M5 con MIE attivo, partendo da un utente locale non privilegiato e arrivando a una shell root. E’ insomma un exploit di privilege escalation.
Il punto più forte emerso da questo caso come da altri recenti è forse un altro, però. Il tempo necessario per passare dalla ricerca al risultato utile si sta restringendo.
Anthropic ha lanciato Project Glasswing proprio per questo: accesso controllato a Mythos per grandi vendor e difensori, con l’obiettivo di trovare e correggere vulnerabilità nei sistemi che rappresentano una quota importante della superficie d’attacco condivisa. Apple è tra i partner iniziali del programma.
Palo Alto: il problema è la velocità, non solo il volume
Concorda Nikesh Arora, CEO di Palo Alto Networks, in un’intervista al podcast Hard Fork di oggi.
Arora descrive un passaggio da una sicurezza costruita per reagire in giorni a un contesto in cui un attaccante può muoversi in minuti. È questo, più ancora del singolo exploit, il vero salto di fase: le difese tradizionali sono state progettate per un ciclo di rilevazione, analisi e risposta molto più lento.
La sua azienda dice di avere trovato 75 vulnerabilità nei propri prodotti, oltre sette volte la baseline mensile abituale, dopo avere iniziato a usare modelli avanzati di Anthropic e OpenAI. Axios riporta che il dato riguarda un’ondata di test condotti con Mythos Preview e GPT-5.5-Cyber.
Nell’intervista emerge anche un punto tecnico molto concreto: questi modelli non sono utili solo perché leggono codice più velocemente, ma perché diventano più efficaci quando ricevono contesto operativo, informazioni sul comportamento atteso del software e dati storici sulle tecniche d’attacco già osservate. In altre parole, il valore non sta nel prompt generico “trova un bug”, ma nell’integrazione tra modello, telemetria, threat intelligence e capacità di validazione umana.
Arora aggiunge due elementi che meritano attenzione. Il primo è che i modelli generano ancora una quota importante di falsi positivi, e quindi non eliminano il lavoro umano di verifica. Il secondo è che sono particolarmente efficaci nel daisy chaining, cioè nel concatenare vulnerabilità o errori di configurazione che, presi singolarmente, sembrano meno gravi ma insieme producono un esito ad alto impatto. È un punto che coincide con quanto Reuters ha già riportato sulle grandi banche statunitensi impegnate a correggere falle emerse con Mythos.
Da Firefox alle banche: la pressione si sposta su triage e patching
Il caso Apple arriva dopo altri segnali forti. Mozilla ha documentato di avere corretto 423 bug di sicurezza nelle release di aprile, di cui 271 individuati con il contributo di Claude Mythos Preview nella release Firefox 150. Ha inoltre attribuito ad Anthropic tre CVE separati.
Reuters ha riportato che diverse grandi banche statunitensi stanno correndo a correggere debolezze emerse usando Mythos, con pressioni tali da ipotizzare manutenzioni più frequenti e, in alcuni casi, possibili disservizi operativi. Le fonti citate dall’agenzia indicano che il modello è particolarmente forte nel collegare vulnerabilità di bassa o media severità fino a farne emergere una criticità maggiore.
Il risultato è che il collo di bottiglia si sposta. Non è più soltanto trovare la vulnerabilità. Diventano centrali triage, patch validation, prioritizzazione, contromisure temporanee e detection engineering. Nella stessa intervista, Arora spiega che una risposta possibile è costruire una sorta di impalcatura difensiva temporanea: se una falla non è ancora corretta, si possono scrivere firme e regole nei controlli perimetrali per bloccare i tentativi di sfruttamento mentre l’organizzazione completa remediation e aggiornamenti.
Anthropic e OpenAI: due modelli di accesso, stessa urgenza
Anthropic ha scelto un accesso ristretto con Project Glasswing e ha detto di non voler rendere Mythos generalmente disponibile in questa fase. OpenAI ha seguito una strada diversa, più ampia ma comunque governata, con Trusted Access for Cyber, GPT-5.5, GPT-5.5-Cyber e la cornice strategica di Cybersecurity in the Intelligence Age e Daybreak. L’idea dichiarata è dare più capacità ai difensori verificati, mantenendo controlli su identity, monitoring e uso consentito.
OpenAI presenta GPT-5.5 con TAC come punto di partenza per la maggior parte dei workflow difensivi, mentre GPT-5.5-Cyber è riservato a flussi più permissivi e a un gruppo più ristretto di partner. Reuters ha inoltre riferito che il programma è stato esteso a decine di aziende europee in finanza, telecomunicazioni, energia e servizi pubblici.
La convergenza, al di là delle differenze commerciali, è chiara: entrambi i laboratori trattano ormai le capability cyber più avanzate come funzioni a doppio uso da distribuire con verifiche e salvaguardie crescenti.
Il vero nodo: disclosure, backlog e settori meno pronti
Uno dei passaggi più interessanti dell’intervista a Palo Alto riguarda la finestra di responsible disclosure. Arora non la considera finita, ma lascia intendere che il vecchio riferimento dei 90 giorni è destinato a restringersi. Se la ricerca delle falle accelera e il tempo di sfruttamento si comprime, anche patching e disclosure dovranno adattarsi.
Questo apre un problema evidente per le organizzazioni meno mature. Non tanto le grandi banche o i big tech, che dispongono di grandi team di ingegneri, quanto i settori in cui la tecnologia è essenziale ma non è il core del business: manifattura, sanità diffusa (le nostre povere asl), PMI, realtà industriali, studi professionali, filiere con molto software legacy e forte dipendenza da open source. È lì che il “grande cleansing” del backlog di vulnerabilità rischia di pesare di più, perché richiede soldi, competenze e tempi di remediation che non tutti hanno.
I modelli cercano, collegano, testano e accelerano; i difensori devono verificare, tamponare, correggere e distribuire patch molto più in fretta. E per molte organizzazioni il problema sarà riuscire a stare al passo con il ritmo con cui l’AI le troverà e aiuterà a sfruttarle.
