Claude Mythos Preview, quando l’IA fa paura ai governi
Claude Mythos Preview scopre vulnerabilità zero-day nei sistemi meglio degli esperti. Un’IA rivoluzionaria per la cybersecurity, che però potrebbe essere un problema (anche) per i governi.
Un’intelligenza artificiale in grado di individuare bug invisibili anche all’occhio umano. È questa la caratteristica principale di Claude Mythos Preview, l’ultima innovazione firmata Anthropic. Un modello che potrebbe trasformare radicalmente il modo in cui proteggiamo i software dagli attacchi informatici, e che per questo potrebbe rappresentare un problema per i governi, soprattutto in chiave geopolitica.
Vediamo intanto come funziona il nuovo Claude, e perché potrebbe essere motivo di preoccupazione per i governi.
Cos’è e come funziona Claude Mythos Preview
Tra i modelli più recenti della famiglia Claude, Mythos Preview si distingue in modo particolare per le sue capacità nel campo della cybersecurity. Durante i test interni condotti da Anthropic, il modello è stato in grado di individuare vulnerabilità zero-day, ovvero falle ancora sconosciute agli sviluppatori, nei principali sistemi operativi e browser.
E non si parla di semplici bug. “Molti di loro sono dieci o venti anni“, scrivono i ricercatori della società sul loro blog tecnico, “con il più vecchio che abbiamo trovato finora essere un ora rattoppato 27enne bug nel sistema operativo OpenBSD, noto principalmente per la sua sicurezza“.
Oltre alla capacità di individuare falle, Mythos mostra anche prestazioni superiori rispetto ai modelli precedenti. Nei test comparativi con Opus 4.6, ad esempio, quando entrambi sono stati messi alla prova nella trasformazione di vulnerabilità del motore JavaScript di Mozilla Firefox in exploit funzionanti, Opus 4.6 è riuscito a generare exploit utilizzabili (ovvero un codice capace di sfruttare attivamente il bug) solo in 2 casi su centinaia di tentativi, mentre Mythos ha prodotto codice funzionante in 181 occasioni, riuscendo in alcuni casi persino a ottenere il controllo del registro di sistema.
Il divario tra i due modelli è abissale, e così anche rispetto alle competenze tipiche di specialisti della sicurezza informatica, non solo nel settore privato ma anche in quello pubblico: e proprio per questo potrebbe essere un problema per i governi di tutto il mondo.
Perché l’IA potrebbe essere un rischio per i governi
Ci si dovrebbe rallegrare del fatto che un’IA possa supportare gli esperti di cybersecurity nell’individuazione di falle che, altrimenti, potrebbero restare nascoste per anni e venire sfruttate da hacker o gruppi organizzati. È senza dubbio un’innovazione rilevante, ma come sempre a incutere timore non è tanto la tecnologia in sé, quanto l’uso che se ne può fare e da chi la controlla.
Parliamo di un’intelligenza artificiale che interviene direttamente sulla sicurezza del software. È abbastanza evidente che non siamo più nell’ambito della semplice innovazione tecnologica, ma dentro il perimetro della sicurezza nazionale, visto che ogni infrastruttura critica è digitale: reti elettriche, ospedali, sistemi finanziari, trasporti, pubblica amministrazione.
Tutti settori potenzialmente esposti in caso di conflitto e, proprio per questo, strategici. Non a caso, il nodo è (soprattutto) geopolitico. In teoria, strumenti come Mythos potrebbero essere utilizzati sia in chiave difensiva, per rafforzare le infrastrutture e prevenire attacchi, sia in chiave offensiva, per sviluppare exploit funzionanti o individuare vulnerabilità prima che vengano corrette. Un aspetto non secondario, se si considera che alcuni governi, tra cui quello statunitense, da anni mantengono riserve di “zero day” da utilizzare in ambito strategico.
Va detto però che come visione è abbastanza pessimista, e per certi versi opposta a quella della stessa Anthropic. Nel blog la società sostiene che in futuro i modelli IA invece “andranno a beneficio dei difensori più che degli attaccanti, aumentando la sicurezza complessiva dell’ecosistema software“. Vero però che al momento ci troviamo in una fase di transizione molto delicata, che richiede comunque particolare attenzione. Non è un caso infatti che Mythos (almeno per il momento) non sarà disponibile pubblicamente.
FAQ
È un modello IA di Anthropic "specializzato" in cybersecurity, capace di individuare vulnerabilità e bug, inclusi zero-day, nei principali sistemi e browser.
Sì: nei test Mythos ha generato exploit funzionanti molte più volte rispetto a Opus 4.6, dimostrando prestazioni nettamente superiori.
Perché può trovare e trasformare vulnerabilità in exploit funzionanti, mettendo a rischio infrastrutture critiche e non solo.
Al momento Anthropic ha deciso di non renderlo pubblicamente disponibile.
