- Il progetto Glasswing è un'alleanza guidata da Anthropic che utilizza Claude Mythos Preview, un modello di intelligenza artificiale all'avanguardia, per rilevare vulnerabilità in software critici su larga scala.
- Claude Mythos Preview ha scoperto migliaia di vulnerabilità zero-day, inclusi bug vecchi di decenni in OpenBSD, FFmpeg e nel kernel Linux, sviluppando exploit quasi interamente in autonomia.
- Il progetto riunisce colossi come AWS, Apple, Google, Microsoft, NVIDIA e la Linux Foundation e destina 100 milioni di dollari in crediti d'uso e 4 milioni di dollari alla sicurezza dell'open source.
- Anthropic sta limitando l'accesso a Mythos a causa del suo potenziale offensivo, cercando di dare un vantaggio ai difensori e ridefinendo la sicurezza informatica verso modelli più automatizzati e preventivi.
Se di recente avete sentito parlare del Progetto Glasswing ma non siete del tutto sicuri di cosa si tratti, cosa c'entri Claude Mythos e perché l'intero mondo della sicurezza informatica ne sia così concentrato, questo articolo fa al caso vostro.Sei nel posto giusto. Anthropic, l'azienda nota per i modelli Claude, ha lanciato un'iniziativa che unisce intelligenza artificiale all'avanguardia, giganti della tecnologia e un approccio molto particolare: utilizzare un modello talmente potente da essere considerato pericoloso... ma solo nelle mani di difensori selezionati.
Il progetto Glasswing è molto più di un semplice annuncio di prodotto o di una nuova API.Si tratta di un'iniziativa coordinata su vasta scala per individuare e correggere le vulnerabilità del software nelle infrastrutture digitali critiche di tutto il mondo, prima che gli aggressori, compresi i gruppi sostenuti da stati, possano sfruttarle con l'intelligenza artificiale. Al centro di tutto c'è Claude Mythos Preview, un modello sperimentale altamente avanzato che Anthropic tiene nascosto al pubblico proprio per la sua capacità di individuare e sfruttare le falle di sicurezza.
Cos'è l'Anthropic Project Glasswing e qual è il suo vero obiettivo?
Anthropic Project Glasswing è un'alleanza per la sicurezza informatica basata sull'intelligenza artificiale, lanciata da Anthropic in collaborazione con una dozzina di aziende leader nel settore tecnologico e finanziario.A questa iniziativa si sono successivamente unite oltre 40 organizzazioni responsabili di software e infrastrutture critiche. Il loro obiettivo dichiarato è chiaro: "proteggere i software più critici al mondo" nell'era dell'intelligenza artificiale, utilizzando un modello sperimentale chiamato Claude Mythos Preview.
La filosofia che ne sta alla base è semplice ma efficace.Se i criminali informatici e gli stati ostili intendono utilizzare l'intelligenza artificiale avanzata per individuare e sfruttare le vulnerabilità a un ritmo e su una scala senza precedenti, l'unico modo per non rimanere indietro è quello di utilizzare modelli ancora più potenti... ma in modo controllato, con accesso limitato e nelle mani di difensori fidati. Glasswing nasce proprio da questa tensione tra il potenziale offensivo e quello difensivo dell'IA.
Anthropic riconosce apertamente che alcuni modelli all'avanguardia superano già la maggior parte degli esseri umani nell'analisi del codice e nella ricerca di vulnerabilità.Solo gli specialisti più brillanti del settore si classificano al di sopra di esso. Claude Mythos Preview appartiene a questa categoria: un modello generico addestrato principalmente per la programmazione e il ragionamento, che si è distinto in modo eccezionale nelle attività di sicurezza informatica, sia nel rilevamento che nello sfruttamento delle vulnerabilità.
L'obiettivo pratico del Progetto Glasswing è quello di utilizzare questo modello per analizzare, testare e rafforzare i sistemi che rappresentano una parte considerevole della superficie di attacco globale.Sistemi operativi, browser, librerie critiche, hypervisor, servizi cloud, infrastrutture finanziarie e progetti open source che sono alla base di Internet. Il tutto all'interno di un quadro di divulgazione responsabile e con la collaborazione diretta tra aziende, comunità e governi.
