Caso Mythos: l'AI che trova zero-day in autonomia, il leak su Discord e la nuova economia delle vulnerabilità - Claude Mythos trova zero-day in autonomia, leak su Discord e nuove pressioni NIS2-CRA-DORA: cosa cambia per CISO italiani dopo Project Glasswing.

Caso Mythos: l’AI che trova zero-day in autonomia, il leak su Discord e la nuova economia delle vulnerabilità

A cura di:Redazione Ore

Il 7 aprile 2026 Anthropic ha annunciato Claude Mythos Preview, un modello che individua in autonomia zero-day in ogni principale sistema operativo e browser. Due settimane dopo, Bloomberg ha rivelato che un gruppo Discord aveva avuto accesso al modello fin dal giorno del lancio. Tra hype, fact-checking indipendente e l’allarme di CERT-EU, il caso ridefinisce in poche settimane il rapporto tra capacità AI offensive, disclosure coordinata e obblighi NIS2, CRA e DORA.

Una settimana che ha cambiato il vocabolario della sicurezza

Nicholas Carlini, ricercatore di Anthropic noto per i suoi lavori sulla robustezza dei modelli, lo ha riassunto così durante il briefing di lancio: in poche settimane ha trovato più bug di quanti ne avesse scovati in tutta la carriera precedente. La frase, rilanciata dal blog di Simon Willison, cattura meglio di qualunque comunicato l’umore della comunità di ricerca dopo il 7 aprile 2026.

Quel giorno Anthropic ha pubblicato un System Card di 244 pagine per Claude Mythos Preview e, contestualmente, ha annunciato di non rendere il modello pubblicamente disponibile. È la prima volta che un laboratorio di frontiera documenta in modo esaustivo un modello dichiarando subito dopo che non lo rilascerà. Il gesto vale già come notizia.

Le ragioni sono nel post tecnico del Frontier Red Team, e non lasciano molto spazio all’ambiguità. Durante i test, Mythos Preview ha individuato e in molti casi sfruttato in autonomia zero-day in tutti i principali sistemi operativi e browser. Tra le scoperte ci sono un bug rimasto nascosto per 27 anni in OpenBSD, una falla di 16 anni in FFmpeg e una vulnerabilità di memoria in un virtual machine monitor scritto in linguaggio memory-safe.

Il caso più documentato è CVE-2026-4747, una RCE di 17 anni nell’implementazione NFS di FreeBSD. Mythos l’ha identificata, ha costruito una catena ROP da 20 gadget distribuita su più pacchetti, e ha dimostrato che un attaccante non autenticato, da qualunque punto di Internet, può ottenere root sul bersaglio. Senza intervento umano dopo il prompt iniziale.

I numeri che misurano la portata

Anthropic non ha rilasciato un conteggio totale delle vulnerabilità individuate, ma ha quantificato il salto di capacità con benchmark riproducibili. Sul motore JavaScript di Firefox 147, Claude Opus 4.6 era riuscito a sviluppare exploit funzionanti due volte su diverse centinaia di tentativi. Mythos Preview ne ha prodotti 181, conquistando il controllo dei registri in altri 29 casi. Sul benchmark CyberGym il punteggio è salito dal 66,6% all’83,1%.

Più delle percentuali conta però la trasformazione qualitativa. Help Net Security la sintetizza in una frase: il divario fra individuare un bug e costruire un exploit funzionante, da sempre il principale freno per gli attaccanti, si è ridotto drasticamente. Un esempio per tutti: partendo da un identificativo CVE e dall’hash di un commit, Mythos ha completato lo sviluppo di un exploit funzionante in meno di un giorno e con un costo inferiore a 2.000 dollari.

Il punto, lo precisa la stessa Anthropic nella pagina ufficiale di Project Glasswing, è che Mythos non è un modello fine-tuned per la sicurezza offensiva. Le sue capacità sono emerse come effetto collaterale di un avanzamento generale in coding, ragionamento e autonomia. Il miglioramento che lo rende più efficace nel patching lo rende, simmetricamente, più efficace nell’exploitation.

