Claude Mythos & Progetto Glasswing: Il modello più potente di Anthropic è troppo pericoloso per essere rilasciato
8 aprile 2026
TL;DR
- Il 7 aprile 2026, Anthropic ha svelato Claude Mythos Preview, un modello frontier non rilasciato che ha già trovato migliaia di vulnerabilità zero-day in tutti i principali sistemi operativi e browser web — incluso un bug nascosto in OpenBSD per 27 anni.
- Anthropic non rende Mythos pubblicamente disponibile. Ha invece lanciato il Progetto Glasswing — un'iniziativa da 100 milioni di dollari con AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, Broadcom, JPMorgan Chase, Palo Alto Networks e la Linux Foundation — per usare il modello in modo difensivo prima che capacità simili raggiungano gli attaccanti.
- Mythos non supera Claude Opus 4.6 di poco. Su SWE-bench Pro ottiene 77,8% contro 53,4% — un salto di 24 punti su un benchmark progettato per essere brutalmente difficile.
- Il messaggio strategico per ogni imprenditore: il "divario di cybersicurezza AI" tra attaccanti e difensori sta per ampliarsi drasticamente. La maggior parte delle PMI non è pronta.
- Questo articolo spiega cosa sappiamo effettivamente (con fonti), cosa è hype e le tre misure concrete che le aziende B2B europee dovrebbero adottare subito.
Cos'è Claude Mythos Preview?
Claude Mythos Preview è un nuovo modello frontier a uso generale di Anthropic — un livello sopra il Claude Opus 4.6 attualmente pubblico — che l'azienda descrive come un sistema che dimostra come l'IA abbia raggiunto capacità di codifica che superano tutti gli esseri umani tranne i più qualificati nel trovare e sfruttare le vulnerabilità software.
L'esistenza di Mythos non avrebbe dovuto essere pubblica ancora. Una configurazione errata nel sistema di gestione dei contenuti di Anthropic a fine marzo ha accidentalmente rivelato che l'azienda stava lavorando su un nuovo livello di modello più grande e più capace di Opus. Quella fuga di notizie ha forzato la conversazione nel dominio pubblico prima di quanto Anthropic probabilmente avesse pianificato.
Ciò che distingue Mythos da ogni altro lancio frontier degli ultimi due anni è che Anthropic sceglie esplicitamente di non rilasciarlo al pubblico. Newton Cheng, Frontier Red Team Cyber Lead di Anthropic, ha detto a VentureBeat che l'azienda non prevede di rendere Claude Mythos Preview generalmente disponibile a causa delle sue capacità di cybersicurezza. Questa è una delle prime volte in cui un grande laboratorio AI ha trattenuto un modello di punta citando il rischio sociale piuttosto che solo la politica di sicurezza come teatro.
I Benchmark: Un Salto Generazionale, Non un Incremento
Anthropic ha pubblicato un documento di benchmark insieme all'annuncio, e il divario tra Mythos Preview e il frontier pubblico attuale (Claude Opus 4.6) non è sottile. È il tipo di salto che abbiamo visto l'ultima volta tra GPT-3.5 e GPT-4.
| Benchmark | Claude Mythos Preview | Claude Opus 4.6 | Cosa misura |
|---|---|---|---|
| SWE-bench Verified | 93,9% | 80,8% | Compiti reali di ingegneria del software |
| SWE-bench Pro | 77,8% | 53,4% | Il livello più difficile dei benchmark di codifica |
| SWE-bench Multilingual | 87,3% | 77,8% | Codifica in vari linguaggi di programmazione |
| CyberGym | 83,1% | 66,6% | Analisi delle vulnerabilità da parte di agenti AI |
| Humanity's Last Exam (senza strumenti) | 56,8% | 40,0% | Ragionamento puro su problemi quasi irrisolvibili |
| Humanity's Last Exam (con strumenti) | 64,7% | 53,1% | Ragionamento assistito da strumenti |
| BrowseComp | 86,9% | 83,7% | Ricerca web in più passaggi |
I numeri provengono dalla stessa pubblicazione di benchmark di Anthropic, riportata da OfficeChai, che ha notato che su SWE-bench Pro Mythos batte Opus 4.6 di 24 punti e supera il precedente punteggio leader di GPT-5.3-Codex di oltre 21 punti.
