Mythos, il modello specializzato in cybersecurity sviluppato da Anthropic, si sta rivelando esattamente costoso quanto preannunciato: bastano poche settimane di utilizzo per accumulare spese nell’ordine dei milioni di dollari. Eppure le aziende che lo stanno testando, anziché ritrarsi davanti al prezzo, si stanno preparando ad ampliare i budget dedicati alla sicurezza. La ragione di questa apparente contraddizione è tutta nel rapporto tra il costo dello strumento e l’entità dei danni che permette di evitare.
I numeri emersi dai primi test chiariscono la portata del fenomeno. Palo Alto Networks ha utilizzato Mythos per analizzare il proprio codice sorgente e in tre settimane ha individuato oltre venti vulnerabilità gravi, una quantità circa cinque volte superiore a quella che gli strumenti di sicurezza convenzionali riescono a scovare. Il prezzo di quel risultato è stato altrettanto vistoso: oltre un milione di dollari di costi in token bruciati rapidamente nel corso dell’analisi. Altre aziende coinvolte nei test riferiscono cifre analoghe, con spese che possono raggiungere diversi milioni di dollari anche solo per qualche settimana d’uso. Al momento Anthropic sta sovvenzionando parte di questi costi per le aziende pilota, ma dopo il lancio ufficiale il conto passerà direttamente ai clienti, e il prezzo per token sarà circa sei volte più alto rispetto al modello di punta attualmente disponibile, Claude Opus.
Il punto interessante è che questo divario di prezzo va letto insieme alle prestazioni effettive. L’istituto britannico per la sicurezza dell’AI ha valutato Mythos come nettamente superiore a Opus nei compiti di cybersecurity complessi, al punto che, tenendo conto del rendimento reale, il sovrapprezzo effettivo per un’azienda si riduce a circa il doppio anziché il sestuplo. È una distinzione sostanziale, perché sposta la valutazione dal costo nominale per token al costo per risultato utile ottenuto, ed è proprio questa metrica a giustificare l’interesse di realtà come Zscaler, che pure riconoscono una spesa molto più alta rispetto ai tradizionali strumenti di analisi del codice ma la considerano un investimento sensato.
La logica economica che spinge le aziende ad accettare questi costi diventa evidente guardando ai danni provocati dagli attacchi. Negli Stati Uniti le perdite legate ad attacchi informatici hanno raggiunto i ventuno miliardi di dollari nell’ultimo anno, in netta crescita rispetto ai sedici e sei miliardi dell’anno precedente, mentre i riscatti richiesti dagli attacchi ransomware si misurano spesso in decine di milioni. In questo scenario, spendere milioni per individuare le falle prima degli aggressori appare conveniente rispetto al rischio di subire una violazione su larga scala. A pesare è anche un cambiamento qualitativo: in passato, tra la scoperta di una vulnerabilità e il suo sfruttamento reale intercorreva un certo tempo, mentre ora quella finestra si è praticamente azzerata, costringendo le organizzazioni a rivedere l’intero impianto difensivo.
Per ora Mythos non è stato reso disponibile al pubblico, per il timore concreto che attori malevoli possano impiegarlo a fini offensivi anziché difensivi. Anthropic ha però dichiarato l’intenzione di offrire entro poche settimane un modello “di livello Mythos” a tutti i clienti, una mossa che dovrebbe accelerare ulteriormente la sua crescita in un’area, quella della cybersecurity applicata, in cui anche OpenAI si sta muovendo con un modello specializzato attualmente in test presso alcune aziende, valutato comunque leggermente inferiore a Mythos nelle prestazioni complessive.
Parallelamente all’adozione, le aziende stanno già sperimentando strategie per contenere i costi senza rinunciare ai benefici. C’è chi ha lavorato sull’ottimizzazione dei prompt, riducendo drasticamente il numero di token consumati prima ancora che il modello inizi a lavorare, passando da centocinquantamila a circa tremila token. E c’è chi adotta una divisione dei ruoli, affidando a Mythos la pianificazione della strategia d’attacco simulato e a un modello più economico l’esecuzione materiale del lavoro, così da sfruttare la capacità superiore solo dove conta davvero. Resta tuttavia la convinzione diffusa nel settore che un aumento dei budget di sicurezza sia ormai inevitabile, anche perché la domanda di protezione contro gli attacchi basati sull’AI sta arrivando direttamente dai vertici aziendali. Il messaggio che si sta consolidando è che, per quanto oneroso, uno strumento capace di prevenire danni dell’ordine di decine o centinaia di milioni rappresenti un investimento giustificato, e che proprio per questo stia ridefinendo gli standard del settore.