Anthropic ha annunciato martedì l’estensione di Project Glasswing, l’iniziativa congiunta con l’industria per individuare e correggere vulnerabilità software critiche tramite intelligenza artificiale, a circa 150 nuove organizzazioni distribuite in più di 15 Paesi. Al centro del programma c’è Claude Mythos, che Anthropic definisce il proprio modello più potente, capace di identificare migliaia di vulnerabilità zero-day nell’arco di alcune settimane. Il modello resta non pubblico: viene messo a disposizione solo dei partner selezionati del programma, ciascuno dei quali, come precisato, dovrà soddisfare requisiti di sicurezza prima di ottenere l’accesso.
La meccanica del programma spiega bene perché l’accesso sia gestito in modo così controllato. Project Glasswing è il programma controllato che concede a partner verificati l’accesso a Claude Mythos Preview per la scansione delle vulnerabilità nelle loro codebase, e in aprile Anthropic aveva dato a 50 partner iniziali, incluso il governo statunitense, l’accesso a Mythos Preview proprio per analizzare il proprio codice alla ricerca di falle. Il dato che dà la misura della capacità del modello è che dal lancio i partner di Project Glasswing hanno rivelato oltre 10.000 falle di sicurezza di livello alto o critico. La stessa potenza è anche la ragione della cautela: Mythos ha sollevato il timore che nuovi modelli di IA possano permettere agli attaccanti di sfruttare più facilmente le vulnerabilità del software, e Anthropic stima che un grande attacco informatico potrebbe colpire più di 100 milioni di persone.
L’allargamento di questa settimana è soprattutto un’estensione settoriale e geografica. La lista ampliata copre energia, acqua, sanità, comunicazioni e hardware, settori che non erano ben rappresentati nel gruppo iniziale, e include anche fornitori e organizzazioni non profit che mantengono codebase ampiamente riutilizzate. Sul piano dei nomi, che Anthropic non ha diffuso direttamente, il Financial Times ha riportato tra le realtà che hanno ottenuto accesso a Mythos lo strumento statunitense di gestione di identità e sicurezza Okta, le aziende sudcoreane Samsung, SK Hynix e SK Telecom, la NATO e l’agenzia di cybersicurezza dell’Unione Europea ENISA. Tra i Paesi a cui viene concesso il nuovo accesso figurano gli alleati dell’intelligence Five Eyes Canada, Australia e Nuova Zelanda, oltre a Corea del Sud, Francia, Germania, Italia, Svizzera, Paesi Bassi, Spagna, Belgio, Svezia, India e Giappone, e tra i gruppi dei mercati finanziari compaiono Euroclear, Intercontinental Exchange — proprietaria della Borsa di New York — e la piattaforma internazionale di pagamenti SWIFT.
C’è poi il contesto societario, che non è secondario rispetto al timing dell’annuncio. La notizia arriva il giorno dopo che Anthropic ha dichiarato di aver depositato in forma riservata la richiesta per un’offerta pubblica iniziale, dopo un round di finanziamento da 65 miliardi di dollari a una valutazione vicina ai mille miliardi. Sul fronte normativo, il giorno precedente era stato annunciato l’accordo per distribuire il modello all’Unione Europea, mentre in Corea, secondo la cronologia ricostruita, l’11 maggio il ministero della Scienza e ICT ha avuto un incontro con Michael Sellitto, responsabile delle politiche globali di Anthropic, e per il settore finanziario giapponese l’accesso era atteso per l’inizio di giugno.
Infine, la direzione futura è dichiarata in modo esplicito su due binari. Anthropic intende ampliare ulteriormente Project Glasswing includendo per primi i fornitori di infrastrutture essenziali, i manutentori di software open source critico e i tester di sicurezza, anche al di fuori degli Stati Uniti. In parallelo, la scorsa settimana l’azienda ha rilasciato Claude Opus 4.8 e ha anticipato che nelle prossime settimane renderà disponibile al pubblico un modello di livello Mythos, segno che il know-how oggi confinato al perimetro chiuso di Glasswing è destinato a uscirne in forma più accessibile.