Hai paura di aprire il vaso di Pandora? Il modello più potente mai realizzato da Anthropic non osa essere reso pubblico

Il codice sorgente di OpenBSD presenta una vulnerabilità risalente a 27 anni fa. In FFmpeg è presente una vulnerabilità risalente a 16 anni fa; quel segmento di codice è stato eseguito oltre 5 milioni di volte prima di essere scoperto. Chi ha scoperto queste due vulnerabilità non era né uno dei migliori ricercatori di una piattaforma di bug bounty, né il Google Project Zero. Si trattava di Anthropic, un modello non ancora reso pubblico, il cui nome in codice era Claude Mythos Preview.

Il 7 aprile, Anthropic ha annunciato il Progetto Glasswing. L'operazione in sé era semplice: condividere Mythos Preview con una lista di utenti autorizzati. L'elenco comprendeva AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, Linux Foundation, Palo Alto Networks, oltre a circa 40 enti responsabili di infrastrutture critiche. Chi non figurava nell'elenco non poteva accedervi. Anthropic ha dichiarato esplicitamente che non intende rendere pubblico questo modello nel breve termine.

È la prima volta che questo laboratorio all’avanguardia ha deciso di mettere al sicuro in modo proattivo la sua risorsa più preziosa.

Negli ultimi due anni, il ritmo delle uscite è stato quasi automatico. Ogni nuova generazione di GPT, Gemini e Claude ha seguito uno schema del tipo «lancio, osservazione, aggiornamento». La "Responsible Scaling Policy" (RSP) di Anthropic è essenzialmente un quadro di riferimento per gli impegni: una volta raggiunta una determinata soglia di capacità, si implementano le misure di mitigazione corrispondenti e poi si prosegue con il rilascio. Glasswing non rappresenta il passo successivo in questo contesto, bensì la prima eccezione. Un modello che la stessa Anthropic ha giudicato «non idoneo alla pubblicazione secondo la procedura originale» è stato selezionato e fornito esclusivamente ai custodi.

Quali risultati ha ottenuto Mythos Preview? Il comunicato ufficiale parla di «migliaia di vulnerabilità zero-day, che interessano tutti i principali sistemi operativi e browser». Più che i numeri, è l'ampiezza delle funzionalità a essere significativa. Claude 4.6 Opus ha registrato un tasso di successo prossimo allo zero in attività quali l'individuazione autonoma delle vulnerabilità. In altre parole, solo sei mesi fa, il modello pubblico più potente di Anthropic non era affatto in grado di farlo. Mythos è in grado di concatenare diverse vulnerabilità non correlate tra loro in una catena di attacco completa; un esempio comprovato è rappresentato da un exploit del browser in quattro fasi. Passare da «quasi zero» a una «catena di quattro vulnerabilità» non è un progresso graduale tra generazioni, ma un salto di qualità.

I responsabili della manutenzione se ne sono già resi conto. Sia Greg Kroah-Hartman, del kernel Linux, sia Daniel Stenberg, autore di curl, hanno recentemente affermato la stessa cosa: nell'ultimo anno, i rapporti sulla sicurezza generati dall'intelligenza artificiale sono passati dall'essere "spam" a diventare contenuti "reali, di alta qualità e da non perdere". Il numero di segnalazioni ricevute dai progetti open source è in aumento, così come la loro qualità, mentre il numero di manodopera a disposizione dei manutentori rimane invariato. È una questione con cui la difesa si confronta da tempo. Le azioni di Anthropic hanno semplicemente portato questa questione, che prima era solo una vaga preoccupazione, alla ribalta.

Vale la pena dare un'occhiata alla lista bianca stessa. L'elenco comprende i tre principali fornitori di servizi cloud (AWS, Google, Microsoft), tre aziende produttrici di hardware (Apple, NVIDIA, Broadcom), due produttori di apparecchiature di rete (Cisco, Palo Alto Networks), un'azienda specializzata nella sicurezza degli endpoint (CrowdStrike), un'organizzazione che si occupa di infrastrutture open source (Linux Foundation) e una banca. Nell'elenco figura una sola banca, ovvero JPMorgan Chase.

