Anthropic ha pubblicato il primo aggiornamento sostanziale di Project Glasswing, confermando che, a poco più di un mese dalla presentazione, il modello Claude Mythos - tuttora in anteprima privata - ha individuato oltre diecimila vulnerabilità ad alta o critica gravità in alcune delle infrastrutture software più importanti e utilizzate al mondo. Il risultato modifica radicalmente la dinamica tradizionale della sicurezza informatica: la scoperta dei bug non è più il collo di bottiglia, mentre la loro correzione diventa il punto critico, perché i team di manutenzione non riescono a tenere il passo con il volume delle segnalazioni.

Il progetto coinvolge circa cinquanta partner industriali che utilizzano Mythos Preview per analizzare sistemi critici. I dati raccolti nelle prime settimane mostrano un impatto senza precedenti. Cloudflare ha identificato 2.000 vulnerabilità nei propri sistemi principali, di cui 400 classificate come ad alta o critica gravità. L'azienda ha indicato che il tasso di falsi positivi è inferiore a quello dei tester umani, un risultato che conferma la maturità del modello nell'analisi del codice. Mozilla ha riportato un incremento significativo nel numero di vulnerabilità rilevate in Firefox 150: 271 bug corretti, oltre dieci volte quelli individuati nella versione 148 utilizzando Claude Opus 4.6. L'aumento non è attribuito a un peggioramento del codice, ma alla capacità di Mythos di individuare difetti strutturali che in precedenza richiedevano settimane di analisi manuale.

Anthropic ha inoltre scansionato più di mille progetti open source, rilevando 6.202 vulnerabilità ad alta o critica gravità su un totale di 23.019 segnalazioni. Le verifiche condotte da aziende di sicurezza indipendenti indicano che il 90,6% delle vulnerabilità analizzate è risultato un vero positivo, mentre il 62,4% è stato confermato come ad alta o critica gravità. Questi valori superano ampiamente gli standard tipici dei sistemi automatizzati di analisi statica. Un caso particolarmente rilevante riguarda wolfSSL, una libreria crittografica utilizzata in miliardi di dispositivi embedded. Mythos Preview ha generato un exploit funzionante che avrebbe permesso di falsificare certificati e impersonare servizi bancari o provider di posta elettronica. La vulnerabilità è stata corretta e catalogata come CVE‑2026‑5194, con una nota che attribuisce al modello la scoperta del difetto.

La rapidità con cui Mythos produce segnalazioni ha generato un problema inatteso. Diversi manutentori di software open source hanno chiesto ad Anthropic di rallentare il ritmo delle analisi, perché non riescono a gestire il volume dei rapporti di bug. In media, una vulnerabilità ad alta o critica gravità richiede circa due settimane per essere corretta, un tempo che non può essere compresso senza intervento umano. La scoperta automatizzata è diventata immediata; la mitigazione resta lenta, costosa e dipendente da competenze specialistiche. Anthropic ha dichiarato che Mythos Preview non verrà rilasciato pubblicamente finché non saranno disponibili salvaguardie adeguate per prevenire un uso offensivo del modello. La logica di Glasswing è quella di anticipare gli hacker, fornendo alle aziende uno strumento capace di individuare vulnerabilità prima che vengano sfruttate. L'azienda ha spiegato che «le capacità del modello richiedono un controllo rigoroso e un contesto operativo sicuro», sottolineando che nessun sistema di protezione attuale sarebbe sufficiente in caso di rilascio indiscriminato.

Articoli suggeriti:

Linux Torvalds contro la IA: invece di accelerare lo sviluppo lo rallenta

Copilot si attribuisce la paternità del codice

Codex introduce i pet: i compagni animati in stile Clippy mostrano che cosa fa l...

IA troppo costosa: le aziende spendono più per i token che per i dipendenti

Le implicazioni vanno oltre la sicurezza. Si potrebbe infatti sostenere che, se fossero integrati direttamente nel ciclo di sviluppo, i modelli di coding avanzati potrebbero impedire l'introduzione di intere categorie di vulnerabilità, spostando parte del lavoro di revisione all'interno degli strumenti di scrittura del codice. In questo scenario, l'IA non si limiterebbe a individuare difetti nei programmi già distribuiti, ma contribuirebbe a prevenirli durante la fase di progettazione. Da ciò consegue anche che, on l'aumento delle capacità dei modelli, i linguaggi di programmazione ad alto livello potrebbero perdere parte della loro funzione come interfaccia per gli sviluppatori. Poiché questi linguaggi sono progettati per essere leggibili dagli esseri umani, un agente artificiale potrebbe preferire rappresentazioni più strutturate e meno ambigue. Andrej Karpathy, recentemente entrato in Anthropic, ha osservato che «la leggibilità umana non è un requisito per un sistema automatico», aprendo un dibattito sulla futura forma del software.

Questa prospettiva solleva interrogativi sulla trasparenza e sulla responsabilità. Più il software viene scritto o modificato da sistemi automatici, più diventa essenziale poter ricostruire chi abbia generato una modifica, con quali strumenti e con quali controlli. Una rappresentazione opaca, comprensibile solo all'IA, potrebbe essere efficiente ma problematica per audit, certificazioni e indagini post‑incidente. Glasswing potrebbe quindi rappresentare una fase di transizione: ridurre il debito di sicurezza accumulato nel software esistente mentre gli strumenti di sviluppo si spostano verso forme di controllo preventivo. La durata di questa fase dipenderà dalla velocità con cui le capacità di Mythos verranno integrate negli ambienti di sviluppo quotidiani. La questione centrale non è solo se l'IA sappia scrivere codice migliore, ma se gli esseri umani saranno ancora in grado di comprenderlo, verificarlo e attribuirne la responsabilità.

Non perderti anche:

Google accelera: il 75% del codice è scritto dall'IA

Firefox 150, scovate 271 vulnerabilità con l'IA

Claude Mythos, il modello di Anthropic è troppo potente per essere reso pub...

Claude Opus 4.6 rivoluziona la caccia ai bug: ha individuato 112 falle in Firefo...