L’idea che un’intelligenza artificiale possa scandagliare codice su larga scala e individuare vulnerabilità con una velocità irraggiungibile per gli esseri umani è ormai una realtà. Con Mythos, Anthropic ha portato questo scenario dentro la realtà operativa, aprendo però un fronte complesso che riguarda tanto l’innovazione quanto la sicurezza globale.

Presentato da Anthropic ad aprile, Mythos è stato descritto come un sistema capace di identificare e sfruttare vulnerabilità software con un’efficacia tale da rendere impraticabile una distribuzione aperta. Da qui la scelta di limitarne l’accesso attraverso Project Glasswing, un programma riservato a partner selezionati. Questa cautela deriva dal fatto che strumenti di questo tipo, se messi liberamente a disposizione, possano essere utilizzati per automatizzare la scoperta e l’exploit di falle di sicurezza su larga scala.

Le prime evidenze raccolte dai partecipanti al programma restituiscono un quadro meno sensazionalistico ma comunque significativo. Mythos accelera drasticamente l’individuazione dei bug, pur senza scoprire necessariamente vulnerabilità impossibili da trovare con metodi tradizionali. Il vero salto è nella scala e nei tempi, visto che ciò che prima richiedeva settimane o mesi di audit manuale può emergere in tempi molto più compressi. C’è però un effetto collaterale evidente ed è che la quantità di problemi identificati supera spesso la capacità dei team di sviluppo di intervenire con patch tempestive.

Questo squilibrio introduce il paradosso che migliorare gli strumenti di analisi non equivale automaticamente a migliorare la sicurezza complessiva. Anzi, senza un adeguato potenziamento delle risorse dedicate alla remediation, il risultato può essere un accumulo di vulnerabilità note ma non ancora risolte.

L’impatto sistemico e le reazioni istituzionali

La sola esistenza di Mythos ha avuto effetti immediati anche al di fuori del perimetro tecnico. In Giappone è stata avviata una revisione su larga scala delle politiche di sicurezza informatica, mentre in India le autorità hanno spinto per un’accelerazione nelle attività di patching, in particolare nel settore finanziario. Segnali che indicano come il tema non sia più confinato agli addetti ai lavori.

A questo si aggiunge la crescente consapevolezza che anche modelli meno avanzati rispetto a Mythos sono già oggi strumenti efficaci per la ricerca di vulnerabilità. Il risultato è un abbassamento della soglia tecnologica necessaria per condurre attacchi sofisticati, con una frequenza e una varietà di exploit destinata ad aumentare. Anthropic stessa riconosce apertamente come limite fondamentale il fatto che, allo stato attuale, nessuna azienda è in grado di garantire meccanismi di sicurezza sufficientemente robusti da impedire un uso improprio di questi sistemi.

I risultati dell’azione di Mythos aggiornati al 22 maggio

I risultati dell’azione di Mythos aggiornati al 22 maggio

Migliaia di vulnerabilità e un ecosistema sotto stress

I numeri emersi dall’utilizzo interno di Mythos aiutano a comprendere la portata del fenomeno. Analizzando oltre mille progetti open source, il modello ha individuato più di 23.000 vulnerabilità complessive, di cui oltre 6.200 classificate come ad alta o critica gravità. Si tratta di software che costituisce una parte significativa dell’infrastruttura digitale globale, il che amplifica l’impatto potenziale di ogni singola falla.

Il processo di validazione prevede che ogni vulnerabilità venga riprodotta, verificata e documentata prima di essere segnalata ai maintainer. Anche in questo contesto emerge però un problema strutturale. Molti sviluppatori open source segnalano infatti una saturazione operativa, aggravata dall’arrivo massiccio di report generati da strumenti automatici, spesso di qualità disomogenea. In alcuni casi, la richiesta esplicita è stata quella di rallentare il flusso di segnalazioni per poter gestire in modo sostenibile la correzione dei bug.

Un dato particolarmente indicativo riguarda il tasso di conferma, con oltre il 90% delle vulnerabilità ad alta criticità analizzate che si è rivelato effettivamente valido. Ciò suggerisce che, al netto del rumore di fondo, la qualità delle individuazioni di Mythos è molto elevata.

Uno degli aspetti più sensibili riguarda la capacità del modello di andare oltre la semplice identificazione delle vulnerabilità. In almeno un caso documentato, relativo alla libreria crittografica wolfSSL, Mythos è riuscito a costruire un exploit funzionante. La falla avrebbe consentito a un attaccante di falsificare certificati digitali e creare siti apparentemente legittimi, aprendo scenari di phishing estremamente difficili da individuare per l’utente finale. La vulnerabilità è stata corretta, ma il passaggio concettuale resta, con il risultato che l’automazione non si limita più alla scoperta dei problemi, ma inizia a estendersi alla loro sfruttabilità pratica.

Verso un rilascio pubblico, ma con incognite

Nel suo aggiornamento più recente, Anthropic ha dichiarato l’intenzione di espandere progressivamente l’accesso a Mythos e, in prospettiva, di arrivare a una distribuzione più ampia di modelli con capacità analoghe. La condizione perché ciò accada è sviluppare sistemi di sicurezza significativamente più efficaci rispetto a quelli attuali.

Non è stata però indicata una tempistica precisa e il riferimento a un “prossimo futuro” resta volutamente vago. La stessa Anthropic ammette che “al momento, nessuna azienda ha sviluppato misure di sicurezza sufficientemente efficaci da impedire che tali modelli vengano utilizzati in modo improprio e possano causare gravi danni”.