Project Glasswing: dodici partner e una corsa contro il tempo

La risposta operativa era pronta prima dell’annuncio. Project Glasswing, presentato lo stesso 7 aprile, riunisce dodici organizzazioni partner fondatrici (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, oltre ad Anthropic stessa) e un secondo cerchio di oltre quaranta enti che mantengono software critico. Vale 100 milioni di dollari in usage credit per Mythos Preview e 4 milioni in donazioni dirette a organizzazioni di sicurezza open source, di cui 2,5 milioni ad Alpha-Omega e OpenSSF tramite la Linux Foundation, e 1,5 milioni alla Apache Software Foundation.

L’obiettivo è semplice quanto ambizioso: usare Mythos in modalità difensiva, con disclosure coordinata, per mettere in sicurezza i sistemi più diffusi prima che capacità simili compaiano in modelli meno controllati. Logan Graham, responsabile del Frontier Red Team di Anthropic, ha stimato che modelli comparabili emergeranno nei laboratori concorrenti tra sei e diciotto mesi.

Wendi Whitmore, Chief Security Intelligence Officer di Palo Alto Networks e tra i firmatari più visibili del programma, accorcia ulteriormente la finestra. In un post pubblicato dopo il lancio avverte che il tempo è diventato la variabile dominante del rischio, e che la domanda chiave non è più “possiamo fermare l’attacco?” ma “possiamo continuare a operare durante l’attacco?”. Il framing, ripreso anche in un’intervista ad AI Magazine, è quello di chi gestisce incidenti per mestiere e sa già che la prima domanda è persa in partenza.

Il leak di Discord: lo scenario che Anthropic temeva

Quattordici giorni dopo Glasswing arriva la notizia che Anthropic non avrebbe voluto leggere. Bloomberg rivela il 21 aprile che un piccolo gruppo riunito in un canale Discord privato dedicato a modelli AI non rilasciati ha avuto accesso a Mythos Preview lo stesso giorno del lancio. E ha continuato a usarlo per settimane.

A bruciare non è la sofisticazione dell’attacco. Secondo le ricostruzioni di Tech Brew e Fortune, gli utenti hanno indovinato l’URL di accesso al modello sfruttando le convenzioni di naming usate da Anthropic in passato, incrociandole con informazioni emerse da una precedente fuga di dati di Mercor, una startup di training. Uno dei membri del gruppo, peraltro, era contractor di un fornitore terzo con accesso legittimo. Bloomberg riferisce che il gruppo ha usato il modello per costruire siti web, non per attività offensive. Ma il punto strutturale rimane: il perimetro di Glasswing non era impermeabile.

TechCrunch ha ottenuto la dichiarazione ufficiale di un portavoce: Anthropic sta indagando sull’accesso non autorizzato avvenuto in un ambiente di terze parti, e finora non risulta alcun impatto sui sistemi interni. Tra il 22 e il 23 aprile, una falsa rivendicazione attribuita a ShinyHunters viene smontata da ricercatori indipendenti, come racconta Cybernews: le schermate diffuse su Telegram apparivano AI-generate, prive di qualunque elemento verificabile.

David Lindner, CISO di Contrast Security con venticinque anni di mestiere alle spalle, ha tradotto in chiaro il significato dell’episodio in un’intervista a Fortune. Se un forum Discord casuale è arrivato a Mythos in poche ore, l’ipotesi più realistica è che attori statali ostili – primo fra tutti la Cina, secondo le sue parole testuali – siano già allo stesso punto, e che entro cinque-sei mesi una versione comparabile sarà nelle mani di concorrenti statali, con una variante open-source attesa entro un anno o due.

