Pochi giorni fa, come raccontavamo in questo articolo, un errore di Anthropic aveva fatto trapelare l’esistenza di Claude Mythos, un modello che la stessa azienda descriveva come il più capace mai sviluppato, con prestazioni nettamente superiori a Opus 4.6, soprattutto in ambito cybersicurezza.
Oggi Anthropic ha formalizzato tutto con l’annuncio del Progetto Glasswing e i dettagli che emergono cambiano la portata della storia.
Non si tratta di un lancio di prodotto. Mythos Preview non sarà infatti disponibile al pubblico, né è previsto che lo diventi. Anthropic ha invece costruito una coalizione ristretta di partner (Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks) a cui il modello viene messo a disposizione esclusivamente per lavori difensivi in ambito cyber.
A questi si aggiungono circa quaranta organizzazioni che gestiscono infrastrutture software critiche. L’accesso è selezionato. I criteri, non del tutto esplicitati.
Glasswing e cos’ha trovato Mythos
Nelle settimane precedenti all’annuncio, Anthropic ha usato il modello per analizzare software diffusissimo, il tipo che non si vede ma su cui gira buona parte di internet: sistemi operativi, browser, librerie fondamentali.
Il risultato sono state migliaia di falle sconosciute agli stessi sviluppatori, quindi prive di patch, in ogni sistema operativo di rilievo e in ogni browser web principale.
Tre casi danno un’idea dell portata della scoperta. Mythos Preview ha individuato una vulnerabilità vecchia di 27 anni in OpenBSD, sistema operativo noto per essere uno dei più sicuri al mondo, usato per gestire firewall e infrastrutture critiche: bastava connettersi alla macchina per mandarla in crash da remoto.
Ha poi trovato una falla di 16 anni in FFmpeg, la libreria che innumerevoli programmi usano per gestire video, in una riga di codice che gli strumenti automatizzati avevano analizzato cinque milioni di volte senza mai intercettare niente.
Ha quindi concatenato in autonomia diverse vulnerabilità nel kernel Linux, il software alla base della maggior parte dei server mondiali, per scalare da un accesso utente ordinario al controllo completo della macchina. Tutte queste falle sono state segnalate ai rispettivi responsabili e corrette.
Il modello ha operato in modo sostanzialmente autonomo, senza una guida umana. Sui benchmark di riferimento, il distacco rispetto al modello precedente di Anthropic, Opus, è netto: 83,1% contro 66,6% nella riproduzione di vulnerabilità informatiche.
La stessa capacità che attacca, per difendere
Qui sta la questione che Anthropic non può aggirare. Un modello in grado di trovare falle con questa efficacia è, per definizione, anche un modello in grado di sfruttarle.
Non è un’ipotesi: l’anno scorso hacker avevano già usato Claude, una versione precedente, molto meno capace, per attaccare circa trenta organizzazioni in tutto il mondo. Secondo uno studio IBM e Palo Alto Networks, il 67% dei mille executive intervistati dichiarava di essere stato bersaglio di attacchi potenziati dall’IA nell’ultimo anno.
La finestra tra la scoperta di una vulnerabilità e il suo sfruttamento, che un tempo si misurava in mesi, si è ora ridotta a minuti. È CrowdStrike a dirlo esplicitamente nella nota di adesione al progetto, e non è retorica. Anzi, è la ragione per cui anche Palo Alto Networks (le cui azioni erano crollate a marzo dopo il leak su Mythos, insieme a quelle di CrowdStrike), è ora partner dell’iniziativa.
Le stesse aziende che avevano perso capitalizzazione alla notizia dell’esistenza del modello, oggi scommettono sulla possibilità di usarlo per difendersi. La RSA Conference di quest’anno a San Francisco è stata dominata esattamente da questa domanda: gli strumenti di sicurezza convenzionali reggono ancora, di fronte a un attaccante potenziato dall’IA?
Una coalizione, una governance
Anthropic ha impegnato fino a 100 milioni di dollari in crediti di utilizzo per i partner del progetto, con l’intenzione di estendere la collaborazione per molti mesi. Ha anche donato 2,5 milioni di dollari ad Alpha-Omega e OpenSSF tramite la Linux Foundation, e 1,5 milioni alla Apache Software Foundation. Un riconoscimento esplicito che il software open source, che costituisce la base di buona parte delle infrastrutture digitali globali, è storicamente il più esposto e il meno presidiato sul fronte della sicurezza.
Entro novanta giorni, Anthropic si è impegnata a rendere pubblici i risultati, ossia le vulnerabilità corrette, le pratiche apprese, le raccomandazioni per l’evoluzione dei processi di sicurezza. Nel medio termine, l’azienda propone la creazione di un organismo indipendente di terze parti che faccia da sede permanente per questi lavori su larga scala.
Nel frattempo, sono in corso discussioni con funzionari del governo americano sulle capacità offensive e difensive del modello. Anthropic lo dice apertamente: proteggere le infrastrutture critiche è una priorità di sicurezza nazionale per i paesi democratici, e i governi hanno un ruolo nel mantenere il vantaggio nel campo dell’IA.
La cornice geopolitica è quella che avevamo già identificato (Stati Uniti e alleati da un lato, Cina, Russia, Iran e Corea del Nord dall’altro), ma ora ha un modello specifico, con capacità documentate, al centro.
Prima che sia troppo tardi
L’aspetto più interessante di Project Glasswing non è la tecnologia. È la scelta deliberata di non distribuirla. Anthropic ha costruito un modello che, nelle sue stesse parole, ha raggiunto capacità tali da superare quasi tutti gli esseri umani nell’individuare e sfruttare falle software. E ha deciso che non può essere messo nelle mani di chiunque.
Non è la prima volta che un’azienda tech annuncia con un certo orgoglio di aver creato qualcosa di troppo pericoloso per rilasciarlo liberamente. La differenza è che questa volta i numeri ci sono, le vulnerabilità sono state corrette, i partner sono quelli che gestiscono buona parte dell’infrastruttura digitale mondiale.
La posta è altissima e chi decide chi entra, e chi no, è ancora per ora la stessa Anthropic.
Fonte: Anthropic
