Project Glasswing: l'IA di Anthropic corre ai ripari, 200 alleati contro le minacce del futuro

Ogni nuovo partner deve soddisfare i rigorosi requisiti di sicurezza di Anthropic prima di ottenere l'accesso a Claude Mythos Preview e, ora, a Claude Mythos 5 . L'azienda usa il modello per scandagliare i codebase dei partner alla ricerca di vulnerabilità, con l'esplicito obiettivo di trovare e correggere falle critiche prima che possano essere sfruttate da un'IA sempre più potente e fuori controllo .

Un appunto importante: Sebbene si parli spesso di "oltre 200 organizzazioni", l'annuncio ufficiale di Anthropic usa la formula "circa 200" e "all'incirca 150 nuove organizzazioni". Il numero esatto potrebbe includere impegni futuri o arrotondamenti .

Visa e Fifth Third Bancorp si uniscono alla squadra finanziaria

Il 10 giugno 2026, sia Visa sia Fifth Third Bancorp hanno confermato pubblicamente la loro partecipazione, rafforzando la presenza dell'iniziativa nell'ecosistema globale dei pagamenti .

Visa ha descritto il suo coinvolgimento come una mossa proattiva per testare un'IA avanzata contro la sua rete, già pesantemente fortificata. In una dichiarazione congiunta, il Presidente della Tecnologia Rajat Taneja e il CISO Subra Kumaraswamy hanno spiegato che l'iniziativa permette a Visa di "mettere alla prova quelle difese a un livello che rispecchia le capacità offensive delle minacce più avanzate di domani" . La rete Visa si basa su un'architettura "zero trust", difese stratificate e operazioni di sicurezza automatizzate; Glasswing offre all'azienda un modo per stressarle con un modello di IA di frontiera.

L'invito a Fifth Third Bancorp, stando al CFO Bryan Preston, riflette il ruolo significativo della banca nell'ecosistema dei pagamenti, in particolare attraverso le sue attività di Direct Express e i suoi servizi di elaborazione stipendi . La banca si unisce a una lista crescente di istituzioni finanziarie che include il partner fondatore di Glasswing, JPMorganChase, l'Intercontinental Exchange (ICE), entrato a farne parte il 3 giugno 2026, e altre grandi banche statunitensi come Bank of America, Goldman Sachs, Citigroup e Morgan Stanley, che secondo alcune fonti stavano già testando il modello internamente .

Claude Mythos 5: il modello a uso ristretto che alimenta Glasswing

Tra il 9 e il 10 giugno 2026, Anthropic ha potenziato il programma Glasswing con Claude Mythos 5, l'evoluzione del precedente modello Mythos Preview rilasciato ad aprile . Secondo la documentazione del modello su AWS, Mythos 5 è il modello più capace di Anthropic per la sicurezza informatica e le scienze della vita, e copre attività che vanno dalla scoperta di vulnerabilità alla progettazione di farmaci e allo screening per la biodifesa .

Punti chiave su Mythos 5:

• È costruito sulla stessa tecnologia di base di Claude Fable 5, la versione pubblicamente disponibile rilasciata contemporaneamente da Anthropic, ma con molte meno restrizioni per i partner di Glasswing .
• L'accesso è strettamente controllato a causa della natura a duplice uso di questa tecnologia. Solo i partner verificati di Project Glasswing, le agenzie governative e aziende private selezionate possono utilizzarlo .
• Il modello dispone di una finestra di contesto di 1 milione di token e una produzione massima di 128.000 token, il che consente un'analisi approfondita di codebase molto estesi .

La logica dietro a questa restrizione è semplice: lo stesso modello che può trovare le vulnerabilità può anche essere usato per sfruttarle. Anthropic e le autorità di regolamentazione statunitensi, incluso il senatore Mark Warner (Democratico per la Virginia), hanno sostenuto che concedere ai difensori un vantaggio temporaneo sia il modo più sicuro per dispiegare sistemi tanto potenti senza armare gli avversari .

