Un leak ha rivelato l’esistenza di Claude Mythos, il modello di intelligenza artificiale che Anthropic definisce un «salto generazionale» nelle capacità di programmazione, ragionamento e sicurezza. Il materiale trapelato include dettagli tecnici e piani di rilascio: la compagnia ha risposto limitando l’accesso a una preview riservata a poche realtà del settore, sostenendo che il modello è troppo potente per una distribuzione generalizzata. Questa scelta mette al centro una domanda cruciale: come bilanciare l’innovazione nell’AI con la necessità di evitare che strumenti così sofisticati vengano sfruttati per scopi dannosi?
Le informazioni emerse descrivono un modello capace di individuare errori storici e nuovi punti deboli in software sia open source sia proprietari, e in alcuni casi di generare automaticamente sia gli exploit sia le patch correttive.
Anthropic parla di una funzione definita recursive self-fixing, ossia la capacità del modello di proporre correzioni al codice che trova vulnerabile. Il risultato pratico, secondo i report interni, è stato lo scoprire migliaia di bug, molti dei quali non ancora risolti, e la creazione di exploit funzionanti che hanno acceso l’allarme tra professionisti della sicurezza e regolatori.
Perché Mythos è diverso
Claude Mythos, noto internamente anche come Capybara, è progettato come un tier superiore rispetto alla linea Opus: più grande, più costoso da eseguire e con performance notevolmente migliorate in test di cybersecurity e programmazione. I documenti interni enfatizzano punteggi molto più alti rispetto a Claude Opus 4.6 nelle attività complesse di debugging e reasoning. Il modello non è solo un assistente di sviluppo: è pensato per casi enterprise e governativi dove il costo computazionale è secondario rispetto alla capacità di trovare e analizzare criticità complesse.
Questa natura lo rende estremamente utile per la difesa, ma anche potenzialmente per l’attacco.
Capacità tecniche e risultati pratici
Nei test riportati, Mythos ha rilevato vulnerabilità storiche e sofisticate: una falla nell’implementazione del protocollo SACK su OpenBSD presente da 27 anni che poteva mandare in crash host che rispondevano a pacchetti TCP specifici; una criticità in FFmpeg vecchia 16 anni; una falla in FreeBSD presente da 17 anni che permetteva esecuzione arbitraria di codice; e diversi bug nel kernel Linux utilizzabili per ottenere privilegi root. Molte di queste lacune riguardavano software open source e sono già state risolte, mentre i test su prodotti closed source includevano attività di reverse engineering che hanno mostrato vulnerabilità ancora in fase di analisi.
Anthropic segnala che Mythos ha scritto 181 exploit funzionanti, un numero che supera nettamente quanto realizzato con modelli precedenti.
Pericoli concreti e misure di contenimento
Il potenziale di Mythos di automatizzare la scoperta e lo sfruttamento di bug solleva il rischio che strumenti analoghi possano accelerare sia la difesa sia gli attacchi informatici. Se un modello con queste caratteristiche finisse nelle mani sbagliate, sviluppatori meno esperti potrebbero orchestrare attacchi su larga scala seguendo istruzioni prodotte dall’AI. L’effetto sul mercato non si è fatto attendere: dopo la fuga di notizie alcuni titoli legati alla cybersecurity hanno subito contrazioni, mentre il dibattito pubblico si è concentrato sulla necessità di regole, auditing e controlli sull’accesso a tecnologie così potenti.
Accesso limitato e Project Glasswing
Per mitigare i rischi, Anthropic ha scelto di distribuire la preview di Claude Mythos a un gruppo ristretto di circa 40 aziende, tra cui grandi nomi come Apple, Amazon e Microsoft, tramite un programma chiamato Project Glasswing. L’azienda intende testare il modello con team di sicurezza selezionati, raccogliere feedback e valutare le implicazioni prima di qualsiasi ampliamento dell’accesso. La decisione è stata accelerata da un incidente tecnico: il 26 marzo 2026 un errore di configurazione del CMS ha reso pubblici circa 3.000 asset interni, esponendo dettagli riservati sul progetto e costringendo Anthropic a una comunicazione di danno controllo.
Cosa cambia per il futuro dell’AI e della sicurezza
Il caso Mythos evidenzia che l’avanzamento dell’AI porterà vantaggi tangibili nella protezione del software, come automazione della ricerca di bug, red-teaming continuo e patch generation più rapida. Ma implica anche la necessità di governance, trasparenza e controlli di distribuzione per evitare usi malevoli. Il suggerimento per il settore è chiaro: abbinare tecnologie avanzate a processi di verifica indipendente, normative che regolino accesso e responsabilità, e una cultura della sicurezza che includa test regolari e collaborazione pubblico-privato. Solo così sarà possibile sfruttare strumenti potenti come Claude Mythos riducendo al minimo il rischio che diventino un’arma digitale.
