Il modello che nessuno può usare
Il 7 aprile 2026 Anthropic ha annunciato Claude Mythos: un modello di intelligenza artificiale capace di trovare vulnerabilità nei sistemi informatici in modo completamente autonomo, con prestazioni che superano quelle di qualsiasi ricercatore umano. Poi ha deciso di non rilasciarlo al pubblico.
È il primo caso nella storia dell’AI in cui un’azienda costruisce qualcosa e dice esplicitamente: questo è troppo pericoloso per essere distribuito liberamente. Non è un film di fantascienza. È successo tre settimane fa.
Questo articolo spiega cos’è Mythos, cosa ha dimostrato di saper fare e perché cambia qualcosa per le aziende italiane, anche quelle che non hanno mai sentito parlare di Anthropic.
Cos’è Claude Mythos di Anthropic?
Claude Mythos è il modello AI più avanzato di Anthropic, annunciato il 7 aprile 2026. Durante i test ha dimostrato di essere in grado di trovare e sfruttare vulnerabilità informatiche in modo completamente autonomo, superando le capacità dei ricercatori umani. Per ragioni di sicurezza, Anthropic ha deciso di non rilasciarlo al pubblico e di limitarne l’accesso a un gruppo selezionato di organizzazioni tramite il Project Glasswing.
Cosa ha dimostrato di saper fare
Anthropic non ha costruito Mythos come strumento di cybersecurity. Le capacità offensive sono emerse come conseguenza del miglioramento generale su codice, ragionamento e autonomia. Questo è il dato più rilevante: nessuno lo ha programmato per farlo.
Nei test, Mythos ha trovato vulnerabilità in ogni sistema operativo e ogni browser principale in modo autonomo. Ha individuato un bug vecchio di 27 anni in OpenBSD che nessun ricercatore umano aveva mai scoperto. Ha costruito exploit concatenando 4 vulnerabilità diverse, senza intervento umano.
Su SWE-bench Verified, il benchmark standard per la valutazione dei modelli di codice, Mythos raggiunge il 93,9% contro l’80,8% di Claude Opus 4.6. Quasi 13 punti in pochi mesi.
Cosa può fare Claude Mythos di Anthropic?
Claude Mythos è in grado di identificare e sfruttare vulnerabilità informatiche in modo completamente autonomo, senza intervento umano. Durante i test ha trovato falle in ogni sistema operativo e browser principali, ha scoperto un bug vecchio di 27 anni in OpenBSD mai rilevato prima e ha costruito exploit concatenando più vulnerabilità. Raggiunge il 93,9% su SWE-bench Verified, il benchmark più usato per valutare i modelli di codice.
Perché Anthropic non lo ha rilasciato al pubblico
Il ragionamento di Anthropic è semplice: Mythos abbassa drasticamente la soglia di competenze necessarie per attaccare un sistema informatico. Oggi per sfruttare una vulnerabilità zero-day servono anni di esperienza. Con Mythos, basta fare la domanda giusta.
Nasce così il Project Glasswing: accesso controllato a 12 partner selezionati tra cui AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, NVIDIA e JPMorgan Chase. Oltre 40 organizzazioni di infrastrutture critiche hanno accesso. Anthropic ha stanziato 100 milioni di dollari in crediti di utilizzo. L’NSA sta già usando Mythos.
La notizia delle ultime ore complica ulteriormente il quadro: un gruppo non autorizzato ha ottenuto accesso attraverso un fornitore terzo. Mythos è fuori dal controllo esclusivo di Anthropic prima ancora di essere rilasciato ufficialmente.
Perché Anthropic non ha rilasciato Claude Mythos al pubblico?
Perché le sue capacità offensive abbassano drasticamente la soglia di competenze necessarie per attaccare un sistema informatico. Chi prima aveva bisogno di anni di esperienza per sfruttare una vulnerabilità zero-day, con Mythos potrebbe farlo semplicemente facendo la domanda giusta. Anthropic ha preferito limitare l’accesso tramite il Project Glasswing, riservandolo a organizzazioni selezionate con specifici scopi difensivi.
Leggi anche: Cybersecurity per PMI: perché sei già un bersaglio e come difenderti nel 2026 – il contesto in cui Mythos si inserisce: le PMI italiane sono già sotto attacco.
Il punto di svolta: la difesa tradizionale non regge più
Mythos non è solo più veloce di un ricercatore umano: è strutturalmente diverso. Un esperto analizza un sistema alla volta, si stanca, ha costi elevati. Mythos analizza in parallelo, non si stanca, non ha bias cognitivi.
Il confronto non è più uomo contro macchina. È macchina contro macchina. La difesa informatica tradizionale, basata sul fatto che gli attacchi richiedono competenze rare e tempo, non regge in questo scenario.
Il dato che rende tutto più urgente: secondo le stime di Anthropic stessa, i modelli open weight raggiungeranno capacità simili a Mythos in circa 6 mesi. Quando accadrà, queste capacità non saranno più nelle mani di pochi partner selezionati.
Mythos non è un caso isolato. È il segnale di un salto qualitativo che riguarda l’AI in generale: lo stesso tipo di superamento dell’esperto umano che stiamo vedendo nella cybersecurity lo vedremo presto in altri domini. Diagnosi medica, analisi legale, progettazione. La velocità con cui i modelli migliorano non ha precedenti.
