bug_report Cybersecurity AI

Claude Mythos trova vulnerabilità più velocemente di quanto le aziende riescano a correggerle: cosa cambia per chi gestisce software

23 Maggio 2026 · 5 min lettura
shield Vulnerabilità critiche trovate
10.000+

Bug ad alta o critica gravità individuati da Mythos Preview in un mese di test con circa 50 partner.

verified Tasso di veri positivi
90,6%

Percentuale di segnalazioni confermate come reali da aziende di sicurezza indipendenti.

schedule Tempo medio di correzione
2 settimane

Tempo necessario in media per correggere un bug ad alta o critica gravità trovato da Mythos.

Diecimila vulnerabilità in trenta giorni: i numeri del Project Glasswing

Anthropic ha pubblicato il primo bilancio operativo del Project Glasswing, il programma che ha messo il modello Claude Mythos Preview nelle mani di circa cinquanta organizzazioni partner per analizzare infrastrutture software critiche. In un mese di utilizzo in anteprima privata, Mythos ha individuato oltre diecimila vulnerabilità classificate come ad alta o critica gravità.

I risultati dei singoli partner restituiscono la portata del fenomeno. Cloudflare ha identificato 2.000 bug nei propri sistemi principali, di cui 400 ad alta o critica gravità, con un tasso di falsi positivi giudicato migliore di quello dei tester umani. Mozilla ha trovato e risolto 271 vulnerabilità in Firefox 150 — oltre dieci volte quelle emerse su Firefox 148 con il precedente modello Claude Opus 4.6.

Parallelamente, Anthropic ha analizzato oltre mille progetti open source. Su 23.019 vulnerabilità rilevate, 6.202 sono risultate ad alta o critica gravità. Delle segnalazioni già verificate da aziende di sicurezza indipendenti, il 90,6% si è confermato un vero positivo e il 62,4% è stato validato come effettivamente critico.

Un caso particolarmente significativo ha riguardato wolfSSL, libreria crittografica utilizzata su miliardi di dispositivi embedded: Mythos ha costruito un exploit funzionante che avrebbe consentito di falsificare certificati e impersonare siti bancari o provider email. La vulnerabilità è stata corretta e catalogata come CVE-2026-5194.

Il vero collo di bottiglia non è più la scoperta, ma la correzione

Questi numeri, per quanto impressionanti, descrivono un problema strutturale che riguarda direttamente chi gestisce software in produzione. Diversi manutentori di progetti open source hanno chiesto ad Anthropic di rallentare il ritmo delle segnalazioni perché non riescono a gestirle.

Il dato più rilevante per i decision maker è questo: in media, un bug ad alta o critica gravità trovato da Mythos Preview richiede due settimane per essere corretto. Trovare i difetti è diventato rapido e scalabile. Correggerli resta lento, costoso e dipendente da competenze umane.

Per le aziende, questo significa che il ciclo tradizionale delle patch — scoperta, valutazione, prioritizzazione, correzione, rilascio — rischia di andare sotto pressione come mai prima. Non perché i team di sicurezza lavorino male, ma perché il volume di segnalazioni qualificate sta crescendo a un ritmo che i processi attuali non sono stati progettati per sostenere.

Perché Anthropic non rilascia Mythos al pubblico

Anthropic mantiene Mythos Preview in accesso controllato perché, per sua stessa ammissione, nessuna azienda ha ancora sviluppato salvaguardie sufficienti a prevenire un uso offensivo di un modello con queste capacità. La logica di Glasswing è difensiva: usare il modello per rafforzare le difese del software esistente prima che strumenti equivalenti possano finire nelle mani di attaccanti.

Questa scelta riflette un equilibrio delicato. La stessa capacità che permette di individuare vulnerabilità a velocità senza precedenti potrebbe, senza controlli adeguati, essere impiegata per sfruttarle. Il fatto che Anthropic lo dichiari apertamente è un segnale che le aziende dovrebbero registrare: la finestra temporale in cui queste capacità restano confinate a programmi controllati potrebbe non durare a lungo.