Il fact-checking dei numeri: VulnCheck e AISLE

Il rigore impone di guardare anche oltre il comunicato. Patrick Garrity, ricercatore di VulnCheck citato da CSO Online, ha analizzato il database CVE pubblico per stabilire quante delle migliaia di vulnerabilità annunciate fossero effettivamente attribuibili a Glasswing. Il risultato è impietoso: a oggi un solo CVE è esplicitamente attribuito al programma, ed è proprio CVE-2026-4747 di FreeBSD. Altri 40 CVE risultano riconducibili in senso lato a ricercatori di Anthropic, distribuiti su Firefox (28), wolfSSL (9), NGINX Plus, FreeBSD e OpenSSL. Il report consolidato è atteso per l’inizio di luglio 2026.

The Register ha rilanciato la stessa analisi notando che la maggior parte delle scoperte resta sotto embargo in attesa delle patch, ma la trasparenza nel conteggio sarà uno dei test su cui il programma verrà giudicato.

Una contestazione tecnica più fine arriva da Stanislav Fort, fondatore di AISLE, in un post di analisi pubblicato dopo l’annuncio. Il suo team ha replicato gli scenari mostrati da Anthropic con modelli open-weight molto più piccoli. Otto modelli su otto hanno individuato la vulnerabilità FreeBSD nello scenario isolato; uno da 3,6 miliardi di parametri attivi, al costo di 11 centesimi per milione di token, l’ha classificata come critica con potenziale di RCE. La conclusione di Fort è netta: la vulnerability discovery è già ampiamente accessibile, mentre la frontiera distintiva di Mythos è l’exploitation autonoma e la concatenazione di vulnerabilità.

Il quadro complessivo, anche nella lettura più rigorosa, è quello di una capacità reale ma non monolitica. Una parte del valore di Mythos si sta già diffondendo nei modelli aperti. Il vantaggio temporale dei difensori va misurato in mesi, non in anni.

La risposta istituzionale europea: CERT-EU prende posizione

La reazione statunitense ha viaggiato sui canali politici. Dario Amodei ha incontrato il Treasury Secretary Scott Bessent e la Chief of Staff della Casa Bianca Susie Wiles, come riferito da Axios e altri organi di stampa, mentre CISA e parti della comunità di intelligence stavano già testando il modello prima del lancio. La risposta europea è arrivata invece da una fonte tecnica di alto profilo. CERT-EU, il computer emergency response team per le istituzioni dell’Unione, ha pubblicato una presa di posizione formale che ricostruisce l’evento e indica azioni concrete per gli enti dell’Unione.

Il passaggio più chiaro letto finora sul mutamento in corso è proprio in quel documento. L’AI ha cambiato l’economia della vulnerability discovery: capacità che fino a pochi anni fa richiedevano risorse statali e mesi di lavoro specialistico saranno presto alla portata di una platea molto più ampia di attori. Il documento richiama anche GPT-5.4-Cyber, la variante di OpenAI specializzata in cybersecurity distribuita attraverso il programma Trusted Access for Cyber, e indica una valutazione congiunta con ENISA nel quadro della cooperazione strutturata.

Gli otto pilastri raccomandati spaziano dalla riduzione della superficie di attacco all’igiene rigorosa, dall’adozione responsabile dell’AI nella security testing al rafforzamento di detection e response, fino all’accelerazione del modello zero-trust, alla costruzione di team cross-funzionali, all’allineamento ai framework emergenti e all’iterazione continua. Per le organizzazioni italiane il riferimento normativo immediato è duplice: il Regolamento (UE, Euratom) 2023/2841 per le entità dell’Unione e il quadro NIS2 recepito a livello nazionale.

Il triangolo NIS2, CRA e DORA: il vero collo di bottiglia

È qui che Mythos smette di essere una curiosità tecnologica e diventa un problema operativo concreto per ogni CISO europeo. Una singola vulnerabilità con prove di exploitation può far scattare contemporaneamente tre regimi di reporting: NIS2, Cyber Resilience Act e DORA. La documentazione di D3 Security lo esemplifica con il caso di una falla nello stack di autenticazione di un’applicazione bancaria: 72 ore per la notifica significativa NIS2 (con un early warning entro 24 ore), 24 ore per la segnalazione anticipata del produttore secondo il CRA, quattro ore per il report iniziale DORA verso l’autorità finanziaria competente nei casi di maggiore gravità.

