Un funzionario statunitense ha confermato che il modello AI Mythos di Anthropic ha identificato vulnerabilità in sistemi informatici classificati del governo federale durante un test condotto in poche ore. La notizia emerge mentre l'amministrazione Trump cerca di restringerne l'accesso con export controls e oltre cento esperti del settore contestano quella stessa restrizione. Il paradosso è evidente: lo strumento che le agenzie di intelligence testano per scoprire falle difensive è quello che il governo vuole blindare.
- Un funzionario US anonimo ha confermato che Mythos ha identificato vulnerabilità in sistemi classificati durante un test del Project Glasswing in poche ore, specificando che ciò non equivale a exploitation dimostrata nel medesimo arco temporale.
- Il senatore Mark Warner ha citato il generale Joshua Rudd (NSA/U.S. Cyber Command): "Questo strumento è entrato in quasi tutti i nostri sistemi classificati, non in settimane ma in ore".
- Il technical assessment di Anthropic documenta capacità concrete: 181 exploit working prodotti da Mythos Preview contro 2 di Opus 4.6 sulle stesse vulnerabilità, con CVE-2026-4747 sfruttata autonomamente in FreeBSD.
- L'amministrazione Trump ha emesso una direttiva per bloccare l'accesso a Fable 5 e Mythos 5 per cittadini stranieri; Anthropic ha disabilitato i modelli per tutti i clienti, scatenando l'opposizione di oltre 100 esperti tra cui figure di Adobe e Nvidia.
Il test in classified systems: cosa confermano le fonti
Il claim centrale arriva da una dichiarazione anonima di un funzionario statunitense riportata da Associated Press e pubblicata su SecurityWeek: il modello Mythos ha "identified vulnerabilities in highly sensitive and secure U.S. government computer systems during a testing exercise" condotto nell'ambito di Project Glasswing. Il testing, secondo la stessa fonte, ha permesso di individuare "certe vulnerabilità" in un arco temporale di ore. Il caveat è preciso e vincolante: "that does not mean the model was able to exploit them within that time".
Parallelamente, il senatore Mark Warner ha riferito al Senato, in audizione l'11 giugno 2026, una dichiarazione del generale Joshua Rudd, a capo di NSA e U.S. Cyber Command. Secondo Warner, Rudd avrebbe detto che il modello "broke into almost all of our classified systems, not in weeks but in hours". La distanza tra "broke into" e l'identificazione di vulnerabilità non ancora sfruttate è il punto di frizione tra le due versioni: il linguaggio del senatore amplifica il risultato, il funzionario anonimo ne circoscrive la portata operativa.
NSA e Anthropic hanno rifiutato di commentare. Questo silenzio ufficiale lascia irrisolto il livello effettivo di compromissione raggiunto nei test.
Le capacità tecniche documentate da Anthropic
Il technical assessment pubblicato dal team sicurezza di Anthropic in aprile 2026 fornisce la base concreta per valutare il plausibilità del claim. Mythos Preview ha prodotto exploit working su 181 tentativi, contro i 2 di Opus 4.6, sul medesimo set di vulnerabilità nel JavaScript engine di Firefox 147. Il modello ha identificato e sfruttato autonomamente CVE-2026-4747, una RCE diciassettenne nel server NFS di FreeBSD, senza intervento umano successivo al prompt iniziale.
I costi sono altrettanto rilevanti per la lettura strategica. La scoperta della vulnerabilità OpenBSD TCP SACK DoS di ventisette anni è costata meno di 20.000 dollari per circa mille run dello scaffold agentico. Una privilege escalation nel kernel Linux con bypass KASLR è stata completata in meno di un giorno per meno di 2.000 dollari. La concordanza nel rating di severità tra Mythos Preview e security contractor professionisti è dell'89% su 198 finding.
Il team di Anthropic sottolinea un punto critico: "We did not explicitly train Mythos Preview to have these capabilities. Rather, they emerged as a downstream consequence of general improvements in code, reasoning, and autonomy". Questo significa che le capacità offensive non sono state progettate come obiettivo, ma sono emerse da miglioramenti general-purpose del modello.
Il paradosso delle export controls di Trump
L'amministrazione Trump ha emesso una direttiva per impedire ai cittadini stranieri di usare Fable 5 e Mythos 5. Anthropic ha risposto disabilitando i modelli per tutti i clienti, non solo per quelli esteri. La reazione del settore è stata immediata: oltre cento esperti di cybersecurity, tra cui figure di Adobe e Nvidia, hanno firmato una lettera aperta che chiede la revoca della direttiva.