Anthropic insiste sul fatto che nessuna singola organizzazione può affrontare questa sfida da sola.Richiede la collaborazione di sviluppatori di intelligenza artificiale all'avanguardia, aziende di software, gestori di progetti open source, ricercatori nel campo della sicurezza e pubbliche amministrazioni. Glasswing si propone di essere quel punto d'incontro, con l'intelligenza artificiale come componente centrale di una difesa coordinata.
Anteprima di Claude Mythos: il modello di intelligenza artificiale alla base del Progetto Glasswing
Al centro del Progetto Glasswing si trova Claude Mythos Preview, un modello di frontiera che Anthropic considera talmente potente nel mondo cibernetico da aver deciso di non renderlo pubblico.A differenza di altri modelli Claude, Mythos non è semplicemente "una versione leggermente migliore": test interni ed esterni indicano un notevole salto di qualità nella programmazione, nel ragionamento approfondito e, soprattutto, nell'individuazione e nello sfruttamento delle vulnerabilità.
La cosa più sorprendente è che Mythos non è stato addestrato specificamente come modello di sicurezza.Anthropic lo ha formato per diventare un modello tecnico di altissimo livello in programmazione, analisi e automazione; e, come effetto collaterale, ha sviluppato una straordinaria capacità di individuare falle in software complessi, sviluppare exploit funzionanti e concatenare diverse vulnerabilità per ottenere gravi compromissioni, come l'escalation dei privilegi o l'esecuzione di codice in remoto.
Nei test comparativi, Claude Mythos Preview supera nettamente Claude Opus 4.6 in termini di sicurezza.In un benchmark interno di sicurezza informatica (CyberGym), Mythos raggiunge un tasso di successo dell'83,1% rispetto al 66,6% di Opus 4.6. Anche in attività di ingegneria del software come SWE-bench e varianti verificate, mostra miglioramenti a doppia cifra, e nei test di ragionamento avanzati (come GPQA Diamond o Humanity's Last Exam) si distingue per le sue capacità quasi "olimpiche" in matematica e logica.
La chiave della sicurezza informatica non sta solo nella bravura nella programmazione, ma anche nella capacità di ragionare sul comportamento del software.Mythos è in grado di distinguere tra il design previsto e ciò che il codice effettivamente fa durante l'esecuzione, individuando vulnerabilità logiche, bypass dell'autenticazione, errori di validazione e complesse catene di exploit, non solo i classici schemi di corruzione della memoria già rilevati da molti scanner statici.
Per incanalare tale potenziale, Anthropic gestisce Mythos all'interno di un quadro di riferimento basato sull'azione. Il sistema automatizza diverse fasi: classificazione dei file in base alla probabilità di vulnerabilità, formulazione e verifica delle ipotesi in ambienti isolati (container), generazione autonoma di exploit proof-of-concept e una successiva fase di validazione umana. Secondo l'azienda, circa l'89% delle valutazioni di gravità corrisponde alle valutazioni degli esperti umani.
Vulnerabilità scoperte: difetti risalenti a decenni fa ed exploit indipendenti
Nelle prime settimane di utilizzo intensivo di Claude Mythos Preview, Anthropic afferma di aver identificato migliaia di vulnerabilità zero-day ad alta gravità.Questo tipo di difetti erano completamente sconosciuti agli sviluppatori dei progetti interessati, e molti di essi si riscontrano in software che sono stati implementati e verificati per decenni.
Tra gli esempi che la stessa Anthropic ha dettagliato, tre casi sono particolarmente eclatanti.:
- OpenBSDMythos ha scoperto una vulnerabilità introdotta 27 anni fa in uno dei sistemi operativi più robusti al mondo, utilizzato per firewall e altre infrastrutture critiche. La falla permetteva a un utente malintenzionato remoto di mettere fuori uso qualsiasi macchina semplicemente stabilendo una connessione specifica.
- FFmpegIl modello ha individuato un bug vecchio di 16 anni in questo progetto fondamentale di codifica e decodifica video, in una riga di codice che gli strumenti di test automatizzati avevano eseguito più di cinque milioni di volte senza rilevare il problema.