Il volume di scoperte AI-driven, rilevano gli analisti, è incompatibile con i tempi del triage manuale. Un SOC che processa a mano migliaia di finding accumula un arretrato di tre o sei mesi, ma il primo termine regolamentare scade in poche ore. Non è una questione di qualità delle persone: è la cadenza fisiologica del lavoro umano applicata a un volume che il framework regolatorio non aveva immaginato.

A questo si somma un dato che la Cloud Security Alliance cita nel paper dedicato a Mythos: oltre il 99% delle vulnerabilità identificate dal modello durante la valutazione resta non patchata. Non è un giudizio sulla diligenza dei vendor. È la fotografia della capacità di assorbimento dell’infrastruttura globale di disclosure, calibrata su decine di report a settimana e improvvisamente esposta a migliaia.

Sul versante AI Act, il framework FAICP e i lavori già pubblicati da ENISA sul threat landscape dell’AI offrono una griglia per inquadrare i sistemi AI usati in cybersecurity. Ma la natura dual-use delle capacità descritte da Mythos apre domande nuove sulla classificazione di rischio e sulla supply chain dei modelli stessi.

Mythos non è solo una proiezione futura

Un passaggio del CrowdStrike 2026 Global Threat Report, pubblicato il 24 febbraio 2026 e quindi prima dell’annuncio di Glasswing, sposta la prospettiva dell’intera vicenda. Nella sezione dedicata alle minacce AI, gli analisti di CrowdStrike Intelligence riferiscono di aver osservato attori malevoli che hanno già eseguito operazioni con AI agentica attraverso Claude Code Model Context Protocol, strumenti progettati per richiedere una supervisione umana minima. L’adozione, precisa il report, non è ancora su larga scala. Ma usi simili potrebbero alterare in modo sostanziale i pattern operativi, la scala dell’attività e la velocità degli attacchi.

Lo stesso documento descrive due episodi del 2025 che illustrano il fenomeno. Ad agosto un attore non identificato ha caricato pacchetti malevoli del sistema di build Nx sul Node Package Manager: il codice JavaScript inserito utilizzava gli strumenti CLI di Claude e Gemini installati sui sistemi delle vittime per generare comandi di furto di credenziali e cripto-asset. CrowdStrike Services e CrowdStrike OverWatch hanno risposto a oltre 90 clienti coinvolti. In un secondo caso (novembre 2025, attacco supply chain ShaiHulud su 690 pacchetti npm), un attaccante ha tentato di invocare il modello anthropic.claude-3 da credenziali rubate, distribuendo i tentativi su sette regioni cloud distinte.

Il caso Mythos esce così dalla cornice dello scenario futuribile per inserirsi in un fenomeno già parzialmente documentato. Una delle aziende fondatrici di Project Glasswing, da posizione privilegiata, registra che attori malevoli stanno già sperimentando Claude in modalità agentica, anche se non ancora con le capacità di Mythos. Il senso del programma diventa allora più chiaro: non si tratta di prevenire un futuro ipotetico, ma di costruire un perimetro difensivo prima che le capacità Mythos-class si diffondano in modelli meno controllati.

Cosa significa per il mercato italiano

Il caso Mythos lascia tre scie operative sul tavolo di ogni CISO italiano.

La prima è l’asimmetria temporale. L’analisi di VentureBeat, basata su una conversazione con Anthony Grieco, SVP e Chief Security and Trust Officer di Cisco, individua nella velocità il discrimine reale tra attaccanti e difensori. I numeri delle fonti primarie del settore confermano l’urgenza. Il CrowdStrike 2026 Global Threat Report registra un breakout time medio nell’eCrime sceso a 29 minuti nel 2025, con una riduzione di circa il 70% sulla finestra 2021-2025 e un breakout più rapido mai osservato di 27 secondi.