Non si tratta di un'assegnazione casuale degli slot. Anthropic ha tracciato una mappa del tipo «se questi crollano, crollerà il cielo». La stragrande maggioranza del codice informatico mondiale gira sulle piattaforme di queste aziende, e la stragrande maggioranza del denaro mondiale passa attraverso una di esse. La logica alla base della lista bianca non è "chi ne ha più bisogno", ma "chi, se dovesse fallire, avrebbe un impatto immediato su tutti". Oltre a quanto indicato nell'elenco, Anthropic ha stanziato altri 4 milioni di dollari a favore di organizzazioni che si occupano di sicurezza open source. I fondi garantiscono le risorse umane, il modello garantisce le capacità e, insieme, si traducono in una cosa sola: concedere ai manutentori qualche mese di tempo.

La formulazione utilizzata da Anthropic è più diretta rispetto alla whitelist. Nella sua dichiarazione, l'azienda afferma: «Considerato il ritmo con cui si evolve l'intelligenza artificiale, questo tipo di capacità non rimarrà a lungo nelle mani di chi si occupa dell'implementazione dei sistemi di sicurezza». Segue poi una frase che recita: «La difesa dell'infrastruttura di rete globale potrebbe richiedere diversi anni».

Mettendo insieme queste due affermazioni, Anthropic conclude che il lasso di tempo a disposizione prima che il modello venga divulgato o replicato è breve, mentre quello a disposizione dei difensori per correggere le vulnerabilità è lungo. Il senso stesso di Glasswing risiede proprio in queste due discrepanze temporali. Con una prima mossa ben ponderata, si risparmiano da qualche mese a un anno di lavoro di sistemazione.

In questa vicenda c'è anche una dimensione legata a Washington. Anthropic sta conducendo un dialogo costante con il governo degli Stati Uniti in merito alle funzionalità di Mythos Preview. Allo stesso tempo, l'azienda ha una controversia irrisolta con gli Stati Uniti. Dipartimento della Difesa in merito all'ambito di applicazione dell'intelligenza artificiale in ambito militare. Da un lato, l'azienda si rifiuta di utilizzare il modello per determinati scopi militari, mentre dall'altro lo condivide attivamente con la Linux Foundation e il team di sicurezza di Apple. Queste due azioni non sono in contraddizione tra loro, ma rappresentano i due aspetti dello stesso giudizio. Anthropic sta definendo "a cosa può servire questo modello" anziché lasciare tale definizione agli utenti.

La cosa più insolita di Glasswing non è ciò che ha fatto, ma quando lo ha fatto. In passato, le aziende che si occupano di intelligenza artificiale hanno dato prova di sé attraverso i propri lanci. Ora, Anthropic ha deciso di mettersi alla prova attraverso la "non pubblicazione". Un laboratorio all'avanguardia tiene segretamente nascosto il suo prodotto più potente, non per ragioni commerciali, non perché non sia ancora pronto, né per requisiti normativi, ma perché ha calcolato che il calendario delle versioni aperte non riesce a stare al passo con quello delle versioni definitive.

Ciò su cui prestare attenzione nei prossimi mesi non è tanto la Mythos Preview in sé, quanto piuttosto il numero di vulnerabilità che verranno risolte dalle circa 50 istituzioni presenti nella whitelist che l'hanno eseguita. La prossima cosa da vedere è se altri laboratori all'avanguardia seguiranno l'esempio. Se lo facessero, un settore che opera secondo un ritmo "aperto, iterativo, aperto" avrebbe assistito alla sua prima mossa del tipo "chiudiamola a chiave e poi vedremo". Se non lo faranno, sarà Anthropic a presentarsi alla porta. Con la chiave in mano, guardando l'orologio.