La formulazione della lettera è misurata e rilevante per la calibrazione del claim: i modelli Mythos sono "quite good at finding flaws in software and weaponizing exploits — but they are not uniquely good at these tasks". Gli esperti, in altre parole, contestano sia l'efficacia del blocco (il know-how esiste altrove) sia la sua costruzione giuridica. La tensione politica è tra chi vuole mantenere capacità difensive competitive attraverso l'accesso ai modelli più avanzati e chi teme la proliferazione di strumenti di attacco.
Il dossier non specifica se la versione Mythos testata nei classified systems corrisponda esattamente a quella denominata "Mythos 5" nella direttiva Trump. Questa ambiguità sul versioning è un limite per la ricostruzione completa della catena decisionale.
"This tool broke into almost all of our classified systems, not in weeks but in hours"
— Sen. Mark Warner (D-VA), citando Gen. Joshua Rudd, NSA/U.S. Cyber Command, audizione Senato 11 giugno 2026
Perché è importante
Il dossier non specifica quanti sistemi classificati siano stati testati né quali agenzie intelligence abbiano partecipato oltre NSA e Cyber Command. Non emergono dettagli sul formato del test (red team, blue team o altro), né sullo stato di eventuali patch. Il numero esatto di vulnerabilità identificate nei classified systems non è quantificato, e il ruolo specifico di ciascun partner in Project Glasswing rimane parzialmente opaco.
La fonte non documenta misure correttive specifiche adottate dopo il testing. Non è noto se le vulnerabilità trovate siano state classificate per impatto, se siano state condivise con i vendor interessati, o se siano state già mitigate. Il technical assessment di Anthropic descrive la metodologia agentic con container isolati, debugger e iterazione autonoma, ma non la applica esplicitamente al contesto dei sistemi classificati governativi.
Il punto di lettura per il settore cybersecurity è duplice. Da un lato, i benchmark quantitativi (181 contro 2 exploit, costi sotto i 20.000 dollari) dimostrano che modelli general-purpose con reasoning avanzato possono compressare il tempo di scoperta vulnerabilità da settimane a ore, anche in codebase complesse. Dall'altro, la lettera dei cento esperti nega l'unicità di questa capacità, sottolineando che il vantaggio competitivo non risiede nel possesso esclusivo del modello ma nella qualità del processo che lo circonda.
Per i policy maker, il dilemma è strutturale: le export controls concepite per limitare la proliferazione di capacità offensive possono contemporaneamente restringere l'accesso agli strumenti necessari per la difesa. Project Glasswing esiste proprio per indirizzare le capacità di Mythos verso la sicurezza di software critico attraverso partner selezionati. La direttiva Trump, nella sua forma attuale, rischia di impedire anche questa applicazione difensiva.
Domande aperte sul perimetro del test
La distanza tra identificazione e exploitation è il confine più importante di questa storia. Il funzionario anonimo ha esplicitamente separato i due momenti: identificare una vulnerabilità in ore non significa averne dimostrato lo sfruttamento nel medesimo arco temporale. La citazione di Warner/Rudd usa invece "broke into", che implica accesso effettivo. Senza conferma ufficiale da NSA o Anthropic, questa discrepanza rimane non risolta.
Altrettanto rilevante è il limite sull'attribuzione delle capacità: il technical assessment di Anthropic descrive un modello che trova e sfrutta vulnerabilità zero-day e N-day in modo autonomo, ma non documenta test su infrastrutture governative classificate. La connessione tra le due sfere — capacità dimostrate su software open source e claim su classified systems — è plausibile ma non verificata indipendentemente.
Per il lettore tecnico, la conseguenza concreta è che il tempo di reazione per la difesa si sta riducendo in modo non lineare. Se un modello AI può identificare falle in ore che richiederebbero settimane di ricerca umana, la finestra di patch si restringe drasticamente. Il costo della scoperta scende sotto soglie economiche accessibili a un'ampia gamma di attori. La domanda non è più se questi strumenti funzioneranno, ma chi ne avrà accesso e con quali vincoli.
Fonti
- https://www.securityweek.com/anthropics-mythos-model-found-vulnerabilities-in-classified-us-government-systems-official-says/
- https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/
- https://www.schneier.com/blog/archives/2026/06/anthropics-fable-5-model-jailbroken-within-days.html
- https://www.schneier.com/blog/archives/2026/06/anthropics-fable-and-the-state-of-ai.html
- https://www.oskaloosa.com/news/national_news/anthropic-s-mythos-model-found-vulnerabilities-in-classified-us-government-systems-official-says/article_719f78e1-84ec-5e10-a754-e6947594e552.html
- https://www.helpnetsecurity.com/2026/04/08/anthropic-claude-mythos-preview-identify-vulnerabilities/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.