Anthropic ha modificato la propria politica di gestione delle informazioni di sicurezza relative a Mythos, il sistema AI specializzato in cybersecurity introdotto all’interno del programma Glasswing, consentendo alle organizzazioni partecipanti di condividere esternamente dati sulle vulnerabilità rilevate, metodi di mitigazione e strumenti di analisi. La decisione rappresenta un cambio significativo rispetto all’approccio iniziale, che prevedeva accordi di riservatezza molto restrittivi e limitava fortemente la diffusione delle informazioni prodotte dal modello.
Mythos è stato sviluppato come piattaforma AI focalizzata sull’analisi avanzata del codice e sull’identificazione automatizzata di vulnerabilità software. Il sistema sarebbe in grado non solo di rilevare flaw e configurazioni insicure, ma anche di analizzare potenziali percorsi di exploit, accelerando drasticamente attività normalmente affidate a team di sicurezza offensiva e reverse engineering. Questo tipo di capacità avvicina Mythos ai nuovi paradigmi di AI-assisted cybersecurity, dove i modelli multimodali vengono utilizzati per vulnerability discovery, threat intelligence e remediation automatizzata.
Fino a oggi l’accesso a Mythos era limitato a circa cinquanta organizzazioni selezionate all’interno del Project Glasswing, incluse grandi aziende tecnologiche come Amazon, Microsoft, NVIDIA e Apple. Le informazioni generate dal sistema venivano però mantenute quasi completamente riservate, anche nel caso di vulnerabilità critiche potenzialmente rilevanti per ecosistemi software più ampi.
Questa scelta aveva iniziato a generare forti critiche nel settore cybersecurity e in ambito istituzionale. Diversi osservatori avevano evidenziato il rischio che strumenti di analisi avanzata accessibili solo a grandi aziende potessero creare un forte squilibrio difensivo, lasciando PMI, enti pubblici e organizzazioni con capacità cyber limitate prive di accesso tempestivo a informazioni essenziali per la protezione delle infrastrutture digitali.
La nuova policy introduce invece un modello più vicino ai principi di responsible disclosure. Le aziende partecipanti potranno condividere vulnerabilità identificate, procedure di risposta, codice correlato e strumenti tecnici con altri team di sicurezza, associazioni di settore, regolatori, enti governativi, maintainer open source e, in alcuni casi, anche pubblicamente. Anthropic ha spiegato che il programma avrebbe raggiunto un livello di maturità sufficiente per consentire una maggiore circolazione delle informazioni senza compromettere l’efficacia operativa del sistema.
La decisione arriva in un momento particolarmente delicato per l’intero settore dell’AI cybersecurity. I modelli specializzati in offensive security e vulnerability analysis stanno infatti aumentando rapidamente le capacità sia difensive sia offensive. La possibilità di identificare exploit in modo automatizzato riduce drasticamente i tempi necessari per la scoperta di vulnerabilità, ma introduce anche rischi legati all’abuso da parte di attori malevoli, soprattutto in presenza di leak, accessi non autorizzati o divulgazioni premature.
Secondo le informazioni emerse, Anthropic avrebbe già avviato recentemente un’indagine interna dopo un tentativo di accesso non autorizzato a Mythos, evidenziando quanto questi sistemi stiano diventando asset strategici ad altissimo valore nel panorama cyber globale.
La questione ha iniziato inoltre a coinvolgere direttamente anche il dibattito politico statunitense. Josh Gottheimer, co-presidente della task force AI della Camera USA, avrebbe contestato formalmente le restrizioni precedenti sostenendo che nessuna organizzazione dovrebbe essere vincolata da accordi che impediscano la comunicazione di minacce informatiche urgenti o il coordinamento delle difese.
Parallelamente, emergono indicazioni secondo cui Mythos verrebbe già utilizzato per attività di analisi vulnerabilità e patching all’interno di sistemi governativi federali statunitensi. Questo dettaglio conferma come i modelli AI dedicati alla cybersecurity stiano rapidamente evolvendo da strumenti sperimentali a componenti operative critiche per la sicurezza nazionale e per la protezione delle infrastrutture digitali strategiche.