Amazon,  Anthropic,  Apple,  Applicazioni,  Claude,  Google,  Intelligenza Artificiale,  Linux,  Microsoft,  nVidia,  Primo Piano,  Software,  Sviluppo,  Tecnologia

Project Glasswing di Anthropic la nuova iniziativa assieme ai colossi tech

14 Aprile 2026

Project Glasswing di Anthropic è una nuova iniziativa con i principali colossi tecnologici mondiali che usa un modello di intelligenza artificiale di frontiera, Claude Mythos Preview, per individuare e correggere vulnerabilità critiche nel software prima che possano essere sfruttate dagli attaccanti. L’obiettivo è spostare il vantaggio strategico verso i difensori, in un’epoca in cui l’AI rende più facili e veloci anche gli attacchi informatici.

Un’alleanza tra giganti per proteggere il software critico

Project Glasswing nasce come collaborazione senza precedenti tra Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks, affiancati da oltre 40 altre organizzazioni che sviluppano o mantengono infrastrutture software critiche. L’idea di fondo è che nessuna singola azienda è in grado da sola di affrontare il salto di capacità reso possibile dai modelli di AI più avanzati, soprattutto nel campo della cybersicurezza.

Queste realtà utilizzeranno Claude Mythos Preview per rinforzare la sicurezza dei propri sistemi fondamentali, condividendo quanto possibile risultati e buone pratiche, in modo da diffondere rapidamente nuovi standard di difesa in tutta l’industria digitale. Anthropic, dal canto suo, si impegna a pubblicare periodicamente ciò che apprende, così che anche soggetti esterni al progetto possano beneficiare di queste conoscenze.

Claude Mythos Preview: il modello che trova più bug degli esperti

Alla base di Glasswing c’è Claude Mythos Preview, un modello “frontier” non ancora reso disponibile al grande pubblico, che ha dimostrato una capacità di lettura, comprensione e ragionamento sul codice tale da superare tutti tranne i migliori esperti umani nel trovare ed esploitare vulnerabilità. In poche settimane il modello ha individuato migliaia di vulnerabilità ad alta severità, incluse debolezze in tutti i principali sistemi operativi e browser moderni.

In tre casi emblematici, Mythos ha trovato una vulnerabilità vecchia di 27 anni in OpenBSD, una falla di 16 anni in FFmpeg sfuggita a oltre cinque milioni di test automatizzati, e una catena di bug nel kernel Linux che consente a un attaccante di passare da utente normale al controllo completo della macchina. Tutte queste falle sono state riportate ai maintainer e sono già state corrette, a dimostrazione del potenziale di questi strumenti se usati a scopo difensivo.

Un salto di qualità misurato nei benchmark

La superiorità tecnica di Claude Mythos Preview non è solo aneddotica ma misurata su benchmark pubblici e interni di programmazione e cybersicurezza. Nei test CyberGym, progettati per valutare la capacità di riprodurre e sfruttare vulnerabilità, il modello raggiunge l’83,1% contro il 66,6% del precedente modello di punta di Anthropic, Claude Opus 4.6, segnando un balzo netto nelle capacità offensive e difensive.

Sui benchmark di coding avanzato come SWE-bench Pro, Terminal-Bench 2.0 e varianti multimodali e multilingue, Mythos ottiene percentuali di successo che vanno dal 77,8% al 93,9%, sempre con margini significativi rispetto a Opus 4.6. Questi risultati riflettono forti capacità agentiche: il modello non si limita a suggerire codice, ma pianifica, esplora, testa ed esegue sequenze complesse di azioni per risolvere problemi reali in ambienti software complessi.

Perché l’AI cambia radicalmente il rischio cyber

Per decenni la sicurezza del software è stata limitata dalla scarsità di esperti in grado di trovare bug davvero complessi e dalla lentezza dei processi di analisi manuale. Con i modelli di AI di ultima generazione, il costo e il livello di expertise necessario per scoprire e sfruttare vulnerabilità si abbassano drasticamente, aprendo scenari in cui anche attori meno sofisticati possono lanciare attacchi devastanti.

Anthropic sottolinea che Mythos è riuscito a scoprire bug sopravvissuti a decenni di revisione umana e a milioni di test automatici, rendendo evidente che, se queste capacità fossero usate in modo malevolo, potrebbero aumentare in frequenza e gravità i cyberattacchi contro infrastrutture critiche, aziende e governi. Proprio per questo Glasswing nasce come tentativo urgente di mettere per primi queste capacità nelle mani dei difensori, prima che si diffondano in modo incontrollato.

Un modello di uso controllato, non aperto a tutti

Nonostante le performance impressionanti, Anthropic non intende rendere Claude Mythos Preview generalmente disponibile al mercato nel breve periodo. L’obiettivo dichiarato è arrivare, in futuro, a modelli di “classe Mythos” distribuiti in modo sicuro e controllato, con salvaguardie avanzate che blocchino gli output più pericolosi.

