Anthropic ha un modello AI così potente da non volerlo rilasciare al pubblico. Il motore del progetto è Claude Mythos Preview e ha già trovato migliaia di falle nei sistemi che usiamo ogni giorno
C’è un modello di intelligenza artificiale che in poche settimane ha trovato più vulnerabilità di quante ne trovi un ricercatore esperto in tutta la sua carriera. Lo ha detto Nicholas Carlini, ricercatore di Anthropic:
“Ho trovato più bug nelle ultime due settimane che in tutto il resto della mia vita messa insieme.”
Il modello si chiama Claude Mythos Preview. E il 7 aprile 2026 Anthropic ha annunciato Project Glasswing: un consorzio di oltre 50 organizzazioni a cui il modello sarà dato in uso esclusivo.
Il nome del progetto non è casuale: la Glasswing è una farfalla con le ali quasi completamente trasparenti, che non ha bisogno di nascondersi perché è invisibile per i predatori.
Come ha detto Jim Zemlin, CEO della Linux Foundation:
“In passato, la competenza in materia di sicurezza è stata un lusso riservato alle organizzazioni con grandi team. I manutentori Open Source sono stati storicamente lasciati a gestire la sicurezza da soli. Project Glasswing offre un percorso credibile per cambiare questa equazione.”
Per capire bene la storia, però, bisogna partire da un dettaglio: Fortune lo aveva già scoperto a marzo, in un database non protetto di Anthropic c’era una bozza interna che descriveva Mythos come “il modello di AI di gran lunga più potente” mai sviluppato dalla società. Una fuga di notizie involontaria che ha costretto Anthropic ad accelerare le comunicazioni ufficiali. Come ha confermato AI4Business, nei giorni seguenti anche parte del codice sorgente di Claude Code è finita online. Anthropic ha parlato di errori umani in entrambi i casi.
Mythos non è stato progettato specificamente per la sicurezza informatica; infatti, come ha spiegato il CEO Dario Amodei in un’intervista: “Non lo abbiamo addestrato specificamente per essere bravo nel cyber, ma per essere bravo nel codice. Come effetto collaterale, è anche bravo nel cyber”.
Secondo il Frontier Red Team di Anthropic, Mythos ha comunque trovato migliaia di vulnerabilità zero-day (cioè falle sconosciute anche agli sviluppatori del software) in ogni grande sistema operativo e ogni grande browser web. Alcune di queste falle esistevano da decenni, sopravvivendo a generazioni di revisioni umane e automatizzate.
I numeri concreti li ha raccontati bene Geopop; quando Anthropic ha confrontato Opus 4.6 e Mythos sulla capacità di trasformare vulnerabilità trovate nel motore JavaScript di Firefox in exploit funzionanti, Opus 4.6 ci è riuscito due volte su centinaia di tentativi. Mythos ne ha prodotti 181 funzionanti. Un divario di quasi 100 volte.
Leggi anche: Tutti parlano delle allucinazioni AI ma nessuno dello scheming
Logan Graham, che guida la Ricerca offensiva di Anthropic, ha spiegato a NBC News che il modello può concatenare più vulnerabilità in sequenza per costruire attacchi complessi senza supervisione umana.
Per esempio, come è stato raccontato da NxCode, Mythos ha trovato in OpenBSD un bug presente da 27 anni. OpenBSD è uno dei sistemi operativi più sicuri al mondo, usato in router e firewall. Di fronte a tutto questo, Anthropic ha preso una decisione inusuale, se vogliamo un po’ in controtendenza con le scelte alle quali siamo stati abituati negli ultimi anni.
Come rivela VentureBeat, invece di rilasciare Mythos al pubblico o tenerlo chiuso in laboratorio, Anthropic ha scelto una via di mezzo: darlo ai difensori prima che arrivi nelle mani degli attaccanti.
Project Glasswing riunisce 12 partner di lancio principali: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks. Poi, come confermato dal sito ufficiale, l’accesso è stato esteso anche a più di 40 organizzazioni che gestiscono infrastrutture software critiche.
Fortune Italia riporta che Anthropic ha stanziato 100 milioni di dollari in crediti per l’utilizzo del modello, più 4 milioni di donazioni dirette a organizzazioni come Linux Foundation, Alpha-Omega e OpenSSF.
Ma come funziona? I partner usano Mythos solo per trovare e correggere vulnerabilità nei propri sistemi o nel Software Open Source che mantengono. Tutte le vulnerabilità scoperte passano attraverso una divulgazione coordinata. Anthropic mantiene la supervisione. Come spiega bene Tecnoandroid, Anthropic sta trasformando i potenziali rivali in alleati temporanei con un interesse comune, la cybersicurezza globale.
CyberScoop aggiunge che il Software Open Source costituisce la grande maggioranza del codice nei sistemi moderni, inclusi i sistemi che gli agenti AI usano per scrivere nuovo software. Proteggere quel codice non è un problema tecnico di nicchia.
Cosa succederà adesso? Anthropic ha detto che pubblicherà un report sui risultati entro 90 giorni. Nel frattempo, lavora a nuove misure di protezione che verranno lanciate con il prossimo modello Claude Opus, per capire come rendere sicure le capacità di Mythos prima di allargarle. A noi non resta che aspettare.
Leggi anche: OpenAI VS Anthropic e l’accordo per l’uso dell’AI a scopi militari. Come stanno davvero le cose