Per mettere in prospettiva: solo su SWE-bench Verified, il 93,9% di Mythos si porrebbe a oltre 13 punti al di sopra di qualsiasi modello pubblicamente disponibile sul mercato oggi. Non è un aggiornamento trimestrale. È un azzeramento della classifica.
Un'importante avvertenza che non appare nella maggior parte della copertura: Anthropic stesso ha segnalato che Mythos performa bene su Humanity's Last Exam anche con poco calcolo, il che l'azienda nota come possibile segno di memorizzazione. Prendete i numeri HLE con riserva — ma i salti su SWE-bench e CyberGym sono molto reali.
Progetto Glasswing: Il Patto Difensivo da 100 Milioni
Invece di consegnare Mythos agli utenti stile ChatGPT, Anthropic lo incanalizza in una coalizione. Il Progetto Glasswing abbina il Mythos Preview non rilasciato a dodici grandi aziende tecnologiche e finanziarie — Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks — per trovare e correggere le vulnerabilità software nelle infrastrutture critiche prima che gli avversari possano sfruttarle.
L'impegno finanziario è rilevante: Anthropic ha esteso l'accesso a più di 40 organizzazioni aggiuntive che sviluppano o mantengono software critico, si è impegnata a fornire fino a 100 milioni di dollari in crediti di utilizzo, e ha donato 4 milioni di dollari a organizzazioni di sicurezza open source inclusi 2,5 milioni ad Alpha-Omega e OpenSSF e 1,5 milioni alla Apache Software Foundation.
Perché la lista dei partner assomiglia a un Who's Who? Perché le aziende di cybersicurezza che si sono a lungo vantate della loro AI proprietaria stanno ammettendo pubblicamente che l'ultima versione di Anthropic sta individuando zero-day che nessun altro strumento ha trovato. Il fatto che CrowdStrike e Palo Alto Networks abbiano aderito è la parte di cui nessuno parla abbastanza ad alta voce — quelle sono aziende il cui intero vantaggio competitivo si basa su "noi abbiamo un'AI di sicurezza migliore della vostra".
Le Scoperte Zero-Day: Bug Nascosti per Decenni
Qui la storia smette di sembrare un aggiornamento di benchmark e inizia a sembrare un punto di svolta.
Nelle ultime settimane, Anthropic ha usato Claude Mythos Preview per identificare migliaia di vulnerabilità zero-day — falle precedentemente sconosciute agli sviluppatori del software —, molte delle quali critiche, in ogni grande sistema operativo e ogni grande browser web.
L'esempio di punta: il bug più vecchio scoperto da Mythos era una vulnerabilità in OpenBSD rimasta sconosciuta e non corretta per 27 anni, e il modello ha anche concatenato diverse falle nel kernel Linux per ottenere accesso da superutente. OpenBSD è il sistema operativo la cui intera reputazione si basa sull'essere verificato minuziosamente. Un buco vecchio di 27 anni è il tipo di scoperta che fa fermare i ricercatori di sicurezza esperti.
Secondo la copertura di 9to5Mac dell'annuncio, alcune di queste vulnerabilità erano sopravvissute a decenni di revisione umana e milioni di test di sicurezza automatizzati. Quella frase — "milioni di test di sicurezza automatizzati" — è la parte su cui i dirigenti aziendali dovrebbero riflettere un minuto. L'arsenale esistente di analizzatori statici, fuzzer e strumenti SAST non li ha catturati. Un modello linguistico a uso generale sì.
Come Anthropic Lo Ha Effettivamente Testato
La metodologia vale la pena di essere compresa perché è il modello che ogni team di sicurezza difensiva copierà nei prossimi 18 mesi. Anthropic avvia un container isolato da internet che esegue il progetto sotto test con il suo codice sorgente, poi invoca Claude Code con Mythos Preview e lo istruisce essenzialmente con "trova una vulnerabilità di sicurezza in questo programma".