- Kernel Linux e altri ambientiMythos è riuscito a identificare e concatenare diverse vulnerabilità nel kernel Linux, consentendo a un utente normale di ottenere il controllo completo del sistema. Sono state segnalate anche vulnerabilità negli hypervisor e nei componenti di rete, con il potenziale di consentire fughe dalle macchine virtuali e di dirottamento del flusso di controllo.
La maggior parte di queste vulnerabilità è stata scoperta e, in molti casi, sfruttata in modo completamente autonomo.senza intervento umano diretto, se non per la definizione dell'obiettivo generale. Il modello non solo identifica la vulnerabilità, ma sviluppa anche exploit funzionali: complesse catene ROP, heap spray per aggirare le sandbox del browser, bypass di KASLR e altre tecniche di sfruttamento avanzate.
Gli analisti esterni hanno evidenziato l'impatto economico di questa capacitàSe un modello è in grado di individuare e sfruttare una vulnerabilità critica a un costo computazionale marginale relativamente basso, il modello tradizionale di remunerazione dei ricercatori umani per le scoperte di routine perde parte della sua rilevanza. Iniziative come i programmi di ricompensa per la segnalazione di bug rimarranno importanti, ma probabilmente si concentreranno su vulnerabilità particolarmente complesse o specifiche di un determinato contesto.
Per evitare di creare caos logistico inondando i manutentori del software con report automatici di dubbia qualitàAnthropic ha progettato un sistema di classificazione e prioritizzazione. In primo luogo, vengono valutate la gravità e la sfruttabilità di ogni vulnerabilità; successivamente, i casi più gravi vengono inviati a valutatori umani professionisti che convalidano ciascuna vulnerabilità e, quando possibile, includono una patch candidata proposta anche dal modello, opportunamente etichettata per indicare che proviene dall'intelligenza artificiale.
Per quanto riguarda il processo di divulgazione, Anthropic segue un quadro coordinatoQuando è disponibile una patch, l'azienda in genere attende circa 45 giorni prima di pubblicare dettagli tecnici approfonditi sulla vulnerabilità e sul suo sfruttamento, dando così a fornitori e utenti un lasso di tempo ragionevole per aggiornare i propri sistemi. In altri casi, l'azienda pubblica gli hash crittografici delle vulnerabilità scoperte sul suo blog Frontier Red Team, impegnandosi a rivelarne i dettagli una volta che le vulnerabilità saranno state corrette.
Chi fa parte della coalizione Project Glasswing?
Uno degli aspetti più sorprendenti del Progetto Glasswing è il calibro dei suoi soci fondatori.Anthropic ha riunito 12 organizzazioni che, insieme, concentrano gran parte della potenza tecnologica globale: cloud pubblici, produttori di hardware, aziende di sicurezza, giganti finanziari e il fondamento principale dell'ecosistema Linux.
Tra i membri iniziali dell'iniziativa figurano Amazon Web Services (AWS), Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, The Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks.Oltre ad Anthropic stessa, esistono più di 40 altre organizzazioni che sviluppano o gestiscono software e infrastrutture critiche, inclusi progetti open source ampiamente diffusi.
Ogni tipo di partner apporta un pezzo diverso al puzzle:
- Fornitori di servizi cloud e piattaforme (AWS, Google Cloud, Microsoft): Gestiscono enormi volumi di infrastrutture e traffico.e stanno già integrando l'intelligenza artificiale nei loro sistemi di difesa per analizzare centinaia di trilioni di flussi di rete giornalieri.
- Produttori di hardware e dispositivi di rete (Broadcom, Cisco, NVIDIA)La sua tecnologia costituisce il fondamento fisico su cui si basano gran parte dell'intelligenza artificiale e del traffico internet.
- Aziende di sicurezza (CrowdStrike, Palo Alto Networks)Sono in prima linea nel rilevamento delle intrusioni, nella protezione degli endpoint e nella gestione degli incidenti.
- Settore finanziario (JPMorgan Chase)Rappresenta una parte essenziale dell'infrastruttura economica globale, che è oggetto di forti attacchi e regolamentazioni.
