Anthropic espande in 15 paesi, inclusa l'Italia, l'accesso a Mythos, un modello AI specializzato nel trovare vulnerabilità software. Circa 150 organizzazioni in settori critici potranno usarlo per proteggere infrastrutture essenziali.

Mythos, l'AI che caccia i bug arriva in Italia: cosa cambia per la sicurezza informatica

Mozilla ha appena rilasciato 423 patch di sicurezza per Firefox in un mese, rispetto alle 31 dello stesso periodo un anno fa. Il salto non è casuale: dietro c'è Mythos, il modello AI di Anthropic che individua vulnerabilità software con una precisione finora sconosciuta. E da oggi, anche l'Italia è tra i 15 paesi autorizzati ad accedervi.

Chi è Anthropic

Anthropicè la società californiana fondata nel 2021 da ex ricercatori di OpenAI, specializzata nello sviluppo di modelli AI sicuri e affidabili. È nota soprattutto per Claude, il suo chatbot conversazionale, ma Mythos rappresenta un'evoluzione radicale: non è un assistente generico, bensì uno strumento costruito specificamente per la ricerca di vulnerabilità e minacce informatiche.

Cosa è successo

Anthropic ha annunciato l'espansione di Mythos a 15 paesi, tra cui l'Italia, Australia, Canada, Francia, Germania, Giappone e Corea del Sud. L'accesso non è pubblico: il programma, chiamato Project Glasswing, è riservato a circa 150 organizzazioni che operano in settori strategici come energia, sanità, telecomunicazioni e difesa.

Tra i partner confermati figurano colossi come Samsung, SK Hynix, SK Telecom, la NATO e l'agenzia europea di cybersicurezza ENISA. In Italia, il numero esatto di enti autorizzati non è stato ancora reso pubblico, ma il governo e le aziende di infrastrutture critiche dovrebbero rientrare nel programma.

La capacità di Mythos è straordinaria. Secondo i dati pubblicati da Mozilla, il modello ha scoperto migliaia di vulnerabilità ad alta gravità nel codice di Firefox, alcune dormienti da oltre un decennio. Nella versione 150 del browser, rilasciata a maggio 2026, sono stati corretti 271 bug identificati proprio da Mythos. Un salto impressionante rispetto ai 31 fix della stessa finestra temporale l'anno precedente.

Ci sono però ombre. A poche ore dal lancio, Anthropic ha dovuto ammettere un accesso non autorizzato al modello. Un piccolo gruppo di utenti, coordinato su Discord, ha indovinato l'URL del modello sfruttando le convenzioni di naming di Anthropic e credenziali rubate da un contractor esterno. Sebbene Anthropic abbia confermato che non c'è stata compromissione dei sistemi centrali, l'episodio ha esposto il rischio di affidare il controllo di tecnologie così sensibili a vendor terzi.

Perché è importante

Per decenni, la ricerca di vulnerabilità è stata un'attività manuale, costosa e lenta. Gli strumenti automatici tradizionali producevano migliaia di falsi positivi, costringendo i team di sicurezza a setacciare report di bassa qualità. Mythos cambia il paradigma: utilizza tecniche di agentic reasoning, cioè il modello valuta autonomamente il proprio lavoro e filtra i risultati scadenti. Il risultato, secondo i ricercatori di Mozilla, è un'accuratezza senza precedenti.

Per l'Italia, l'accesso significa che le organizzazioni critiche—banche, ospedali, gestori di energia—potranno accelerare significativamente i cicli di patch e ridurre il tempo di esposizione a minacce note. In un contesto dove ogni giorno di ritardo in una patch di sicurezza può costare milioni, questo è tangibile.

Ma c'è una tensione sottesa: Mythos è potente anche per scopi offensivi. Anthropic ha deliberatamente limitato l'accesso proprio perché il modello potrebbe aiutare attaccanti a scoprire e sfruttare zero-day. La restrizione a Project Glasswing è una scelta di policy, non di tecnologia. L'accesso non autorizzato di aprile ha dimostrato che nemmeno le restrizioni amministrative sono sufficienti.

Precedenti rilevanti: OpenAI ha seguito una strategia simile con GPT-4, inizialmente limitando l'accesso a ricercatori e aziende selezionate. Microsoft ha integrato AI per la sicurezza in Defender, ma Mythos rappresenta un salto qualitativo in specializzazione.

Cosa aspettarsi

Nei prossimi mesi, osservate:

  • Adozione italiana: quali enti pubblici e privati italiani riceveranno l'accesso e quando inizieranno a pubblicare i risultati (patch rilasciate, vulnerabilità corrette).
  • Reazioni normative: l'UE potrebbe includere Mythos nelle discussioni su AI Act e cybersecurity, specialmente dopo l'accesso non autorizzato.
  • Competizione: Google, Microsoft e Amazon stanno sviluppando strumenti simili. Aspettatevi annunci di alternative proprietarie entro fine 2026.
  • Scalabilità: Anthropic ha detto che espanderà l'accesso oltre i 15 paesi, ma con quali criteri e tempistiche?
  • Integrazione tecnica: come le organizzazioni italiane integreranno Mythos nei loro pipeline di sviluppo e sicurezza.

La domanda aperta più importante: la restrizione di accesso reggerà nel tempo, o la pressione commerciale e geopolitica porterà a una diffusione più ampia? Per ora, Project Glasswing rimane un esperimento controllato, ma l'efficacia dimostrata da Mozilla potrebbe accelerare le timeline.

📰 Fonti

  1. Wired ItaliaAnthropic porta in Italia Mythos, l’AI che individua bug e minacce software
  2. wired.itAnthropic porta in Italia Mythos, l’AI che individua bug e minacce software
  3. techcrunch.comHow Anthropic’s Mythos has rewritten Firefox’s approach to cybersecurity
  4. siliconangle.comAnthropic investigates unauthorized access to restricted Claude Mythos AI model
  5. techrepublic.comMozilla Fixes 271 Firefox Bugs Using Anthropic's Mythos AI
  6. thenextweb.comUnauthorized users gained access to Anthropic's restricted Mythos AI model on launch day via a third-party contractor's environment