Dentro Project Glasswing: l'IA Claude Mythos trova 10.000 bug e cambia le regole della cybersecurity

Il 2 giugno 2026, Anthropic ha annunciato un'ampliamento strategico di Project Glasswing, concedendo l'accesso a Claude Mythos Preview a circa 150 nuove organizzazioni . Se il gruppo iniziale era dominato da giganti tecnologici e finanziari statunitensi, questa nuova fase segna un deciso cambio di rotta .

L'obiettivo ora è mettere in sicurezza i settori che erano rimasti fuori dal primo lancio: le infrastrutture critiche. Stiamo parlando di reti elettriche, sistemi idrici, strutture sanitarie, reti di telecomunicazioni e produttori di hardware. La logica è semplice e preoccupante: Anthropic stima che un attacco informatico riuscito a uno di questi gruppi potrebbe innescare un rischio sistemico enorme. Fornire loro lo strumento di difesa più potente, prima che lo facciano gli avversari, è una scommessa sulla difesa proattiva su scala globale .

Tra i nuovi nomi di spicco che illustrano la portata strategica del programma ci sono:

• Hitachi, il colosso industriale giapponese, che dal 5 giugno 2026 utilizza Mythos Preview per rafforzare la sicurezza del proprio software per infrastrutture sociali, le fondamenta digitali di reti energetiche, trasporti e sistemi urbani .
• BeyondTrust, leader nella sicurezza delle identità, entrata l'8 giugno 2026. La sua piattaforma, profondamente integrata in governi e servizi essenziali, userà l'IA per accelerare la scoperta e la correzione di vulnerabilità in tutto il suo portafoglio prodotti .

Questi nuovi partner si uniscono a un gruppo già formidabile che include Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA e agenzie governative statunitensi, creando una coalizione difensiva intersettoriale con pochi precedenti storici .

Un modello che riscrive le regole della cybersecurity

L'urgenza strategica dietro Project Glasswing è una risposta diretta alle capacità sbalorditive di Claude Mythos Preview, che la stessa documentazione di Anthropic descrive come “sorprendentemente capace in compiti di sicurezza informatica” . Non è un semplice assistente, ma un vero e proprio ricercatore di vulnerabilità e sviluppatore di exploit autonomo.

Durante i test interni, Anthropic ha confermato che Mythos Preview è in grado di identificare e poi costruire exploit funzionanti per vulnerabilità zero-day in ogni principale sistema operativo e in ogni browser (come Chrome, Firefox, Safari), se istruito da un utente . La scala dei risultati ridicolizza i benchmark precedenti. In un test comparativo contro Firefox 147, Mythos Preview ha generato da solo 181 exploit funzionanti in JavaScript. Il precedente modello di punta, Claude Opus 4.6, ne aveva prodotti solo due .

Alla fine di maggio 2026, i partner di Project Glasswing avevano già identificato più di 10.000 falle di sicurezza classificate come ad alta o critica gravità . Per dare un'idea: un singolo test iniziale su Cloudflare ha portato alla luce circa 400 bug di gravità critica, mentre Mozilla ha utilizzato i risultati per correggere 271 vulnerabilità in Firefox 150 . Su oltre 1.000 progetti open-source, il modello ha segnalato 23.019 anomalie, e i contractor di sicurezza professionisti hanno verificato il livello di gravità nel'89% di un campione esaminato manualmente .

Scovare bug vecchi di decenni: il caso OpenBSD

La scoperta più clamorosa è forse un bug vecchio di 27 anni nell'implementazione TCP di OpenBSD, un sistema operativo noto nell'ambiente proprio per essere tra i più blindati e controllati al mondo. Quel difetto, risalente a codice scritto nel 1998, permetteva a un utente malintenzionato di mandare in crash qualsiasi server con soli due pacchetti di rete . Non era mai stato trovato da nessun revisore umano in quasi tre decenni.

Mythos ha scovato anche una vulnerabilità di 17 anni in FreeBSD che consentiva di ottenere l'accesso da amministratore (root) senza autenticazione (tracciata come CVE-2026-4747), e un bug di 16 anni nel noto codec FFmpeg . L'aspetto più impressionante, oltre alla scoperta, è il costo: la singola esecuzione del modello che ha individuato il bug in OpenBSD è costata meno di 50 dollari . Questo dato da solo spiega perché Anthropic abbia deciso di non rendere mai questo strumento disponibile al pubblico .

Un investimento da 100 milioni per la difesa

Per sostenere lo sforzo difensivo su tale scala, Anthropic si è impegnata a fornire fino a 100 milioni di dollari in crediti per l'utilizzo del modello, coprendo i costi computazionali delle scansioni di sicurezza per le organizzazioni partecipanti . L'azienda ha anche donato 4 milioni di dollari a gruppi di sicurezza open-source , e ha affiancato al programma una nuova politica di divulgazione responsabile, pensata per gestire scoperte di vulnerabilità su scala industriale .

La decisione, senza precedenti, di lanciare un allarme pubblico e di limitare l'accesso a un proprio modello per paura di un suo uso malevolo, ci pone di fronte a una domanda fondamentale: se questa è la capacità difensiva, cosa potrebbe mai accadere se una tecnologia simile finisse nelle mani sbagliate? Project Glasswing è la scommessa di Anthropic per assicurarsi che la risposta non diventi mai realtà.