Implicazioni operative per le aziende

Per chi gestisce infrastrutture digitali, sviluppa software o dipende da componenti open source, le conseguenze pratiche sono concrete.

La prima riguarda la capacità di assorbimento. Se strumenti di questo tipo diventano accessibili — anche in versioni meno potenti — il volume di vulnerabilità note crescerà in modo significativo. Le aziende che non avranno processi di patch management scalabili si troveranno con un debito di sicurezza visibile e documentato, con implicazioni anche sul piano della responsabilità legale e della compliance.

La seconda riguarda la supply chain software. Molti dei progetti open source analizzati da Glasswing sono componenti utilizzati da migliaia di prodotti commerciali. Un'ondata di segnalazioni su librerie critiche come wolfSSL impatta a cascata su ogni azienda che le integra, spesso senza saperlo.

La terza riguarda il rapporto tra sviluppo e sicurezza. Se modelli di coding sufficientemente potenti riuscissero a controllare il codice durante la scrittura — non solo dopo la pubblicazione — una parte del lavoro oggi affidato alla revisione manuale potrebbe spostarsi dentro il ciclo di sviluppo. In quello scenario, l'AI non si limiterebbe a trovare bug già presenti, ma contribuirebbe a impedire che alcune categorie di vulnerabilità vengano introdotte.

Il nodo della leggibilità e della responsabilità

L'efficacia di Mythos apre anche una questione più strutturale sul futuro del software. Più il codice viene scritto o modificato da sistemi automatici, più diventano importanti auditabilità, debug e attribuzione della responsabilità.

Quando un errore produce un danno, serve poter ricostruire cosa è stato cambiato, perché, da quale sistema e con quali controlli. Una rappresentazione del codice comprensibile solo all'AI potrebbe risultare efficiente nella generazione, ma fragile sul piano della fiducia, della certificazione e della responsabilità legale.

Glasswing, in questa prospettiva, rappresenta una fase di transizione: serve a ridurre il debito di sicurezza accumulato nel software già distribuito, mentre gli strumenti di sviluppo si spostano verso forme di controllo preventivo.

Cosa conviene osservare adesso

Le aziende che dipendono da software — cioè tutte — dovrebbero monitorare tre aspetti. Primo: l'evoluzione dei programmi di vulnerability disclosure legati a modelli AI, perché il volume di segnalazioni su componenti critici è destinato a crescere. Secondo: la propria capacità interna di gestire patch a ritmo accelerato, valutando se i processi attuali reggono un aumento significativo di segnalazioni qualificate. Terzo: la composizione della propria supply chain software, mappando le dipendenze da librerie open source che potrebbero essere oggetto di analisi massiva.

Conclusione

Claude Mythos non è solo un benchmark di capacità AI nella sicurezza informatica. È un segnale operativo: la scoperta automatizzata di vulnerabilità sta diventando più veloce della capacità umana e organizzativa di correggerle. Per chi prende decisioni in azienda, la domanda non è se questi strumenti cambieranno il ciclo di gestione della sicurezza software, ma quanto tempo c'è per adeguare processi, risorse e governance prima che il divario tra vulnerabilità note e vulnerabilità corrette diventi un rischio concreto e misurabile.

location_on

Cosa significa per le aziende italiane

  • Il volume di vulnerabilità note nel software aziendale è destinato a crescere drasticamente: i processi di patch management attuali rischiano di non reggere, esponendo le imprese a debiti di sicurezza documentati e a rischi di compliance.
  • La supply chain software diventa un fronte critico: librerie open source integrate in migliaia di prodotti commerciali sono ora oggetto di analisi massiva, con impatti a cascata su ogni azienda che le utilizza.
  • Il divario tra capacità di scoperta AI e capacità di correzione umana impone una revisione della governance della sicurezza: servono risorse, automazione dei processi di remediation e mappatura delle dipendenze software.

Vuoi capire come questa tecnologia può impattare la tua azienda?

Parla con il team Keonse