Il 7 aprile 2026, Anthropic ha annunciato Project Glasswing, un’iniziativa che mette a disposizione di un primo gruppo di partner industriali e di oltre 40 organizzazioni che sviluppano o mantengono componenti software essenziali, Claude Mythos Preview – descritto come il modello più capace finora sviluppato dall’azienda. Quest’ultimo non sarà distribuito in accesso generale. Secondo Anthropic, le sue prestazioni in coding agentico e ragionamento lo rendono particolarmente efficace nell’individuare vulnerabilità e nel produrre attività di verifica sia offensive sia difensive su sistemi complessi.
Nelle comunicazioni ufficiali, l’azienda afferma di aver già rilevato migliaia di vulnerabilità gravi, incluse falle in tutti i principali sistemi operativi e browser. Tra gli esempi pubblicamente divulgabili figurano un bug di 27 anni in OpenBSD, una vulnerabilità di 16 anni in FFmpeg e una catena di difetti nel kernel Linux. Sui benchmark interni e pubblici richiamati da Anthropic, Mythos Preview supera Claude Opus 4.6 in ambito cyber e software engineering.
Il programma prevede, inoltre, fino a 100 milioni di dollari in crediti d’uso per l’impiego intensivo di Claude Mythos Preview da parte dei partner e delle organizzazioni coinvolte. L’iniziativa mira ad accelerare attività quali il rilevamento di vulnerabilità, i test offensivi controllati e l’hardening di sistemi critici, senza trasferire immediatamente l’intero costo sugli utilizzatori.
Sono stati infine stanziati 4 milioni di dollari in donazioni dirette alla sicurezza open source — con fondi già annunciati per Alpha-Omega, OpenSSF e Apache Software Foundation — a testimonianza della visione secondo cui, se l’IA aumenta la capacità di individuare falle, occorre rafforzare parallelamente chi ha il compito di correggerle e di gestirne la disclosure.
La notizia segna un cambio di fase netto. L’AI non è più solo uno strumento di produttività per sviluppatori, ma un moltiplicatore di capacità nella ricerca di vulnerabilità, con effetti diretti sui tempi di disclosure, patching e gestione del rischio sistemico.
La scelta di Anthropic privilegia una logica difensiva e di accesso ristretto, ma apre anche un importante tema di governance: il vantaggio operativo iniziale viene concentrato in un perimetro limitato di grandi operatori tecnologici, istituzioni finanziarie e maintainer di infrastrutture critiche. Sul piano industriale, questo può accelerare l’adozione di pratiche secure-by-design; su quello etico e regolatorio, rafforza l’idea che modelli di questa classe richiedano salvaguardie dedicate prima di una diffusione ampia.
Anthropic ha infine indicato che, entro 90 giorni, renderà pubbliche – per quanto possibile – le lesson learned e le vulnerabilità recuperabili che potranno essere divulgate.
Takeaway
Zero-day. Si tratta di una vulnerabilità sconosciuta ai manutentori del software al momento della scoperta. Proprio perché non ancora corretta, riduce o annulla il tempo di reazione disponibile prima di un possibile abuso.
Glossario
Accesso ristretto. Modalità di disponibilità limitata a un numero selezionato di soggetti, invece di un rilascio aperto al pubblico.
Claude Mythos Preview. Versione preliminare e non pubblica del modello AI di Anthropic impiegata nel programma Glasswing.
Coding agentico. Capacità di un modello di scrivere, testare, correggere e iterare codice in modo semi-autonomo o autonomo.
Disclosure responsabile. Pratica con cui una vulnerabilità viene comunicata prima ai manutentori del software, così da permettere una correzione prima della divulgazione pubblica.
FFmpeg. Progetto software open source molto usato per elaborare audio e video.
Glasswing. Programma annunciato da Anthropic per usare un proprio modello avanzato nella messa in sicurezza di software critico.
Kernel. Nucleo del sistema operativo, responsabile della gestione delle funzioni fondamentali del computer.
Maintainer. Persona o gruppo che cura, aggiorna e corregge un progetto software.
Open source. Software il cui codice è accessibile, verificabile e spesso modificabile dalla comunità.
OpenBSD. Sistema operativo open source noto per la forte attenzione alla sicurezza.
Patching. Processo di correzione di bug o vulnerabilità attraverso aggiornamenti software.
Secure-by-design. Approccio che integra la sicurezza già nella progettazione iniziale di un sistema, invece di aggiungerla solo dopo.
Software critico. Software essenziale per infrastrutture, servizi o sistemi da cui dipendono attività importanti o sensibili.
Vulnerabilità. Debolezza tecnica che può essere sfruttata per causare malfunzionamenti, accessi non autorizzati o altri danni.
Fonti
Fonti ufficiali
- Project Glasswing: Securing critical software for the AI era
- Assessing Claude Mythos Preview’s cybersecurity capabilities
- Models overview
- OpenBSD Errata 025: kernel panic from invalid SACK option
- CVE-2026-4747 – NVD
Agenzie / stampa
- Anthropic touts AI cybersecurity project with Big Tech partners
- A new Anthropic model found security problems in every major operating system and web browser
- Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything
Approfondimenti economici
