L'implicazione più ampia è che la tradizionale finestra N-day — le settimane o i mesi su cui i difensori contavano tra il rilascio di una patch e la disponibilità di un exploit — è di fatto collassata .
In una valutazione separata ma correlata, Mythos ha attivato 13 dei 14 bug di Windows che Microsoft aveva classificato come "improbabili da sfruttare", portando una di queste falle fino al controllo completo del sistema . La valutazione di "bassa sfruttabilità" di Microsoft copre attualmente l'80-90% anche dei bug di gravità critica, il che significa che l'insieme di vulnerabilità che i team di sicurezza trattano come urgenti potrebbe dover espandersi all'incirca di 5 volte
. Il sistema di valutazione, progettato per un mondo in cui lo sviluppo di exploit richiedeva settimane di lavoro di esperti umani, ora sottostima la minaccia rappresentata da un'IA autonoma in grado di svolgere lo stesso lavoro in pochi minuti.
Uno dei numeri più scomodi nelle comunicazioni di Anthropic è il costo. Ogni singola scoperta di una vulnerabilità zero-day costa meno di 50 dollari a tentativo riuscito. Una campagna completa di scansione di OpenBSD — migliaia di tentativi — è costata circa 20.000 dollari e ha portato alla luce molteplici vulnerabilità critiche, incluso un bug di 27 anni nel TCP stack di OpenBSD . Gli exploit per ottenere i privilegi di root su kernel Linux (N-day) sono stati costruiti per meno di 2.000 dollari l'uno
. La campagna totale del red team di Anthropic è rimasta ben al di sotto dei 20.000 dollari per intere analisi di codebase
.
Questi non sono budget da Stato-nazione, ma budget alla portata di un singolo sviluppatore o di un piccolo team. Ciò significa che la barriera all'ingresso per la scoperta sofisticata di vulnerabilità e lo sviluppo di exploit è crollata drasticamente nello stesso momento in cui le capacità dell'IA sono aumentate vertiginosamente .
Anthropic ha annunciato Claude Mythos Preview il 7-8 aprile 2026, descrivendo un modello di frontiera in grado di scoprire e sfruttare autonomamente vulnerabilità zero-day in ogni principale sistema operativo e browser web, trovando migliaia di bug ad alta gravità, inclusi difetti sfuggiti a decenni di revisioni da parte di esperti . A causa dell'estremo rischio di duplice uso, Anthropic non ha rilasciato Mythos pubblicamente. Ha invece creato Project Glasswing, un'iniziativa controllata di cybersicurezza inizialmente limitata a circa 50 organizzazioni partner, tra cui AWS, Apple, Cisco, Google, Microsoft, JPMorgan e la Linux Foundation
.
A partire da giugno 2026, Glasswing si sta espandendo a circa 150 organizzazioni in più di 15 paesi, incluse agenzie di sicurezza nazionale in Australia, Regno Unito e diverse nazioni europee e asiatiche . I partner ricevono una finestra esclusiva di 90 giorni per applicare le patch prima che le scoperte vengano divulgate pubblicamente
. Entro fine maggio 2026, Mythos aveva trovato più di 10.000 vulnerabilità ad alta o critica gravità in software di importanza sistemica
.
La sola collaborazione di Mozilla con Anthropic ha portato alla scoperta e alla correzione di 271 vulnerabilità zero-day in Firefox 150, il più grande lotto singolo di correzioni di sicurezza nella storia del browser .
Risposta dell'industria: Cisco si è unita alla coorte iniziale di partner Glasswing, insieme ad altre grandi aziende tecnologiche e di cybersicurezza, ottenendo un accesso anticipato a Mythos per la scoperta difensiva di vulnerabilità nel proprio software e in quello open-source . La partnership interna di Mozilla con Anthropic è antecedente al lancio completo di Mythos, e i risultati — 271 zero-day corretti — hanno dimostrato il potenziale difensivo se usato in modo responsabile
.
Amministrazione Trump: La risposta politica è stata turbolenta. Nell'aprile 2026, il Direttore Nazionale per la Cybersicurezza Sean Cairncross ha guidato le comunicazioni con le agenzie, ma i tagli ai fondi del CISA (l'agenzia statunitense per la cybersicurezza e la sicurezza delle infrastrutture) e le battaglie politiche interne hanno complicato il coordinamento . Il 21 maggio, Trump ha accantonato un ordine esecutivo pianificato che avrebbe richiesto ai laboratori di IA di sottoporre i modelli di frontiera a revisione governativa 90 giorni prima del rilascio pubblico, dicendo ai giornalisti che non voleva nulla che rallentasse il vantaggio dell'America sulla Cina
.
Meno di due settimane dopo, il 3 giugno, Trump ha firmato un ordine esecutivo rivisto sull'innovazione dell'IA e la cybersicurezza, che ha creato un quadro di revisione volontaria di 30 giorni per i nuovi modelli di frontiera — più leggero del mandato di 90 giorni rifiutato, ma comunque un riconoscimento che lo status quo era insufficiente .
Nel frattempo, le agenzie dell'amministrazione, tra cui il Tesoro, la Federal Reserve e l'Ufficio per la Gestione e il Bilancio (OMB), si sono affrettate a ottenere l'accesso a Mythos dopo gli avvertimenti di aprile, con il Tesoro che ha ricevuto briefing d'emergenza nonostante una precedente direttiva di Trump di cessare l'uso della tecnologia di Anthropic .
Congresso: OpenAI e Anthropic hanno tenuto briefing a porte chiuse con la Commissione per la Sicurezza Interna della Camera dei Rappresentanti sulle minacce informatiche potenziate dall'IA, segnando alcuni dei primi briefing dedicati sulle minacce alla cybersicurezza da IA per lo staff congressuale .
L'implicazione fondamentale è chiara: l'era in cui il rilascio di una patch concedeva ai difensori settimane di respiro è finita, almeno contro avversari con accesso a un'IA di frontiera. L'asimmetria è netta: le aziende impiegano ancora circa 70 giorni per applicare le patch, mentre l'IA può trasformare le stesse falle in armi in meno di un'ora. Le organizzazioni sono ora costrette a riconsiderare quali vulnerabilità trattare come urgenti, come dare priorità all'applicazione delle patch e se il loro ritmo di gestione delle vulnerabilità possa sopravvivere in un mondo in cui lo sviluppo di exploit è diventato economico, veloce e automatizzato.