L’IA impazzisce: l’anteprima di Claude Mythos svela zero-day nascosti in tutta Internet
Sottotitolo: Il nuovo modello di IA di Anthropic porta alla luce falle software vecchie di decenni, imponendo una resa dei conti tra attacco e difesa nella cybersecurity.
Con una mossa che sta mandando onde d’urto sia nei circoli hacker sia nei security operations center, Anthropic ha presentato Claude Mythos Preview-un modello di intelligenza artificiale che non si limita a individuare bug, ma trova e arma autonomamente vulnerabilità zero-day nel software più critico al mondo. Con questa uscita, il confine tra difesa e offesa nella cybersecurity è diventato drasticamente più sfumato.
A differenza dei precedenti modelli di IA, che fungevano soprattutto da revisori di codice o verificatori di vulnerabilità, Claude Mythos Preview cambia le regole del gioco: esegue in autonomia audit di codebase enormi, ragiona su falle di sicurezza complesse e costruisce exploit funzionanti-tutto nel giro di poche ore. Nelle valutazioni interne, Anthropic ha incaricato Mythos di prendere di mira tutti i principali OS e browser. I risultati sono stati inquietanti: l’IA ha portato alla luce bug sopravvissuti a decenni di fuzzing e audit manuali, inclusi un bug TCP di OpenBSD vecchio di 27 anni e una falla di codec in FFmpeg vecchia di 16 anni che per lungo tempo aveva eluso il rilevamento.
Forse ancora più allarmante, Mythos Preview ha dimostrato la capacità di concatenare tecniche di sfruttamento avanzate-come aggirare le protezioni del kernel ed evadere le sandbox-senza alcuna guida umana. In un caso, ha prodotto un exploit root completamente funzionante e non autenticato per il server NFS di FreeBSD, un risultato di norma riservato all’élite mondiale degli hacker.
Anthropic non sta rilasciando questo strumento al pubblico. L’accesso, invece, è rigidamente controllato nell’ambito di “Project Glasswing”, una collaborazione con partner dell’industria critica e dell’open source. L’obiettivo: irrobustire le infrastrutture vitali prima che queste capacità di IA diventino inevitabilmente diffuse. Il messaggio dell’azienda è chiaro-i difensori devono iniziare a usare l’IA per i propri audit, stringere i cicli di patch e automatizzare la risposta agli incidenti, oppure rischiare di essere superati da avversari dotati di strumenti simili.
Laddove modelli precedenti come Opus 4.6 raramente riuscivano nello sfruttamento autonomo, Mythos satura i benchmark interni e ottiene in modo affidabile il pieno hijack del flusso di controllo su target patchati. Nei test open source su larga scala, ha generato centinaia di crash gravi e migliaia di nuove segnalazioni di bug, molte ancora in attesa di divulgazione pubblica. Questo segna un momento spartiacque: i modelli linguistici si sono evoluti da assistenti passivi a cacciatori di vulnerabilità attivi e autonomi.
Il debutto di Claude Mythos Preview segnala una nuova fase turbolenta per la cybersecurity, in cui l’attrito che un tempo rallentava gli attaccanti sta svanendo. Mentre la ricerca accelerata dall’IA sovverte assunzioni consolidate, difensori e decisori politici si trovano davanti a una domanda scoraggiante: riusciremo a tenere il passo con macchine che non dormono mai, non dimenticano mai e ora non sbagliano mai?
WIKICROOK
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
- Catena di exploit: Una catena di exploit è una serie di vulnerabilità collegate che gli attaccanti usano insieme per violare un sistema, aggirando la sicurezza attraverso più passaggi.
- Fuzzing: Il fuzzing è un metodo di test che inserisce dati casuali nel software per rivelare bug nascosti o vulnerabilità di sicurezza.
- Gadget ROP: I gadget ROP sono piccoli frammenti di codice in memoria, concatenati dagli attaccanti per compiere azioni malevole negli attacchi di Return-Oriented Programming (ROP).
- Controllo: Un controllo è una misura di sicurezza o salvaguardia usata per prevenire, rilevare o rispondere alle minacce informatiche e proteggere i sistemi informativi da danni.




