L’intelligenza artificiale ha aperto una nuova fase nella guerra tra aziende e attori malevoli e i segnali che arrivano negli ultimi giorni indicano che questa fase è già operativa, non più teorica.
Anthropic ha reso disponibile Claude Mythos Preview come gated research preview nell’ambito di Project Glasswing, con accesso limitato a partner selezionati e verificati.
OpenAI ha strutturato GPT-5.5-Cyber all’interno del programma Trusted Access for Cyber, con livelli di accesso differenziati e verifiche sull’identità dei destinatari.
In entrambi i casi si tratta di capacità cyber avanzate e dual-use, tali da richiedere salvaguardie specifiche sulla distribuzione.
Indice degli argomenti
Mythos trova falle in macOS di Apple: i guardrail sull’AI
Il tema è entrato nei colloqui diplomatici al vertice Trump-Xi di Pechino, dove il segretario al Tesoro Scott Bessent ha dichiarato che i due Paesi intendono discutere guardrail sull’intelligenza artificiale e un possibile protocollo di best practice per impedire a soggetti non statali di accedere a questi modelli.
Non si tratta di una preoccupazione astratta: la geopolitica dell’IA e la cybersecurity sono diventate, di fatto, la stessa questione strategica.
Come ha osservato Nikesh Arora, CEO di Palo Alto Networks, in questo scenario asimmetrico “l’IA deve combattere l’IA”, perché i difensori devono avere ragione ogni volta, mentre agli attaccanti basta averne una sola.
Un protocollo di best practice
Il tema è entrato nei colloqui diplomatici al vertice Trump-Xi di Pechino, dove il segretario al Tesoro Scott Bessent ha dichiarato che i due Paesi intendono discutere guardrail sull’intelligenza artificiale e un possibile protocollo di best practice per impedire a soggetti non statali di accedere a questi modelli.
Non si tratta di una preoccupazione astratta: la geopolitica dell’IA e la cybersecurity sono diventate, di fatto, la stessa questione strategica.
Come ha osservato Nikesh Arora, CEO di Palo Alto Networks, in questo scenario asimmetrico “l’IA deve combattere l’IA”, perché i difensori devono avere ragione ogni volta, mentre agli attaccanti basta averne una sola.
Sul piano tecnico, uno dei casi più significativi degli ultimi giorni riguarda Apple.
La società di sicurezza californiana Calif sostiene di aver costruito, con il supporto di Claude Mythos Preview, una catena di local privilege escalation contro macOS 26.4.1 su chip M5, capace di bypassare Memory Integrity Enforcement, la protezione che Apple ha presentato nel settembre 2025 come il più importante avanzamento nella memory safety dei sistemi operativi consumer.
Secondo quanto dichiarato da Calif stessa, il modello ha aiutato a identificare i bug e sostenuto lo sviluppo dell’exploit, mentre il bypass di MIE ha richiesto competenze umane specialistiche.
Apple è tra i partner iniziali di Project Glasswing. Il dato più rilevante non è tanto il singolo risultato quanto il tempo impiegato: cinque giorni per arrivare a un exploit funzionante contro un sistema considerato tra i più difesi nel panorama consumer, partendo da un utente locale non privilegiato e ottenendo una shell root.
Una velocità che ridefinisce i parametri su cui si fondava l’intera disciplina della vulnerability research.
Il volume complessivo di CVE
Mozilla ha documentato un percorso simile: 271 vulnerabilità individuate con il contributo di Claude Mythos Preview nel ciclo di rilascio di Firefox 150. Le grandi banche statunitensi stanno affrontando pressioni analoghe, con vulnerabilità di bassa o media severità che il modello riesce a collegare fino a costruire criticità di ordine superiore, una tecnica definita in gergo daisy chaining.
Secondo le fonti citate da Reuters, alcune istituzioni finanziarie stanno già considerando manutenzioni più frequenti del previsto, con possibili impatti operativi.
Sul volume complessivo di CVE, le stime per il 2026 elaborate da FIRST indicano una mediana attorno a 59.000 unità, con scenari realistici tra 70.000 e 100.000.
Alcuni analisti del settore hanno formulato, a titolo di thought experiment, proiezioni fino a 480.000, ma si tratta di scenari estremi non supportati dalle previsioni correnti, utili a rappresentare la direzione del fenomeno più che la sua entità probabile.
Una risposta praticabile
Il collo di bottiglia si sposta così sul lato del triage, della prioritizzazione, della patch validation e delle contromisure temporanee.
Se una falla non può essere corretta in tempi brevi, una risposta praticabile consiste nello scrivere firme e regole nei controlli perimetrali per bloccare i tentativi di sfruttamento mentre si completa la remediation, come indicato dallo stesso Arora.
Questa impalcatura difensiva temporanea diventa un elemento strutturale della gestione del rischio, non un’eccezione occasionale.
Inoltre, i modelli generano ancora una quota non trascurabile di falsi positivi, il che significa che il lavoro umano di verifica rimane indispensabile e non può essere eliminato dalla catena del processo.
La convergenza tra i due approcci
I due laboratori hanno scelto approcci diversi per la distribuzione di queste capacità. Anthropic ha optato per un accesso molto ristretto tramite Project Glasswing, con partner selezionati, disclosure coordinata e sviluppo parallelo di nuove salvaguardie.
OpenAI ha strutturato il programma Trusted Access for Cyber su più livelli: GPT-5.5 per la maggior parte dei workflow difensivi, GPT-5.5-Cyber per un sottoinsieme più ristretto di partner con accesso a funzionalità più permissive, con verifica dell’identità, monitoring e Advanced Account Security attivo dal primo giugno.
Il programma è stato esteso, secondo quanto riportato da Reuters, a decine di aziende europee nei settori finanza, telecomunicazioni, energia e servizi pubblici.
La convergenza tra i due approcci è chiara: entrambi i laboratori trattano le capability cyber avanzate come tecnologie dual-use da distribuire con verifiche crescenti.
Sul piano della governance tecnica, il 12 maggio Cisco ha pubblicato Foundry Security Spec, una specifica open source per sistemi agentici di security evaluation, pensata per passare da alert rumorosi a finding verificabili e per rendere qualsiasi modello più efficace nel rilevamento delle vulnerabilità, estendendo la capacità difensiva anche oltre il perimetro dei grandi vendor.
Le questioni aperte
Rimane aperta la questione delle organizzazioni meno strutturate.
Non sono le grandi banche o i principali operatori tecnologici a rischiare di restare indietro, quanto i settori in cui la tecnologia è essenziale, ma non rappresenta il core del business: manifattura, sanità, piccole e medie imprese, realtà industriali con forte dipendenza dal software legacy e dalle filiere open source.
Per queste organizzazioni il problema non è solo identificare le vulnerabilità, ma disporre delle competenze e delle risorse per correggerle in tempi compatibili con il ritmo con cui i modelli le portano alla luce.
La finestra di responsible disclosure, tradizionalmente fissata attorno ai 90 giorni, è destinata ad accorciarsi, e con essa la pressione su chi non ha ancora strutturato processi di patch management adeguati alla velocità del nuovo scenario.
È in questa fascia che il progressivo smaltimento del backlog di vulnerabilità rischia di pesare maggiormente, richiedendo investimenti in competenze e tempi di remediation che non tutte le realtà sono oggi in grado di sostenere.
