Anthropic ha annunciato Claude Mythos, un nuovo modello di intelligenza artificiale che, stando all'azienda, sarebbe in grado di individuare vulnerabilità in qualsiasi software, dai sistemi operativi ai browser, e di sviluppare autonomamente exploit funzionanti. Una dichiarazione del genere, nel mondo dell'AI, meriterebbe di essere presa con le pinze: eppure questa volta anche chi di solito storce il naso sembra prendere la cosa sul serio.Anthropic ha scelto di distribuire Mythos in anteprima solo a un gruppo ristretto di organizzazioni, tra cui Microsoft, Apple, Google e Linux Foundation, riunite in un consorzio chiamato Project Glasswing. L'idea è dare ai difensori un vantaggio temporale: trovare le falle nei propri sistemi prima che le stesse capacità finiscano nelle mani di chi vuole sfruttarle. Il punto che preoccupa di più gli esperti non è la capacità di trovare singole vulnerabilità, cosa che i modelli AI già fanno, ma quella di costruire catene di exploit: sequenze di falle concatenate che, sfruttate in ordine, permettono di compromettere in profondità un sistema. Sono la base degli attacchi zero-click, quelli che non richiedono nessuna interazione da parte della vittima, e finora erano appannaggio di attori molto sofisticati.Come spiega Niels Provos, ingegnere e ricercatore di sicurezza, Mythos non cambia il problema di fondo, ovvero che le aziende usano software vulnerabili e faticano ad aggiornarlo, ma abbassa drasticamente il livello di competenza necessario per trovare e sfruttare queste vulnerabilità. In pratica, attacchi che prima richiedevano team di ricercatori esperti potrebbero diventare alla portata di molti più attori.Alex Zenla, direttore tecnico di Edera, usa un'immagine efficace: è come avere un milione di ricercatori di sicurezza che lavorano in parallelo, senza i limiti di memoria e attenzione degli esseri umani, capaci di tenere in testa catene di vulnerabilità lunghissime e di verificarne la sfruttabilità in modo sistematico. Non tutti sono convinti. C'è chi, come il consulente Davi Ottenheimer, paragona il lancio di Mythos ai predicatori degli spaghetti western: tanta enfasi sulla fine del mondo, poi qualcuno se ne va con i soldi di tutti. Ed è un'obiezione legittima: presentare un modello come misterioso ed esclusivo ha evidenti vantaggi di marketing per Anthropic, e non è la prima volta che una novità AI viene gonfiata oltre misura.Eppure il fatto che Scott Bessent e Jerome Powell, rispettivamente segretario al Tesoro e presidente della Federal Reserve degli Stati Uniti, abbiano convocato i leader del settore finanziario per discutere di Mythos suggerisce che la preoccupazione non sia solo di facciata. Anthropic stessa sottolinea che Mythos è solo il primo modello a raggiungere queste capacità, e che altri seguiranno: il vantaggio temporale concesso al Project Glasswing serve proprio a prepararsi prima che il resto del mercato, inclusi i malintenzionati, raggiunga lo stesso livello.L'ex direttrice dell'agenzia statunitense per la sicurezza informatica Jen Easterly ha inquadrato la questione in modo più ottimista: un'AI capace di trovare vulnerabilità su scala industriale potrebbe finalmente spingere il settore a costruire software più sicuro fin dall'inizio, invece di rincorrere le patch per sempre.L'articolo Claude Mythos: l'IA di Anthropic che scova exploit prima dei criminali sembra essere il primo su Smartworld.