Da lì, il modello opera agenticamente: legge il codice per ipotizzare vulnerabilità, esegue il progetto per confermare o rifiutare i suoi sospetti, aggiunge logica di debug o usa debugger secondo necessità, e infine produce o che nessun bug esiste o un report di bug con un exploit proof-of-concept e i passi di riproduzione.
Per scalare, Anthropic ha aggiunto due ottimizzazioni intelligenti. Prima, chiedono a Claude di classificare ogni file nel progetto su una scala da 1 a 5 per la probabilità che contenga bug interessanti, poi avviano gli agenti prima sui file con la priorità più alta. Secondo, eseguono alla fine un agente validatore separato il cui unico compito è confermare se ogni bug segnalato è reale e rilevante, filtrando i risultati tecnicamente validi ma non pertinenti.
Questo è un workflow che qualsiasi team di ingegneria competente può replicare oggi usando modelli pubblicamente disponibili — a capacità inferiore, ma con la stessa struttura. Questa è l'intuizione praticabile sepolta nell'annuncio.
Perché Anthropic Trattiene Mythos
Due ragioni, una dichiarata e una ovvia.
La ragione dichiarata: il rischio di doppio uso. Anthropic prevede di lanciare prima nuove protezioni con un prossimo modello Claude Opus, consentendo all'azienda di affinare quelle protezioni su un modello che non presenta lo stesso livello di rischio di Mythos Preview. Traduzione: la stessa capacità che permette ai difensori di correggere i zero-day permette agli attaccanti di trovarli. Fino a quando Anthropic non avrà modi affidabili per rilevare e bloccare l'uso offensivo, il rilascio pubblico significherebbe consegnare una chiave maestra a chiunque abbia una carta di credito.
La ragione ovvia: la potenza di calcolo. Una bozza di post del blog trapelata a marzo descriveva Mythos come un modello grande e computazionalmente intenso che sarebbe costoso da servire sia per Anthropic che per i suoi clienti. La stessa settimana del lancio di Glasswing, Broadcom ha firmato un accordo ampliato che dà ad Anthropic accesso a circa 3,5 gigawatt di capacità di calcolo basata sui processori AI di Google. 3,5 gigawatt è all'incirca la potenza di tre reattori nucleari. Anche con questo, servire Mythos a 20 milioni di utenti stile ChatGPT sarebbe impossibile con l'efficienza attuale.
Quindi il framing "stiamo essendo prudenti" è reale — ed è anche un modo conveniente per lanciare un modello che l'azienda non potrebbe comunque servire.
Cosa Significa Concretamente per la Vostra Azienda
Questa è la parte che la maggior parte della copertura salta. Eliminando il culto dei benchmark e le prospettive catastrofiste, tre cose cambiano per le aziende B2B europee a partire da ora.
1. Il "Divario di Cybersicurezza AI" Sta per Ampliarsi Drasticamente
Per due anni, l'assunzione è stata che l'AI aiuta attaccanti e difensori all'incirca allo stesso modo. Mythos è il primo segnale credibile che i difensori potrebbero prendere vantaggio — ma solo i difensori all'interno della coalizione Glasswing. Tutti gli altri operano con Claude Opus 4.6, GPT-5 e Gemini 3 Pro — modelli capaci, ma non di livello Mythos.
Se gestite un SaaS, un e-commerce o qualsiasi azienda con un database clienti, l'implicazione pratica è questa: in 12–18 mesi, le versioni pubbliche di questi modelli raggiungeranno il livello attuale di Mythos. I vostri attaccanti avranno accesso nello stesso momento in cui lo avrete voi. La finestra per rafforzare i vostri sistemi è adesso, mentre l'asimmetria favorisce ancora i difensori che agiscono in anticipo.
2. Gli Audit di Sicurezza a Livello di Codice Sono Diventati Accessibili
Fino a questo annuncio, un serio audit di sicurezza applicativa costava 15.000–80.000 € e richiedeva settimane. La metodologia Mythos — codice containerizzato, caccia agentiva alle vulnerabilità, agenti validatori — può essere eseguita oggi con Claude Opus 4.6 o Sonnet 4.6 a una frazione di quel costo. Non al livello di qualità Mythos, ma al livello "individua le cose ovvie che altrimenti diventerebbero una violazione".
