Anthropic ha dichiarato che i nuovi sistemi AI dedicati alla cybersecurity stanno individuando vulnerabilità software a una velocità tale da superare la capacità operativa dei team umani di verifica e patching. Secondo quanto emerso dal progetto interno “Glasswing”, il modello sperimentale “Claude Mythos Preview” avrebbe identificato oltre 10.000 vulnerabilità critiche in appena un mese durante i test effettuati con circa 50 partner industriali.
L’aspetto più rilevante non riguarda soltanto la quantità di vulnerabilità trovate, ma il cambiamento strutturale che questo introduce nel settore della sicurezza informatica. Per anni il problema principale della cybersecurity è stato individuare vulnerabilità nascoste all’interno di enormi codebase software. Con l’arrivo di modelli AI specializzati, il collo di bottiglia si starebbe invece spostando verso la capacità umana di validare, classificare, correggere e distribuire patch abbastanza rapidamente.
Secondo Anthropic, molte aziende coinvolte nei test avrebbero registrato aumenti superiori a 10 volte nel tasso di rilevamento dei bug. Mozilla avrebbe corretto 271 vulnerabilità in Firefox grazie al supporto del sistema, mentre Cloudflare avrebbe identificato circa 2.000 vulnerabilità, incluse 400 considerate ad alta gravità. Palo Alto Networks avrebbe inoltre distribuito un numero di patch cinque volte superiore rispetto ai ritmi abituali dopo l’introduzione del modello nei workflow di sicurezza.
Per verificare l’affidabilità dei risultati, Anthropic ha dichiarato di aver effettuato scansioni su oltre 1.000 repository open source fondamentali dell’infrastruttura Internet, identificando più di 23.000 vulnerabilità complessive. Tra le vulnerabilità considerate più critiche, 1.752 sono state sottoposte a validazione indipendente tramite sei istituti di ricerca cybersecurity e revisione interna. Secondo l’azienda, il 90,6% di queste è stato confermato come vulnerabilità reale, un dato particolarmente elevato per sistemi AI di vulnerability discovery.
Uno dei casi più delicati citati riguarda la libreria crittografica wolfSSL, utilizzata in miliardi di dispositivi a livello globale. Il modello avrebbe individuato una vulnerabilità sfruttabile per falsificare certificati digitali e generare siti fraudolenti apparentemente legittimi, inclusi portali bancari o provider email. Anthropic sostiene che il sistema sia stato in grado non solo di rilevare il problema, ma anche di produrre codice exploit funzionante. La vulnerabilità, identificata come CVE-2026-5194, è stata successivamente corretta.
Il problema centrale evidenziato dall’azienda è che il processo di remediation non scala alla stessa velocità della scoperta automatizzata. Anthropic afferma che correggere i bug individuati richiede mediamente circa due settimane, mentre molti maintainer open source non dispongono delle risorse necessarie per gestire volumi così elevati di vulnerabilità. Alcuni sviluppatori avrebbero persino chiesto all’azienda di rallentare la pubblicazione delle segnalazioni per evitare il collasso operativo dei team di manutenzione.
La situazione evidenzia anche un rischio strategico più ampio: modelli AI sufficientemente avanzati potrebbero abbassare drasticamente la barriera d’ingresso alle capacità offensive cyber. Anthropic ha ammesso che nessuna azienda dispone ancora di sistemi di sicurezza realmente efficaci per impedire utilizzi malevoli completi di modelli di questo livello, motivo per cui “Mythos” non è stato ancora distribuito pubblicamente.
Parallelamente, l’azienda ha lanciato in beta pubblica “Claude Security”, una piattaforma basata su Claude Opus 4.7 progettata per analizzare repository software e suggerire automaticamente correzioni alle vulnerabilità. Secondo Anthropic, il sistema avrebbe già contribuito alla correzione di oltre 2.100 vulnerabilità nell’arco di tre settimane, soprattutto in ambienti enterprise dove i team interni possono applicare patch molto più rapidamente rispetto al mondo open source.
Anthropic ha inoltre introdotto un programma dedicato ai professionisti della cybersecurity che consente accesso a versioni dei modelli con restrizioni di sicurezza ridotte per attività di penetration testing, ricerca offensiva e red teaming avanzato. Questo indica come il settore stia entrando in una fase in cui gli AI model non vengono più considerati soltanto strumenti di supporto alla sicurezza, ma veri acceleratori delle capacità offensive e difensive nel cyberspazio.