Come cambia la cybersecurity aziendale con l’AI?
L’AI come Mythos cambia il rapporto tra attacco e difesa: abbassa il costo e la complessità degli attacchi, rendendo accessibili capacità offensive prima riservate a pochi esperti. La difesa tradizionale, reattiva e basata sulle patch, non è più sufficiente. Le aziende devono passare a un approccio proattivo: monitoraggio continuo, ricerca attiva delle vulnerabilità, risposta rapida agli incidenti. Chi aspetta si espone a rischi crescenti.
Cosa cambia concretamente per le aziende italiane
Mythos non è disponibile al pubblico. Ma il suo annuncio cambia comunque qualcosa, adesso.
Il livello di rischio informatico si è alzato strutturalmente. Quando modelli con capacità simili diventeranno accessibili, e una questione di mesi, chiunque potrà usarli per trovare vulnerabilità nei sistemi aziendali. Le PMI italiane, storicamente meno protette delle grandi aziende, saranno tra i bersagli più esposti.
La difesa deve diventare proattiva. Non basta più aggiornare i sistemi quando esce una patch o rispondere a un attacco dopo che è avvenuto. Bisogna cercare attivamente le vulnerabilità prima che lo faccia qualcun altro. Il Vulnerability Assessment, cioè la valutazione sistematica dei punti deboli di un sistema, smette di essere un’opzione e diventa una necessità.
La cybersecurity non è più solo un tema IT. È un tema di continuità aziendale. Un attacco che blocca i sistemi per 48 ore ha conseguenze concrete su fatturato, reputazione e relazioni con i clienti. Le aziende che non hanno ancora un piano di risposta agli incidenti stanno operando con un rischio non calcolato.
Il lato positivo esiste. L’AI applicata alla difesa funziona altrettanto bene: monitoraggio continuo delle reti, rilevamento delle anomalie in tempo reale, risposta automatica agli incidenti. I partner del Project Glasswing come CrowdStrike e Cisco usano Mythos esattamente per questo: trovare le falle prima degli attaccanti. Chi adotta strumenti AI per la difesa ha un vantaggio reale su chi non lo fa.
In Brain Computing affianchiamo le aziende italiane nella gestione della sicurezza informatica con un approccio che parte dalla valutazione reale del rischio, non dall’allarme. I servizi più rilevanti in questo contesto:
- Consulenza Cybersecurity: valutazione delle vulnerabilità, piano di protezione personalizzato e supporto continuativo. Partner certificato ISO.
- Vulnerability Assessment: identificazione sistematica dei punti deboli dell’infrastruttura IT prima che diventino un problema.
- Soluzioni AI: integrazione di strumenti AI nei processi aziendali, incluso il monitoraggio e la risposta agli incidenti.
- Consulenza IT: valutazione dell’infrastruttura esistente e piano di aggiornamento e protezione.
Non serve aspettare che accada qualcosa per occuparsi della sicurezza. Il Check Up Digitale è il punto di partenza: analizziamo insieme lo stato attuale della tua infrastruttura e ti diciamo concretamente dove sei esposto e cosa fare.
Richiedi il Check Up Digitale
Domande frequenti su Claude Mythos e AI nella cybersecurity
Cos’è Claude Mythos di Anthropic?
Claude Mythos è il modello AI più avanzato di Anthropic, annunciato il 7 aprile 2026. Durante i test ha dimostrato di trovare e sfruttare vulnerabilità informatiche in modo completamente autonomo, superando le capacità dei ricercatori umani. Per ragioni di sicurezza, Anthropic ha deciso di non rilasciarlo al pubblico, limitandone l’accesso tramite il Project Glasswing a organizzazioni selezionate.
Cosa può fare Claude Mythos di Anthropic?
Mythos è in grado di identificare vulnerabilità informatiche in ogni sistema operativo e browser principale in modo autonomo. Ha trovato un bug vecchio di 27 anni in OpenBSD e ha costruito exploit concatenando più falle senza intervento umano. Raggiunge il 93,9% su SWE-bench Verified, quasi 13 punti in più rispetto al modello precedente di Anthropic.
Perché Anthropic non ha rilasciato Claude Mythos al pubblico?
Perché abbassa drasticamente la soglia di competenze necessarie per attaccare un sistema informatico. Anthropic ha preferito limitare l’accesso tramite il Project Glasswing a partner selezionati come AWS, Apple, Microsoft, Google, Cisco, CrowdStrike e altri, con specifici scopi difensivi. Nelle ultime ore è emerso che un gruppo non autorizzato ha già ottenuto accesso attraverso un fornitore terzo.
Come cambia la cybersecurity aziendale con l’AI?
L’AI come Mythos abbassa il costo e la complessità degli attacchi, rendendo accessibili capacità prima riservate a pochi esperti. La difesa tradizionale e reattiva non è più sufficiente: le aziende devono passare a un approccio proattivo con monitoraggio continuo, Vulnerability Assessment sistematico e piani di risposta agli incidenti. Lo stesso AI che può essere usato per attaccare è uno strumento potente anche per difendere.
