C’è qualcosa di paradossale nella storia che emerge da Washington in questi giorni. Il Dipartimento della difesa degli Stati Uniti ha dichiarato Anthropic un rischio per la sicurezza nazionale, ha vietato ai suoi appaltatori di usarne i prodotti e si appresta ad abbandonare definitivamente l’azienda. Eppure, proprio in questi stessi giorni, sta usando il modello di intelligenza artificiale più avanzato di Anthropic per proteggere le reti governative.
Il modello in questione è Mythos, ed è al centro di una vicenda che rivela molto su dove sta andando l’AI applicata alla sicurezza informatica. Il CTO del Pentagono, Emil Michael, ha spiegato che la questione Mythos rappresenta “un momento separato di sicurezza nazionale”, in cui è necessario blindare le reti sfruttando le capacità uniche del modello nell’individuare e correggere vulnerabilità informatiche. In altre parole: il problema è troppo urgente per permettersi il lusso di rifiutare lo strumento migliore anche se prodotto da un’azienda classificata come ostile.
Mythos Preview ha identificato e sfruttato in modo completamente autonomo una vulnerabilità critica vecchia di 17 anni in sistema operativo FreeBSD, registrata come CVE-2026-4747, che consentiva a chiunque di ottenere il controllo completo di un server NFS da remoto, senza alcuna autenticazione. Non si tratta di un caso isolato, perché nelle settimane precedenti al lancio, il modello ha identificato migliaia di vulnerabilità zero-day, ovvero falle sconosciute agli stessi sviluppatori, in ogni grande sistema operativo e in ogni principale browser web. Per questo motivo Anthropic ha scelto di non rendere Mythos disponibile al pubblico generale, lanciando invece il cosiddetto Project Glasswing, un’iniziativa che coinvolge come partner fondatori aziende come AWS, Apple, Cisco, Google, Microsoft, NVIDIA e JPMorganChase, con Anthropic che ha stanziato fino a 100 milioni di dollari in crediti d’uso per consentire a queste organizzazioni di scansionare e mettere in sicurezza i sistemi più critici prima che il modello, o un suo equivalente, finisca nelle mani sbagliate.
La vicenda Mythos solleva interrogativi più ampi che vanno ben oltre il caso specifico. Una ricerca del Centre for Emerging Technology and Security dell’Alan Turing Institute sottolinea come in media oltre il 45% delle vulnerabilità di sicurezza scoperte nelle grandi organizzazioni rimanga senza correzioni software dopo 12 mesi, e come molte infrastrutture critiche girino ancora su software obsoleti non più supportato da alcun fornitore. In questo scenario, un modello capace di trovare falle in pochi secondi rappresenta sia la soluzione che il problema. Anthropic stessa ha inoltre avvertito privatamente alti funzionari governativi statunitensi che Mythos rende gli attacchi informatici su larga scala significativamente più probabili nell’anno in corso.
La rottura fra Anthropic e il Pentagono crea opportunità per piccole startup di AI militare
Il Dipartimento della difesa USA, pur con qualche difficoltà, sta…
