Immagine AI

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti sta utilizzando Claude Mythos per analizzare repository software governativi e individuare vulnerabilità che potrebbero essere sfruttate da gruppi criminali o da operatori legati a servizi di intelligence stranieri. Il lavoro sarebbe affidato al team Attack Surface Evaluation di CISA, una struttura specializzata nell’analisi dell’esposizione digitale delle agenzie federali e nelle attività di valutazione tecnica dei sistemi più sensibili.

Mythos è il modello di Anthropic dedicato alla ricerca in ambito cybersecurity e viene distribuito con accesso ristretto a organizzazioni selezionate. La sua funzione non è limitata alla lettura statica di singoli file sorgente: il modello può essere impiegato per attraversare grandi basi di codice, ricostruire dipendenze tra componenti, interpretare configurazioni, correlare librerie e identificare combinazioni di errori che diventano sfruttabili solo nel contesto complessivo dell’applicazione.

In un audit software tradizionale, il controllo delle vulnerabilità viene spesso diviso tra scanner automatici, analisti di sicurezza e penetration tester. Gli strumenti statici rilevano pattern noti, ad esempio input non sanitizzati, credenziali inserite nel codice, chiamate pericolose o librerie vulnerabili, ma hanno difficoltà a comprendere la logica applicativa e a stabilire se più anomalie apparentemente minori possano creare una catena d’attacco concreta. Un modello come Mythos può invece lavorare sul codice con un livello di interpretazione più vicino a quello di un revisore umano, formulando ipotesi, seguendo i flussi dei dati e verificando quali condizioni rendano realmente sfruttabile un difetto.

Secondo le informazioni disponibili, l’uso di Mythos avrebbe già consentito di trovare numerose vulnerabilità nei repository esaminati, anche se non sono stati comunicati dettagli su gravità, tipologia dei difetti o quantità di codice sottoposta a revisione. Questa riservatezza è prevedibile, perché la diffusione di informazioni specifiche su falle presenti in software governativo potrebbe aumentare il rischio di sfruttamento prima dell’applicazione delle correzioni.

L’impiego dell’AI in questo contesto modifica soprattutto la scala del lavoro difensivo. Le agenzie pubbliche gestiscono codebase molto estese, sviluppate in anni diversi, spesso distribuite tra fornitori, team interni e infrastrutture legacy. In questi ambienti, il problema non è soltanto trovare vulnerabilità già catalogate, ma individuare percorsi di attacco che nascono dall’interazione tra codice datato, configurazioni cloud, sistemi di autenticazione, API, dipendenze open source e procedure operative poco documentate.

Un modello orientato alla cybersicurezza può accelerare la fase di triage, ordinando i risultati per rischio potenziale e aiutando gli analisti a concentrarsi sui difetti che espongono direttamente dati, credenziali, interfacce pubbliche o sistemi critici. Può inoltre suggerire verifiche aggiuntive, generare casi di test, ricostruire percorsi di esecuzione e supportare la preparazione delle patch, pur lasciando la validazione finale ai team umani responsabili dell’infrastruttura.

Il caso è rilevante anche per la natura dual use di questi modelli. Le stesse capacità che permettono di cercare vulnerabilità in modo molto più rapido possono essere impiegate per identificare punti deboli in sistemi non autorizzati. Per questo Anthropic mantiene Mythos in un programma di accesso controllato, con verifiche sui soggetti abilitati e misure specifiche per limitare l’uso offensivo. L’adozione da parte di CISA mostra come gli strumenti di AI per la sicurezza stiano passando dalle dimostrazioni sperimentali a un utilizzo operativo nella difesa di infrastrutture software nazionali.

Di Fantasy