Claude Mythos Preview: l'IA che scopre e sfrutta zero-day mette in allarme il Tesoro Usa e le grandi banche

Claude Mythos Preview, il nuovo sistema di Anthropic, viene presentato dalla stessa azienda come un modello capace di individuare e, in diversi casi, anche di sfruttare vulnerabilità software con un livello di efficacia che supera quasi tutti gli umani, eccetto gli specialisti migliori. È questo salto di qualità ad aver spinto il Segretario al Tesoro Scott Bessent a convocare a Washington, in settimana, i vertici delle principali banche statunitensi insieme al presidente della Federal Reserve, Jerome Powell

Quando il Tesoro USA chiama attorno a un tavolo i capi degli istituti più grandi del Paese non per parlare di tassi, capitale o credito, ma di un modello di IA che potrebbe cambiare la natura stessa del rischio cyber, vuol dire che la questione ha superato il perimetro della ricerca. È diventata un problema di stabilità finanziaria.

All’incontro avrebbero partecipato alcuni dei nomi più pesanti della finanza americana: David Solomon di Goldman Sachs, Brian Moynihan di Bank of America, Jane Fraser di Citigroup, Ted Pick di Morgan Stanley e Charlie Scharf di Wells Fargo; Jamie Dimon di JPMorgan Chase sarebbe stato invitato ma impossibilitato a esserci. Sono banche la cui continuità operativa è considerata cruciale per il funzionamento del sistema economico.

Perché il rischio discusso a Washington non è soltanto “più phishing” o “più malware”. Il timore è che modelli come Mythos accelerino l’intero ciclo dell’offesa: ricognizione, scoperta delle falle, scrittura di exploit, concatenamento di vulnerabilità, adattamento rapido ai sistemi difensivi. In altre parole, l’IA può ridurre quel vantaggio di tempo di cui finora hanno goduto molte grandi organizzazioni grazie a team di sicurezza, patching, audit e ridondanze. Se un modello consente di fare in ore quello che prima richiedeva settimane a ricercatori d’élite, il problema non è più soltanto tecnico.

Nel materiale dedicato a Claude Mythos Preview, l’azienda afferma che il modello è in grado di identificare e sfruttare vulnerabilità zero-day in “ogni principale sistema operativo” e in “ogni principale browser web” durante i test interni; aggiunge inoltre di aver rilevato migliaia di vulnerabilità aggiuntive di gravità alta o critica, e spiega che i validatori umani hanno confermato esattamente la valutazione di severità del modello nell’89% dei 198 report esaminati manualmente, con il 98% dei giudizi entro un solo livello di severità.

Il dato più impressionante, però, è un altro: Anthropic descrive casi in cui il modello ha prodotto exploit funzionanti in ore, mentre esperti di penetration testing avrebbero stimato settimane di lavoro umano. In un esempio reso pubblico, Mythos Preview avrebbe identificato e sfruttato autonomamente una vulnerabilità remota di 17 anni in FreeBSD; in un altro passaggio, l’azienda sostiene che il modello abbia trovato bug antichi fino a 27 anni, inclusa una falla in OpenBSD poi corretto.