- Fondazioni open source (The Linux Foundation, Apache Software Foundation tramite donazioni)Supervisionano progetti utilizzati da tutti, dalle startup ai governi, come il kernel Linux, Kubernetes o i grandi server web.
Molti di questi partner stanno già testando Mythos Preview sui propri codebase da diverse settimane.I dirigenti di AWS, Microsoft e CrowdStrike hanno confermato pubblicamente che il modello sta contribuendo a rafforzare i componenti critici, riducendo il tempo che intercorre tra l'individuazione di una vulnerabilità e il suo potenziale sfruttamento da parte di un avversario: un intervallo di tempo che l'intelligenza artificiale sta comprimendo da mesi a minuti.
La presenza della Linux Foundation è particolarmente simbolica.Il suo CEO, Jim Zemlin, ha sottolineato che le competenze in materia di sicurezza sono sempre state un lusso accessibile solo alle organizzazioni con team ampi e specializzati, mentre i manutentori del software open source che supportano gran parte delle infrastrutture mondiali sono spesso volontari con risorse limitate. Grazie a Glasswing e ai programmi associati, questi manutentori possono, per la prima volta, accedere a strumenti di rilevamento basati su modelli di confine.
Anthropic è inoltre in costante contatto con le autorità degli Stati Uniti e con altri governi alleati. valutare le implicazioni per la sicurezza nazionale di Mythos e di modelli simili. L'azienda sostiene che mantenere una leadership chiara nell'IA sia ora una priorità strategica per le democrazie, proprio a causa delle dimensioni offensive e difensive cibernetiche che la tecnologia sta acquisendo.
Impegni finanziari, accesso e limiti di sicurezza
Il progetto Glasswing non si limita alle dichiarazioni di buone intenzioni.L'iniziativa prevede impegni finanziari e di utilizzo piuttosto specifici. Anthropic si è impegnata a fornire fino a 100 milioni di dollari in crediti di utilizzo per Claude Mythos Preview ai partecipanti a questa fase di anteprima della ricerca.
Questi crediti coprono un volume di calcolo molto considerevoleQuesto è sufficiente per eseguire milioni di analisi approfondite su grandi codebase, interi sistemi operativi o componenti chiave della catena di fornitura del software. Dopo questa fase, il modello sarà disponibile per i partecipanti regolari di Glasswing a un prezzo di riferimento di 25 dollari per milione di token di ingresso e 125 dollari per milione di token di uscita, accessibile tramite l'API Claude, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry.
Inoltre, sono state effettuate donazioni dirette per un totale di 4 milioni di dollari a organizzazioni che si occupano di sicurezza open source.Tramite la Linux Foundation, sono stati stanziati 2,5 milioni di dollari ad Alpha-Omega e OpenSSF, e 1,5 milioni di dollari alla Apache Software Foundation. L'obiettivo è fornire ai progetti chiave le risorse necessarie per elaborare le segnalazioni di vulnerabilità, applicare le patch e adattare i propri processi a un contesto in cui la scoperta automatizzata delle vulnerabilità sta crescendo rapidamente.
Per quanto riguarda l'accesso, Anthropic è categorica: l'anteprima di Claude Mythos non sarà resa disponibile al pubblico. In questa fase, proprio per le sue capacità offensive. Invece, sarà disponibile solo per i partner di Glasswing e un gruppo selezionato di altre organizzazioni e manutentori open source, nell'ambito di programmi specifici come Claude for Open Source o il futuro Cyber Verification Program per professionisti della sicurezza accreditati.
Anthropic ha dovuto difendere questa posizione dalle critiche riguardanti la centralizzazione e il potenziale vantaggio competitivo delle grandi aziende.L'azienda sostiene che si tratti di un delicato equilibrio: la diffusione su larga scala di Mythos potrebbe facilitare attacchi devastanti contro le infrastrutture critiche, mentre limitarne l'uso in modo controllato, unitamente a una divulgazione responsabile e alla condivisione delle migliori pratiche, permette di rafforzare l'intero ecosistema senza fornire capacità offensive ad attori malintenzionati.