Nel frattempo, Anthropic prevede di introdurre nuove misure di sicurezza a partire da una prossima versione di Claude Opus, considerata meno rischiosa rispetto a Mythos, per testare e raffinare questi sistemi di protezione prima di estenderli a modelli ancora più potenti. Questo approccio riflette la consapevolezza che potenza e rischio crescono di pari passo e che la distribuzione indiscriminata di modelli estremamente capaci potrebbe avere conseguenze imprevedibili sul piano della sicurezza globale.

Funzionalità principali per aziende e sviluppatori

Dal punto di vista pratico, Project Glasswing offre alle organizzazioni l’accesso a Mythos Preview per un insieme di casi d’uso chiave: rilevamento locale di vulnerabilità nel proprio codice, test “black box” di binari e applicazioni, protezione degli endpoint e attività avanzate di penetration testing. Su queste basi, un’azienda può integrare l’AI direttamente nel ciclo di sviluppo e di sicurezza, trasformando il modello in un analista che lavora 24 ore su 24 sui propri asset software.

Anthropic mette inoltre a disposizione fino a 100 milioni di dollari in crediti d’uso per Mythos Preview destinati ai partner di Project Glasswing e ad altri soggetti che gestiscono software critico, oltre a 4 milioni di dollari in donazioni dirette a organizzazioni di sicurezza open source come Alpha-Omega, OpenSSF e Apache Software Foundation. In prospettiva, dopo la fase di ricerca, il modello sarà accessibile ai partecipanti attraverso il Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry, con prezzi di riferimento di 25 dollari per milione di token in input e 125 dollari per milione di token in output.

Casi d’uso concreti per team di sicurezza e sviluppo

Per i team di sicurezza aziendale, Glasswing può essere utilizzato per scansioni periodiche o continue di codebase interne e componenti di terze parti, alla ricerca di bug logici, vulnerabilità di memoria, errori di validazione input/output e configurazioni pericolose. In parallelo, il modello può generare proof-of-concept di exploit, aiutando a valutare in modo più realistico il livello di rischio associato a ciascuna vulnerabilità.

Gli sviluppatori possono integrare Mythos nelle pipeline CI/CD per bloccare automaticamente commit che introducono potenziali vulnerabilità, o per analizzare dipendenze e librerie open source in cerca di zero-day. In scenari più avanzati, il modello può supportare la triage dei bug, la prioritizzazione delle patch, la generazione di fix suggeriti e la validazione automatica di correzioni, riducendo drasticamente il tempo tra scoperta della falla e rilascio della patch.

Un’attenzione speciale al mondo open source

Una parte significativa dell’iniziativa è dedicata ai maintainer di software open source, che costituiscono la base di gran parte delle infrastrutture digitali ma spesso non dispongono di grandi team di sicurezza. Attraverso donazioni e programmi dedicati, Anthropic mira a dare a questi sviluppatori accesso prioritario a modelli in grado di individuare e correggere vulnerabilità a scala, riducendo il divario rispetto ai grandi operatori commerciali.

Il programma “Claude for Open Source” consente ai maintainer interessati di candidarsi per utilizzare Mythos Preview nella revisione dei propri progetti. L’obiettivo è trasformare l’AI in un “copilota di sicurezza” alla portata di ogni progetto chiave della supply chain software, contribuendo a innalzare il livello di sicurezza dell’intero ecosistema.

Collaborazione con governi e definizione di nuovi standard

Project Glasswing si inserisce anche in un contesto geopolitico in cui gli attacchi informatici sponsorizzati da stati come Cina, Iran, Corea del Nord e Russia rappresentano una minaccia concreta per infrastrutture civili e militari. Anthropic sottolinea che mantenere un vantaggio decisivo nello sviluppo e nella difesa tramite AI è ormai una priorità di sicurezza nazionale per i paesi democratici, e che i governi devono giocare un ruolo attivo nell’orientare l’uso di questi strumenti.

L’azienda è in dialogo continuo con le autorità statunitensi e si dice pronta a collaborare a livello locale, statale e federale per valutare e mitigare i rischi di sicurezza legati ai modelli di AI. Nel medio periodo, l’ambizione è che nasca un organismo indipendente in grado di riunire pubblico e privato per coordinare progetti di cybersicurezza su larga scala e definire raccomandazioni pratiche su disclosure delle vulnerabilità, processi di aggiornamento, sicurezza della supply chain e automazione delle patch.

Verso una nuova era della difesa digitale

Project Glasswing rappresenta uno dei primi tentativi strutturati di usare modelli di AI di frontiera come leva per difendere, e non solo per attaccare, in un contesto informatico sempre più ostile. Se avrà successo, potrebbe spostare l’equilibrio del cyberspazio verso una situazione in cui i difensori sono finalmente più veloci e più scalabili degli aggressori, grazie a strumenti in grado di scandagliare in profondità l’enorme massa di codice da cui dipende il mondo moderno.

Resta aperta la sfida di distribuire queste capacità in modo sicuro, inclusivo e governato, senza alimentare nuove corse agli armamenti digitali.

Ma l’esperimento lanciato da Anthropic e dai suoi partner suggerisce che, almeno per ora, il modo migliore per rispondere ai rischi dell’AI non è rallentare l’innovazione, bensì accelerarla sul fronte della difesa, creando alleanze, standard e strumenti che permettano di proteggere il software critico prima che sia troppo tardi.