Più di 10.000 vulnerabilità critiche scoperte nel primo mese

Un aggiornamento del 20 maggio 2026 da parte di Anthropic ha rivelato la portata del problema. Durante il primo mese di test, il gruppo iniziale di circa 50 partner di Glasswing ha usato Claude Mythos Preview per trovare più di diecimila vulnerabilità di gravità alta o critica nel software più importante e sistemico del mondo .

Queste vulnerabilità riguardavano tutti i principali sistemi operativi e i codebase delle infrastrutture critiche . La capacità del modello di individuare vulnerabilità "zero-day" – falle per cui non esistono ancora patch o firme digitali – ha messo in luce la debolezza intrinseca delle difese tradizionali basate su firme, che possono segnalare solo le minacce già note . Anthropic ha anche riferito di aver usato Mythos Preview internamente per analizzare più di 1.000 progetti open-source su cui si basa gran parte di Internet, inclusa la propria infrastruttura .

Perché le difese basate sulle firme non bastano più

L'urgenza che guida la rapida espansione di Project Glasswing è l'obsolescenza dei metodi di sicurezza informatica tradizionali. Il rilevamento basato su firme si affida a database di schemi di minaccia conosciuti, ma modelli di IA come Mythos possono scoprire vulnerabilità completamente nuove, mai viste prima, e, cosa cruciale, dimostrare come sfruttarle .

I test interni di Anthropic hanno scoperto che Mythos Preview era in grado di "identificare e poi sfruttare vulnerabilità zero-day su ogni principale sistema operativo e browser web" . Questa capacità, se lasciata senza controllo, potrebbe essere usata come arma su una scala a cui gli strumenti basati su firme non possono rispondere. La risposta difensiva è dare ai difensori verificati un accesso anticipato al modello, in modo che possano applicare le patch prima che le stesse capacità raggiungano gli attaccanti .

L'iniziativa ha anche creato attriti competitivi. Quando Anthropic ha ampliato Glasswing all'inizio di giugno, JPMorganChase era l'unica banca pubblicamente nominata tra le istituzioni finanziarie statunitensi a ricevere l'accesso . Le banche del Regno Unito sono state escluse, spingendo HSBC, Lloyds Banking Group e Nationwide ad accettare l'accesso a GPT-5.5 Cyber di OpenAI come alternativa, secondo quanto riportato . Anthropic ha poi segnalato l'intenzione di estendere l'accesso a Mythos alle istituzioni finanziarie europee e britanniche attraverso il suo framework Glasswing, ma l'espansione del 2 giugno le ha temporaneamente tagliate fuori .

Project Glasswing in sintesi

• 7 aprile 2026: Glasswing debutta con 12 partner fondatori e più di 40 altre organizzazioni. Claude Mythos Preview fa il suo esordio come modello ad accesso limitato per i difensori .
• 20 maggio 2026: Anthropic comunica che i primi partner hanno trovato più di 10.000 vulnerabilità di gravità alta o critica nel primo mese .
• 2 giugno 2026: Espansione a circa 200 partner totali in più di 15 Paesi. Nuovi settori includono energia, gestione idrica, sanità e telecomunicazioni .
• 3 giugno 2026: L'Intercontinental Exchange (ICE) annuncia di aver implementato Mythos Preview in tutte le sue attività, inclusa la Borsa di New York (NYSE) .
• 9-10 giugno 2026: Vengono rilasciati Claude Mythos 5 e la versione pubblica Claude Fable 5. Visa e Fifth Third Bancorp annunciano la loro partecipazione .

Project Glasswing sta accelerando la collisione tra l'IA di frontiera e la difesa delle infrastrutture critiche. I numeri – 200 partner, più di 15 Paesi, oltre 10.000 vulnerabilità critiche – dipingono l'immagine di un programma progettato non solo per trovare bug, ma per ridisegnare il modo in cui l'industria li difende, prima che l'attacco superi la difesa.