In un caso del report, l’attore CHATTY SPIDER ha avviato l’esfiltrazione dati a quattro minuti dall’accesso iniziale presso uno studio legale statunitense. Sul fronte zero-day, lo sfruttamento prima della disclosure pubblica è aumentato del 42% anno su anno, mentre l’82% delle rilevazioni nel 2025 è stato malware-free, contro il 51% del 2020. Gli attacchi non passano più da artefatti malevoli da intercettare. Passano da credenziali valide e strumenti amministrativi nativi.

Sul fronte parallelo del cybercrime, Mandiant M-Trends 2026 misura il collasso della finestra difensiva. Il tempo mediano tra accesso iniziale e passaggio di consegne a un gruppo secondario, oltre otto ore nel 2022, nel 2025 si è ridotto a 22 secondi. Lo stesso report segnala un dato apparentemente in controtendenza: il dwell time globale mediano è cresciuto da 11 a 14 giorni.

La spiegazione è nella persistenza prolungata dei gruppi di cyber espionage e degli operativi IT nordcoreani, con una mediana di 122 giorni per queste categorie. Mandiant conferma poi il ruolo degli exploit come vettore di accesso iniziale più frequente per il sesto anno consecutivo, al 32% del totale, mentre il voice phishing è salito all’11% diventando il secondo vettore più osservato (con un parallelo declino dell’email phishing dal 14% del 2024 al 6% del 2025).

La seconda scia tocca la disclosure pipeline. Le aziende italiane che producono software con elementi digitali ricadono sotto CRA, che impone notifica anticipata a ENISA entro 24 ore per vulnerabilità attivamente sfruttate. Le entità essenziali sotto NIS2 hanno 24 ore per l’early warning e 72 ore per la notifica significativa. Le entità finanziarie hanno tempi DORA ancora più stringenti. Costruire una pipeline interna capace di ingerire un volume AI-scale di finding e produrre output regolamentari multipli da un singolo input non è più una raccomandazione. È un requisito.

La terza scia riguarda la supply chain del software open source. La maggior parte dei bug più sensazionali individuati da Mythos vive in codice open source di uso ubiquitario, da OpenBSD a FFmpeg, da wolfSSL ai virtual machine monitor. Le aziende italiane che integrano queste librerie devono predisporre già da ora processi di SBOM aggiornati e routine di patching capaci di assorbire l’ondata estiva di patch attesa per luglio 2026, quando Anthropic pubblicherà il report consolidato del programma.

La domanda che resta

Una questione attraversa l’intero caso, e né Project Glasswing né i programmi paralleli di OpenAI riusciranno a chiuderla da soli: chi decide quali capacità AI di sicurezza offensiva possono circolare, secondo quali criteri, con quale supervisione pubblica?

Naveen Krishnan, Belfer Young Leaders fellow al Belfer Center di Harvard, ha scritto su War on the Rocks che Mythos rappresenta nel suo dominio un momento storico paragonabile al passaggio del Progetto Manhattan: una capacità con effetti sistemici che i suoi creatori potrebbero non riuscire a controllare interamente. Il paragone è enfatico, l’osservazione di policy che lo accompagna è solida. Oggi non esiste alcun meccanismo annunciato dal governo statunitense per cui un’azienda municipale dell’acqua o una rete ospedaliera regionale possa accedere a strumenti di scansione di livello Mythos. In Europa, la cooperazione tra CERT-EU ed ENISA è il primo segnale di una risposta strutturata.

Sam Altman, in una battuta resa pubblica sul podcast Core Memory di Ashlee Vance e poi rilanciata da TechCrunch e Fortune, ha definito la presentazione di Mythos “fear-based marketing”. La battuta coglie un elemento di verità: la narrativa Anthropic ha amplificato l’evento. Ma anche se solo metà di ciò che il System Card descrive corrisponde alla pratica reale, il vocabolario della cybersecurity ha appena cambiato di un ordine di grandezza la sua scala temporale.

I prossimi tre mesi, fino al report pubblico di luglio, diranno se l’industria europea ha la pipeline regolamentare, organizzativa e culturale per stare al passo. Per il settore italiano, Glasswing è un’anticipazione del decennio che ci aspetta.

Condividi sui Social Network:

Ultimi Articoli