L’intelligenza artificiale sta ridefinendo i confini della sicurezza informatica. Non è più solo uno strumento per scrivere testi o automatizzare attività: sta diventando un attore diretto nella difesa – e potenzialmente nell’attacco – delle infrastrutture digitali.

In questo contesto si inserisce l’annuncio di Claude Mythos Preview da parte di Anthropic. Non è un modello come gli altri. È uno di quei segnali che fanno capire che il livello si è alzato.

La scelta più interessante non è tecnica, ma strategica: Anthropic ha deciso di non renderlo disponibile al pubblico.

Un modello troppo potente per essere aperto

Claude Mythos Preview non è stato rilasciato liberamente. L’accesso è limitato a un consorzio ristretto di aziende e organizzazioni: grandi nomi come Apple, Amazon, Microsoft e Google, insieme a realtà come Cisco, Broadcom e la Linux Foundation.

L’obiettivo è chiaro: usare il modello per individuare vulnerabilità in software critici prima che vengano sfruttate.

L’iniziativa, chiamata Project Glasswing, non è simbolica. Anthropic ha messo sul tavolo fino a 100 milioni di dollari in crediti per l’utilizzo del modello. Questo dà la misura della posta in gioco.

Qui c’è un punto chiave: non si tratta di una scelta commerciale. È una scelta di rischio.

La vera novità: trovare vulnerabilità prima degli attaccanti

Il salto di qualità è questo.

I modelli come Mythos non si limitano a generare codice o spiegazioni. Sono progettati per analizzare software complessi e individuare punti deboli con una velocità e una profondità difficili da raggiungere per i team umani.

Nella cyber security tradizionale, spesso si arriva dopo:

• una vulnerabilità viene scoperta perché è già stata sfruttata
• oppure emerge dopo audit lunghi e costosi

Un sistema capace di anticipare questo processo cambia completamente lo scenario.

Significa passare da una sicurezza reattiva a una sicurezza proattiva.

Il problema evidente: la stessa capacità può essere usata per attaccare

Qui sta il motivo della distribuzione controllata.

Un modello che sa trovare vulnerabilità può anche essere usato per sfruttarle. Non è un rischio teorico: è una conseguenza diretta delle sue capacità.

Anthropic ha quindi scelto di limitare l’accesso a soggetti verificati, con un interesse strutturale nella difesa dell’infrastruttura digitale.

Il consorzio serve proprio a questo: massimizzare l’uso difensivo riducendo quello offensivo.

Perché serve una risposta sistemica

C’è un altro aspetto che emerge chiaramente da Project Glasswing.

La sicurezza informatica non è più un problema isolato.

Gran parte dell’infrastruttura digitale si basa su componenti condivisi, spesso open source. Una vulnerabilità in una libreria può propagarsi rapidamente a centinaia o migliaia di sistemi.

Per questo un approccio frammentato non basta più.

Un consorzio che mette insieme aziende diverse, produttori hardware e gestori di software critici è una risposta più adatta alla complessità del problema.

Le domande aperte sulla governance

Questo modello però apre anche questioni importanti.

Chi decide chi può accedere a uno strumento così potente?
Come vengono gestite le vulnerabilità scoperte?
In che tempi vengono comunicate e corrette?

Non sono dettagli.

La storia della cyber security mostra che la gestione della divulgazione è spesso più critica della scoperta stessa. Un errore nei tempi o nella comunicazione può trasformare una soluzione in un problema.

Un cambio di mentalità nel mondo AI

L’aspetto forse più interessante è un altro.

Con Mythos, Anthropic riconosce esplicitamente che alcuni modelli sono troppo potenti per essere distribuiti senza controllo.

Non è la prima volta che si parla di questo, ma è una delle prime applicazioni concrete.

Segna un cambio di mentalità: la potenza dei modelli non è più solo un vantaggio competitivo, ma un fattore di rischio da gestire.

Più di un progetto tecnico

Project Glasswing non è solo un’iniziativa di sicurezza.

È anche un esperimento di governance.

Se funzionerà, potrebbe diventare un modello replicabile per altri casi in cui l’intelligenza artificiale offre capacità troppo sensibili per essere rilasciate liberamente.

Se invece emergeranno problemi – lentezza nei processi, conflitti tra partecipanti, difficoltà operative – sarà comunque utile per capire come gestire queste tecnologie in futuro.