Il modello AI più pericoloso di Anthropic ha trovato 271 vulnerabilità zero-day in Firefox. Pochi giorni dopo, un gruppo di utenti non autorizzati ci ha messo le mani. La storia di Claude Mythos racconta dove sta andando la cybersecurity, e perché il viaggio potrebbe essere accidentato.
Anthropic ha presentato Mythos a febbraio come un modello pensato per la sicurezza: un’AI capace di analizzare codice sorgente e trovare bug che sfuggono ai test automatizzati. Il risultato, secondo Mozilla, è stato impressionante. Mythos ha identificato 271 vulnerabilità in Firefox 150, fissate nell’aggiornamento di questa settimana. Per confronto, il modello precedente di Anthropic (Opus 4.6) ne aveva trovate 22 nella versione 148. Bobby Holley, CTO di Firefox, non ha usato mezzi termini: “Abbiamo anni di esperienza nel valutare il lavoro dei migliori ricercatori di sicurezza al mondo, e Mythos Preview è altrettanto capace.”
La premessa era semplice: un modello troppo potente per essere rilasciato al pubblico, accessibile solo a un gruppo ristretto di partner selezionati attraverso Project Glasswing. Tra questi, nomi come Apple, Google, Amazon Web Services, Broadcom, Cisco, CrowdStrike, JPMorgan Chase e la Linux Foundation. Anthropic aveva ammesso senza giri di parole che Mythos, nelle mani sbagliate, sarebbe diventato uno strumento di hacking potente.
Ecco cosa è successo invece.
Le credenziali di un appaltatore e un gruppo Discord
Il 21 aprile, Bloomberg ha rivelato che un piccolo gruppo di utenti non autorizzati aveva ottenuto accesso a Mythos. Non c’è stata una violazione sofisticata, né un exploit zero-day (per usare un’espressione che qui fa sorridere). Il gruppo, attivo su un canale Discord dedicato alla caccia di modelli AI non ancora rilasciati, ha usato le credenziali di una persona che lavorava per un appaltatore terzo di Anthropic. Shane Fry, CTO di RunSafe Security, ha descritto il metodo con una frase che dice tutto: “cambiare il nome del modello”. Una supposizione informata sulla posizione online del modello, basata sulla conoscenza del formato usato da Anthropic per gli altri modelli, e le credenziali già disponibili.
Anthropic ha confermato l’indagine. “Stiamo investigando una segnalazione di accesso non autorizzato a Claude Mythos Preview attraverso uno dei nostri ambienti di terze parti”, ha dichiarato un portavoce. L’azienda sottolinea di non avere prove di una compromissione dei sistemi interni. Il gruppo, secondo Bloomberg, ha usato Mythos regolarmente ma senza lanciare prompt di cybersecurity, per evitare di essere scoperto.
Cosa cambia per la sicurezza del software
Il post pubblicato da Mozilla sul proprio blog va letto per intero, perché contiene una delle analisi più lucide finora disponibili su cosa significa Mythos per il settore. Holley spiega che la sicurezza del software è sempre stata una battaglia persa in partenza: chi attacca deve trovare un solo difetto, chi difende deve proteggerli tutti. La differenza di costo è enorme. Un singolo bug critico in un browser come Firefox può richiedere mesi di lavoro a un ricercatore esperto. Mythos ha trasformato questo lavoro in qualcosa di scalabile e relativamente economico.
Ma c’è un punto che Holley sottolinea con forza: “Non abbiamo visto bug che non potrebbero essere stati trovati da un ricercatore umano di livello eccellente.” Mythos non scopre categorie nuove di vulnerabilità. Semplifica enormemente il processo di scoperta, riducendo tempi e costi. Per software complessi ma progettati per essere compresi da umani, come Firefox, i difetti sono finiti. E Mythos li può trovare tutti.
La conclusione di Holley è ottimista: “I difensori hanno finalmente la possibilità di vincere, in modo decisivo.” Mozilla ha già “voltato l’angolo” nella pulizia del codice di Firefox, e i risultati sono visibili.
Il paradosso della diffusione ristretta
Il problema è che questo ottimismo si scontra con la realtà dell’accesso controllato. Raluca Saceanu, CEO di Smarttech247, ha descritto la dinamica con chiarezza: “Limitare l’accesso a un piccolo numero di organizzazioni ha creato un senso di controllo, ma in realtà ha creato un falso senso di sicurezza. Una volta che una capacità come questa esiste fuori dal laboratorio, anche in anteprima ristretta, il profilo di rischio cambia immediatamente.”
Emanuel Salmona, CEO di Nagomi, ha colto il punto centrale dell’incidente: “Anthropic ha fatto tutto correttamente sulla carta. Le credenziali di un appaltatore sono bastate per entrare comunque. Se il laboratorio AI più attento alla sicurezza al mondo non riesce a colmare la distanza tra policy ed esecuzione, ogni organizzazione che usa infrastrutture AI dovrebbe chiedersi onestamente se può farlo.”
Il fatto che il gruppo non avesse intenzioni malevole è quasi irrilevante. Come ha notato Tim Mackey di Black Duck, la stessa esistenza di un accesso ristretto funziona come “un invito a una sfida di cattura della bandiera”. L’annuncio pubblico di un modello “troppo potente per essere rilasciato” è una tentazione per chi fa ricerca di sicurezza per hobby o per professione.
Il rischio per l’open source
Raffi Krikorian, CTO di Mozilla, ha sollevato un punto che merita attenzione in un intervento sul New York Times. Il codice open source è pubblico per definizione, e quindi particolarmente vulnerabile all’analisi da parte di modelli come Mythos. Molti di questi progetti dipendono dalla manutenzione volontaria, spesso insufficiente per tenere il passo con la scoperta di vulnerabilità.
“Il programmatore che ha dedicato 20 anni della sua vita a mantenere codice open source che gira dentro prodotti usati da miliardi di persone? Non ha ancora accesso a Mythos. Dovrebbe averlo.”
È un argomento che cambia la prospettiva. La domanda non è solo come impedire che Mythos cada nelle mani sbagliate, ma come farlo arrivare in quelle giuste. Se i difensori possono finalmente vincere, come sostiene Holley, allora limitare l’accesso ai grandi gruppi tecnologici significa lasciare scoperti i progetti che ne hanno più bisogno.
La risposta istituzionale
Il governo britannico ha reagito velocemente. Richard Horne, a capo del National Cyber Security Centre, ha parlato al conference CyberUK definendo gli strumenti AI avanzati un potenziale “vantaggio netto” se protetti da un uso improprio. Ma ha anche avvertito che “la frontier AI sta permettendo rapidamente la scoperta e lo sfruttamento di vulnerabilità esistenti su larga scala”. Il Security Minister Dan Jarvis ha invitato le aziende AI a collaborare con il governo in quella che ha chiamato una “impresa generazionale” per proteggere le reti critiche.
La Casa Bianca ha incontrato Anthropic per discutere dei rischi legati a Mythos, descritto come un incontro “produttivo”. OpenAI, dal canto suo, ha uno strumento analogo con GPT 5.4 Cyber. La corsa alla cybersecurity alimentata dall’AI è partita, e gli attori istituzionali cercano di tenere il passo.
Per ora, Mythos continua il suo percorso ristretto. Anthropic indaga, Mozilla patcha, il governo riflette. Ma l’incidente delle credenziali di un appaltatore ha già dimostrato una cosa: la distanza tra una policy di sicurezza ben scritta e la sua esecuzione nel mondo reale è dove tutto si decide. E in quel gap, con un modello capace di trovare 271 bug in un browser, c’è poco spazio per gli errori.
