Mythos: cos’è questa nuova AI e perché Anthropic non vuole farcela usare
C’è un nuovo modello di IA che è così bravo a pianificare un attacco hacker che i suoi creatori hanno deciso di non renderlo disponibile al grande pubblico. Si chiama Mythos ed è l’ultima frontiera in fatto di intelligenza artificiale firmata Anthropic, la compagnia di Claude e Claude Code, l’intelligenza artificiale attualmente più avanzata in fatto di funzionalità aziendali come lo sviluppo di software. Questo nuovo modello è molto bravo a trovare quei bug che permetterebbero accessi non autorizzati e sabotaggi in ogni tipo di software, da quelli delle banche alle infrastrutture che regolano l’energia elettrica o gli ospedali.
Mythos è troppo bravo negli attacchi hacker
«Mythos ha già individuato migliaia di vulnerabilità gravi, alcune delle quali presenti in tutti i principali sistemi operativi e browser web» spiega Anthropic in uno studio che ha accompagnato l’annuncio del nuovo modello. «Dato il ritmo di progresso dell’intelligenza artificiale, non passerà molto tempo prima che tali capacità si diffondano, potenzialmente anche al di fuori degli attori che si impegnano a implementarle in modo sicuro». In altre parole: Mythos è troppo bravo a trovare quei difetti nel codice che rendono possibili le intrusioni e se finisse nelle mani sbagliate sarebbe un grosso problema per internet in generale. Oltre alle singole istituzioni, infatti, l’intera rete può essere usata per mettere in ginocchio cittadini e governi. Software presenti su quasi tutti i computer, come il browser per il web Chrome, potrebbero essere infettati e utilizzati per rubare informazioni, disabilitare terminali o cancellare montagne di dati. Anthropic dice che il modello rifiuta in autonomia «il 96% delle richieste malevole» ma, quando si tratta di operare per influenzare l’opinione pubblica o disincentivare il voto, il rifiuto di ottemperanza è di poco sopra al 50 per cento.
Un modello inaccessibile
Visto che Mythos è così bravo a intrufolarsi nei sistemi di sicurezza, Anthropic ha deciso di renderlo disponibile in anteprima proprio a quelle aziende che si occupano di sicurezza informatica. L’obiettivo è far sviluppare degli “anticorpi” a colossi come Amazon, Apple, Google, Microsoft, Nvidia, CrowdStrike, JPMorgan Chase, Cisco, Broadcom, Palo Alto Networks, e la Linux Foundation in modo tale da rendere alcuni dei sistemi più importanti della rete a prova di attacco. Non solo, l’azienda ha distribuito ai membri di Project Glasswing (questo il nome dell’iniziativa) l’equivalente di 100 milioni di dollari in potenza di calcolo per sfruttare il modello e ha donato 4 milioni di dollari in contanti alle noprofit che gestiscono i progetti disponibili gratuitamente. «Alcuni ingegneri di Anthropic, privi di una formazione specifica in materia di sicurezza informatica, hanno chiesto a Mythos di individuare vulnerabilità in alcuni software nel corso della notte. La mattina seguente si sono ritrovati con un virus completo e funzionante», ha scritto il Frontier Red Team dell’azienda, quello specializzato nella sicurezza informatica, in un post sul suo blog.
Ti potrebbe interessare
- «Elon Musk assume in Italia», l’annuncio di Stroppa sulle posizioni aperte: chi vogliono assumere e quanto pagano
- Il Pentagono ha usato Anthropic per attaccare l’Iran. La start up era stata bandita dal Pentagono dopo l’offerta «sui limiti etici» di Hegseth
- DeepSeek: così l’intelligenza artificiale low cost cinese sfida sul prezzo quelle occidentali (e fa tremare la Silicon Valley)
Un errore vecchio di 27 anni
«Nelle scorse settimane, abbiamo utilizzato Claude Mythos per identificare migliaia di vulnerabilità cosiddette zero-day (ovvero, falle precedentemente sconosciute agli sviluppatori del software in esame, ndr), molte delle quali critiche, in tutti i principali sistemi operativi e browser web, oltre che in una serie di altri importanti software», continua Anthropic. Tra migliaia di altri, Mythos ha scoperto alcuni bug che sono rimasti inesplorati per decenni: una vulnerabilità vecchia di 27 anni in OpenBSD, uno dei sistemi operativi più sicuri utilizzati nelle infrastrutture nazionali come reti idriche o elettriche, una vulnerabilità presente da 16 anni in FFmpeg, un importante software per chi lavora con i video; errori critici all’interno del sistema operativo Linux (l’alternativa a Microsoft più usata al mondo) con cui gli aggressori potrebbero prendere il controllo di qualsiasi computer; e un difetto critico nel compilatore JavaScript Just-In-Time (JIT), una delle architravi di tutti i principali browser per accedere al web.
Non è tutta buona volontà
Le azioni di Anthropic vanno contestualizzate all’interno dello scenario geopolitico attuale e delle poco aggiornate leggi sulla responsabilità aziendale degli Stati Uniti. In primo luogo, l’Iran sta attualmente bersagliando infrastrutture e reti americane come parte del conflitto, tutto questo con l’ausilio degli strumenti di hackeraggio con l’IA già disponibili sul mercato. Se Anthropic dovesse rilasciare un modello che i suoi utenti paganti potrebbero utilizzare per causare danni incalcolabili ad aziende e apparati statali americani, poi, le conseguenze legali per la compagnia guidata da Dario Amodei sarebbero deleterie. Project Glasswing va quindi inquadrato come uno sforzo per preparare governi e aziende a uno strumento dalle capacità mai viste il cui arrivo è destinato a causare un cambio di paradigma in fatto di sicurezza informatica. In più, Anthropic deve poter dire in sede legale di aver fatto sforzi concreti di prevenzione, e l’iniziativa è un ulteriore rafforzativo dell’obiettivo dell’azienda di presentarsi come “i buoni” della corsa all’IA dopo aver rifiutato l’accordo con il Pentagono che voleva usare i suoi modelli per robot armati autonomi e la sorveglianza di massa. Contratto che poi ha firmato con OpenAI.
La concorrenza è preoccupata
Mythos preoccupa non solo sviluppatori e amministratori delegati, ma anche l’intero panorama dei cosiddetti “laboratori di frontiera” (frontier labs) che sono in gara per produrre le migliori e più profittevoli intelligenze artificiali. Meta, Google e OpenAI, infatti, non hanno modelli prossimi all’uscita in grado di reggere il confronto con Mythos. «Mythos è il nostro modello più performante fino ad oggi e mostra un notevole miglioramento nei punteggi su molti parametri di valutazione rispetto al nostro modello precedente, Claude Opus 4.6» continua Anthropic nel suo paper. In uno dei test usati per valutare l’efficienza di un modello, per esempio, Mythos raggiunge un tasso di successo dell’87.3%, i modelli di Google e OpenAI si fermano 53-58%. Il rilascio di Mythos per il grande pubblico, sarà un momento pivotale per la cybersicurezza globale quando avverrà in un non precisato momento del 2026, e potrebbe mettere Anthropic saldamente in testa alla corsa per il dominio dell’industria dell’intelligenza artificiale.
