Claude Mythos di Anthropic: l’IA che trova vulnerabilità software

Anthropic ha annunciato Claude Mythos, un nuovo modello di intelligenza artificiale che, stando all’azienda, sarebbe in grado di individuare vulnerabilità in qualsiasi software, dai sistemi operativi ai browser, e di sviluppare autonomamente exploit funzionanti. Una dichiarazione del genere, nel mondo dell’AI, meriterebbe di essere presa con le pinze: eppure questa volta anche chi di solito storce il naso sembra prendere la cosa sul serio.

Anthropic ha scelto di distribuire Mythos in anteprima solo a un gruppo ristretto di organizzazioni, tra cui Microsoft, Apple, Google e Linux Foundation, riunite in un consorzio chiamato Project Glasswing. L’idea è dare ai difensori un vantaggio temporale: trovare le falle nei propri sistemi prima che le stesse capacità finiscano nelle mani di chi vuole sfruttarle.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

Il punto che preoccupa di più gli esperti non è la capacità di trovare singole vulnerabilità, cosa che i modelli AI già fanno, ma quella di costruire catene di exploit: sequenze di falle concatenate che, sfruttate in ordine, permettono di compromettere in profondità un sistema.

Sono la base degli attacchi zero-click, quelli che non richiedono nessuna interazione da parte della vittima, e finora erano appannaggio di attori molto sofisticati.

Come spiega Niels Provos, ingegnere e ricercatore di sicurezza, Mythos non cambia il problema di fondo, ovvero che le aziende usano software vulnerabili e faticano ad aggiornarlo, ma abbassa drasticamente il livello di competenza necessario per trovare e sfruttare queste vulnerabilità. In pratica, attacchi che prima richiedevano team di ricercatori esperti potrebbero diventare alla portata di molti più attori.

Alex Zenla, direttore tecnico di Edera, usa un’immagine efficace: è come avere un milione di ricercatori di sicurezza che lavorano in parallelo, senza i limiti di memoria e attenzione degli esseri umani, capaci di tenere in testa catene di vulnerabilità lunghissime e di verificarne la sfruttabilità in modo sistematico.

Non tutti sono convinti. C’è chi, come il consulente Davi Ottenheimer, paragona il lancio di Mythos ai predicatori degli spaghetti western: tanta enfasi sulla fine del mondo, poi qualcuno se ne va con i soldi di tutti.

Ed è un’obiezione legittima: presentare un modello come misterioso ed esclusivo ha evidenti vantaggi di marketing per Anthropic, e non è la prima volta che una novità AI viene gonfiata oltre misura.

Eppure il fatto che Scott Bessent e Jerome Powell, rispettivamente segretario al Tesoro e presidente della Federal Reserve degli Stati Uniti, abbiano convocato i leader del settore finanziario per discutere di Mythos suggerisce che la preoccupazione non sia solo di facciata. Anthropic stessa sottolinea che Mythos è solo il primo modello a raggiungere queste capacità, e che altri seguiranno: il vantaggio temporale concesso al Project Glasswing serve proprio a prepararsi prima che il resto del mercato, inclusi i malintenzionati, raggiunga lo stesso livello.

L’ex direttrice dell’agenzia statunitense per la sicurezza informatica Jen Easterly ha inquadrato la questione in modo più ottimista: un’AI capace di trovare vulnerabilità su scala industriale potrebbe finalmente spingere il settore a costruire software più sicuro fin dall’inizio, invece di rincorrere le patch per sempre.