La stessa Anthropologie ha subito imbarazzanti incidenti di sicurezza negli ultimi mesi. (come fughe di notizie di bozze interne o errori di confezionamento che hanno esposto il codice sorgente per alcune ore), il che ha sollevato interrogativi sul suo ruolo di custode di un modello così potente. I dirigenti dell'azienda hanno risposto che questi problemi derivavano da errori negli strumenti di pubblicazione, non da difetti strutturali nella loro architettura di sicurezza, e affermano di aver rivisto i processi per prevenirne il ripetersi.
Impatto sulla sicurezza informatica: dalla definizione delle priorità alla finestra di esposizione.
L'implementazione di un modello come Claude Mythos Preview impone una revisione di alcuni dogmi della sicurezza informatica classica.Finora, molte organizzazioni si sono concentrate sulla definizione delle priorità delle vulnerabilità in base alla gravità, alla probabilità di sfruttamento e alla criticità del sistema interessato, accettando che parte dell'arretrato sarebbe rimasta irrisolta per un periodo piuttosto lungo.
Con l'intelligenza artificiale in grado di identificare e sfruttare le falle su vasta scala, diversi esperti sottolineano che il problema non è più tanto di stabilire le priorità quanto di "finestra di esposizione".Per quanto tempo un sistema rimane vulnerabile una volta che la falla è nota, e di quale capacità dispone l'organizzazione per rilevare, correggere, implementare e verificare le soluzioni in tempo quasi reale?
Ciò spinge le aziende verso un modello di sicurezza molto più automatizzato e integrato nel ciclo di sviluppoSta prendendo piede l'idea di "fabbriche di software" in grado di produrre sistematicamente codice sicuro, corredato da prove verificabili della sua robustezza. La sicurezza non è più un aspetto secondario, ma è integrata fin dalle prime fasi di progettazione e implementazione, sfruttando strumenti di intelligenza artificiale sia per la prevenzione che per il rilevamento.
Il progetto Glasswing ribadisce inoltre la necessità di rivedere l'intera catena di fornitura del software, dall'alto verso il basso.Dipendenze di terze parti, librerie open source, componenti di rete, firmware, sistemi embedded... Tutto ciò che prima era considerato ragionevolmente sicuro potrebbe contenere vulnerabilità di vecchia data che un'intelligenza artificiale avanzata può rivelare in poche ore.
Allo stesso tempo, l'iniziativa mette in luce una realtà scomodaMentre i difensori e le aziende responsabili portano avanti progetti come Glasswing, anche gruppi criminali e attori statali ostili stanno sperimentando modelli avanzati, utilizzando strumenti pubblici o accedendo a funzionalità più potenti attraverso canali opachi. Per questo motivo Anthropic e i suoi partner sottolineano l'urgenza di guadagnare tempo: sfruttare questi mesi o anni in cui i difensori possono ancora ottenere un vantaggio decisivo.
Per i team di sviluppo e sicurezza di ogni tipo di organizzazione.Ciò si traduce in diverse implicazioni pratiche: mantenere le dipendenze aggiornate in modo più rigoroso, integrare l'analisi automatizzata del codice basata sull'IA nelle proprie pipeline, rivedere le politiche di gestione delle patch e prepararsi a un ambiente in cui gli attacchi informatici assistiti dall'IA saranno più frequenti, più rapidi e più sofisticati.
In sintesi, Anthropic Project Glasswing segna un punto di svolta nel modo in cui la difesa digitale viene concepita nell'era dell'intelligenza artificiale.Il sistema combina un modello all'avanguardia con capacità di individuazione delle vulnerabilità senza precedenti, una coalizione di giganti della tecnologia e della finanza, un forte sostegno all'ecosistema open source e un approccio ad accesso limitato volto a massimizzare i benefici in termini di difesa e a minimizzare il rischio di utilizzo malevolo. Il messaggio di fondo è chiaro: l'intelligenza artificiale ha già cambiato le regole del gioco della sicurezza informatica e chi non riuscirà ad adattare i propri processi, strumenti e mentalità a questo nuovo scenario rimarrà molto indietro.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.