Negli ultimi giorni sono emerse informazioni sul coinvolgimento di agenzie governative nell’uso di modelli di intelligenza artificiale sviluppati da Anthropic. Secondo fonti giornalistiche, la NSA sarebbe tra i soggetti che hanno potuto sperimentare Claude Mythos, un modello avanzato impiegato per l’individuazione di vulnerabilità nei software più diffusi, compresi alcuni prodotti di Microsoft. La notizia ha riacceso il dibattito su come bilanciare l’uso difensivo di strumenti potenti e il pericolo di un impiego improprio o di fughe di dati.
Contemporaneamente Anthropic ha reso disponibile in forma limitata la beta del tool chiamato Claude Security, mentre permangono silenzi ufficiali sia da parte dell’azienda sia da parte della stessa NSA. La gestione degli accessi avviene tramite il cosiddetto Project Glasswing, che disciplina chi può usare il modello: una lista pubblica non include la NSA, ma più fonti riportano un coinvolgimento pratico nel periodo di test.
Accesso controllato e ricadute politiche
Il modello è considerato dalle fonti estremamente efficace nel rilevare bug e punti deboli, tanto da attirare l’attenzione dei servizi di intelligence. L’accesso è stato riservato a un numero limitato di aziende, organizzazioni e agenzie governative proprio per valutare il rischio di abusi. Sebbene Anthropic abbia annunciato l’intenzione di ampliare l’elenco a circa settanta ulteriori soggetti, la casa bianca avrebbe esercitato un freno motivato da esigenze di sicurezza nazionale, imponendo restrizioni sulle autorizzazioni.
Conseguenze sul piano normativo
Il controllo degli accessi solleva questioni su responsabilità e trasparenza: quando un modello individua una falla grave, deve essere attivata una procedura di divulgazione responsabile alle case software interessate. I precedenti storici, come exploit noti che hanno avuto impatto su infrastrutture critiche, rendono il tema sensibile.
Le autorità valutano quindi non solo i benefici in termini di difesa informatica, ma anche il possibile uso offensivo delle conoscenze generate dal modello.
Incidenti e vulnerabilità nella gestione
Un elemento che aggrava la situazione è la segnalazione di un accesso non autorizzato a Claude Mythos tramite un fornitore terzo. Secondo le ricostruzioni, la violazione risalirebbe al 21 aprile e ha innescato indagini interne da parte di Anthropic. L’episodio ha messo in luce una serie di errori operativi che, secondo alcuni report, sono stati attribuiti a sviste umane; tuttavia l’accumularsi di inconvenienti ha spinto il Tesoro e il Dipartimento di Stato degli Stati Uniti a intensificare le verifiche.
Impatto sulla fiducia e sul settore finanziario
La possibilità che un modello con capacità di analisi delle superfici di attacco finisca nelle mani sbagliate ha sollevato timori tra istituzioni finanziarie e operatori critici.
Diversi osservatori si chiedono se un difetto nella gestione di Claude Mythos possa tradursi in rischio tangibile per le banche o per altri servizi essenziali, e chiedono garanzie su controlli, audit e meccanismi di risoluzione degli incidenti.
Versioni alternative e disponibilità commerciale
Per mitigare i rischi e ampliare l’offerta, Anthropic ha introdotto una variante del modello: Claude Opus 4.7. Questa versione eredita le capacità di ricerca delle vulnerabilità dalla versione Mythos ma, secondo l’azienda, opera a un livello prestazionale inferiore. Sulla base di Opus 4.7 è stato inoltre rilasciato il tool Claude Security (precedentemente noto come Claude Code Security), ora accessibile in versione beta agli abbonati Enterprise, con funzioni mirate al controllo del codice e alla verifica delle superfici di attacco.
La mossa sembra voler conciliare la domanda del mercato per strumenti di hardening del software con la necessità di limitare capacità potenzialmente offensive. Restano però aperti i nodi relativi alla governance: chi decide cosa può essere testato, come vengono gestite le segnalazioni e quali soggetti hanno il diritto di accesso? Quelle risposte determineranno in larga misura la sostenibilità di questo approccio.
Conclusioni e possibili sviluppi
La vicenda mette in evidenza il delicato equilibrio tra innovazione e controllo nell’ambito dell’AI per la sicurezza. Da un lato, strumenti come Claude Mythos possono accelerare l’individuazione di difetti e migliorare la resilienza digitale; dall’altro, la loro potenza richiede procedure rigorose di accesso, audit indipendenti e canali chiari per la divulgazione delle vulnerabilità. Nei prossimi mesi sarà importante osservare come Anthropic, le agenzie governative e le aziende private calibreranno regole e pratiche operative per minimizzare i rischi senza frenare l’innovazione.
