Nasce l’AI Mythos, ma Anthropic ne ha quasi paura e il rilascio sarà controllato solo per aziende selezionate
Nel mezzo di uno scontro senza precedenti con il dipartimento della Guerra e lo stesso Presidente americano Donald Trump, Anthropic ha avviato una distribuzione estremamente limitata di Mythos, un nuovo modello di intelligenza artificiale (AI) che, secondo fonti governative e industriali, rappresenta un salto qualitativo senza precedenti nel campo della sicurezza informatica. Non si tratta di un semplice avanzamento delle capacità dei modelli generativi esistenti, ma di un cambiamento di paradigma che avvicina l’intelligenza artificiale al ruolo di vero e proprio operatore autonomo nel dominio cyber.
Mythos si distingue infatti per la sua natura agentica: non si limita ad analizzare codice o suggerire soluzioni, ma è in grado di comprendere architetture complesse, individuare vulnerabilità e orchestrare autonomamente sequenze di attacco articolate.
Come spiegato da Jim VandeHei e Mike Allen su Axios, “il modello può pianificare ed eseguire operazioni multi-step, adattarsi dinamicamente all’ambiente target e muoversi lateralmente tra sistemi compromessi”, replicando e in alcuni casi “superando le tecniche tipiche delle Advanced Persistent Threat”.
In questo senso, la distanza rispetto ai tradizionali strumenti di supporto alla sicurezza è netta: “non siamo più di fronte a un assistente, ma a un sistema capace di iniziativa operativa”, hanno precisato gli esperti.
Il test di laboratorio che ha messo paura ad Anthropic
Le preoccupazioni più rilevanti emergono dai test condotti internamente da Anthropic. Durante una fase di sperimentazione, Mythos è riuscito a eludere le restrizioni di un ambiente sandbox, cioè isolato e controllato, sviluppando un exploit multi-fase che gli ha consentito di accedere a risorse esterne non autorizzate.
L’episodio, reso noto dalla stessa azienda, evidenzia una capacità di ragionamento sistemico e di chaining (tecnica per insegnare sequenze complesse, suddividendole in piccole azioni semplici) delle vulnerabilità che va oltre quanto finora osservato nei modelli AI.
Ancora più significativo è il fatto che il sistema abbia agito con un certo grado di autonomia, senza un’esplicita istruzione a violare i vincoli imposti, anticipando implicitamente l’obiettivo di estendere il proprio raggio d’azione.
Una combinazione rischiosa di autonomia, capacità ed adattabilità
È proprio questa combinazione di autonomia, capacità di exploit e adattabilità a rendere Mythos di Anthropic una tecnologia potenzialmente critica per la sicurezza nazionale.
In uno scenario in cui attori statali o gruppi ostili potessero disporre di strumenti analoghi, la soglia tecnica necessaria per condurre operazioni cyber complesse si abbasserebbe drasticamente. Infrastrutture critiche, sistemi finanziari e supply chain digitali potrebbero diventare bersagli di attacchi su larga scala, orchestrati con una velocità e una precisione difficilmente contrastabili con gli strumenti tradizionali.
La dimensione del rischio è amplificata dalla capacità di questi sistemi di operare senza interruzioni e su molteplici target simultaneamente, introducendo una scala operativa che supera quella delle campagne APT (acronimo inglese di Advanced Persistent Threat, cioè attacchi informatici mirati, sofisticati e prolungati) finora conosciute.
Con le super AI difficile individuare gli attori di un cyber attacco
A ciò si aggiunge un ulteriore elemento di complessità: l’attribuzione. L’automazione avanzata rende ancora più difficile identificare con certezza gli autori di un attacco, complicando le dinamiche di risposta e deterrenza. In un contesto geopolitico già caratterizzato da tensioni crescenti nel cyberspazio, questa opacità rischia di aumentare l’instabilità e di ridurre l’efficacia delle tradizionali leve diplomatiche e militari.
Anche per il settore privato le implicazioni sono profonde e Anthropic ha compreso il livello di pericolosità. Le grandi imprese, in particolare quelle fortemente integrate in ecosistemi digitali globali, si trovano esposte a un rischio sistemico che va oltre il singolo incidente.
La possibilità che un sistema come Mythos possa individuare e sfruttare catene di vulnerabilità complesse apre scenari in cui attacchi mirati possono avere effetti a cascata lungo intere filiere tecnologiche. La sicurezza non è più solo una questione di protezione perimetrale o di gestione delle vulnerabilità note, ma diventa una sfida dinamica in cui l’avversario è in grado di apprendere, adattarsi e innovare in tempo reale.
Mythos sarà testata solo da 40 organizzazioni
In questo contesto si inserisce la decisione di Anthropic di limitare l’accesso a Mythos a circa quaranta organizzazioni selezionate, tra cui grandi operatori tecnologici, aziende di cybersecurity e soggetti coinvolti nella gestione di infrastrutture critiche.
L’obiettivo è duplice: da un lato testare il modello in ambienti altamente controllati, dall’altro consentire ai difensori di sviluppare contromisure prima che capacità analoghe si diffondano più ampiamente. Iniziative come quella di Anthropic chiamata Project Glasswing, che promuovono la condivisione delle conoscenze acquisite, si collocano in questa logica di “preparazione al peggio”.
Tra i partner selezionati figurano Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks.
A fare paura è la diffusione sempre più rapida (e incontrollata) di tecnologie come Mythos
Tuttavia, la questione centrale resta l’inevitabilità della diffusione. È improbabile che Mythos rimanga un caso isolato: altri attori industriali e statali stanno già lavorando a sistemi comparabili, e la competizione globale nel campo dell’intelligenza artificiale rende verosimile una rapida convergenza verso livelli di capacità simili. Questo riduce drasticamente la finestra temporale a disposizione per costruire difese adeguate.
Ogni vantaggio tecnologico, in questo senso e in questo caso per gli Stati Uniti, ha vita breve, è solo temporaneo.
Mythos segna dunque l’ingresso in una nuova fase, in cui la cybersecurity tradizionale appare sempre meno sufficiente. La prospettiva è quella di un confronto tra sistemi automatizzati, in cui la difesa dovrà necessariamente evolvere verso modelli basati a loro volta su intelligenza artificiale avanzata.
In questo scenario, la sicurezza delle infrastrutture digitali diventa inseparabile dalla governance dell’AI, trasformandosi in una questione di rilevanza strategica per Stati e imprese. Il punto non è più se queste tecnologie verranno utilizzate in contesti offensivi, ma quando e con quali conseguenze.
In prospettiva, non saranno solo le grandi potenze a poter sfruttare queste capacità, ma anche attori più piccoli o gruppi non statali, con effetti destabilizzanti più ampi.
Leggi le altre notizie sull’home page di Key4biz
https://www.key4biz.it/anthropic-rilascia-mythos-la-super-ai-che-mette-in-crisi-la-cyber-sicurezza-di-imprese-e-nazioni/568805/