Per la maggior parte delle PMI europee che gestiscono applicazioni Next.js, Laravel o Rails, questa è la differenza tra non avere mai un audit di sicurezza e averne uno ogni trimestre. È qui che le società di consulenza AI — inclusa la nostra di areza.digital — dovrebbero costruire offerte prodottizzate ora.
3. La Questione della Catena di Fornitura Software Diventa Più Pressante
L'obiettivo dichiarato del Progetto Glasswing è l'open source e le infrastrutture critiche. Jim Zemlin, Direttore Esecutivo della Linux Foundation, ha sottolineato che l'expertise in sicurezza è stata storicamente un lusso riservato alle organizzazioni con grandi team di sicurezza, mentre i manutentori open source sono stati lasciati a cavarsela da soli.
Se costruite su open source — e ogni azienda moderna lo fa — la vostra catena di fornitura verrà auditata da Mythos che partecipiate o meno. Le vulnerabilità nelle vostre dipendenze verranno trovate e corrette più rapidamente di quanto possiate applicarle. La vostra cadenza di patch diventa un fattore di rischio competitivo. Le aziende che aggiornano automaticamente le dipendenze settimanalmente saranno più sicure di quelle che le aggiornano trimestralmente. Questo è un cambiamento di processo, non di strumenti, e non costa nulla da implementare.
Cosa È Hype, Cosa È Reale
Alcune affermazioni che circolano su LinkedIn e X oggi che vale la pena verificare attentamente:
- "Mythos costa 5 volte di più di Opus 4.6" — Non ufficialmente confermato nei materiali pubblicati da Anthropic. Originato da commenti secondari. Da trattare come speculazione.
- "Un ingegnere senza formazione in sicurezza ha trovato exploit in una notte" — Aneddoto presumibilmente condiviso nei materiali interni di Anthropic, ripetuto in post virali ma non nell'annuncio ufficiale. Plausibile, non verificato.
- "USAMO olimpiade di matematica 97,6%" e "Cybench 100% di risoluzione" — Questi appaiono in alcuni post social ma non hanno potuto essere confermati nel documento di benchmark pubblicato da Anthropic. I benchmark verificati sono quelli nella tabella sopra.
Se scrivete di Mythos per il vostro pubblico, attenetevi ai numeri citati. La storia verificata è già abbastanza drammatica — non avete bisogno degli abbellimenti.
FAQ
Cos'è Claude Mythos Preview? Claude Mythos Preview è un modello AI frontier non rilasciato di Anthropic, più capace dell'attuale Claude Opus 4.6 pubblico. Dimostra miglioramenti significativi nella codifica, nel ragionamento e soprattutto nella scoperta di vulnerabilità di cybersicurezza.
Posso usare Claude Mythos? No. Anthropic non rende Mythos generalmente disponibile. L'accesso è limitato ai partner del Progetto Glasswing — attualmente 12 grandi aziende tecnologiche e finanziarie più circa 40 organizzazioni aggiuntive che mantengono infrastrutture software critiche.
Cos'è il Progetto Glasswing? Il Progetto Glasswing è un'iniziativa di cybersicurezza difensiva da 100 milioni di dollari lanciata da Anthropic il 7 aprile 2026, in partnership con AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, la Linux Foundation e Palo Alto Networks per usare Claude Mythos Preview per trovare e correggere vulnerabilità nelle infrastrutture critiche.
Quante vulnerabilità ha trovato Mythos? Anthropic riporta migliaia di vulnerabilità zero-day scoperte in tutti i principali sistemi operativi e browser web, incluso un bug vecchio di 27 anni in OpenBSD e una catena di falle del kernel Linux che consentivano l'escalation a superutente.
Quando Mythos sarà rilasciato pubblicamente? Anthropic non si è impegnata su una data di rilascio pubblico. L'azienda prevede prima di sviluppare nuove protezioni con un prossimo modello Claude Opus prima di considerare un'implementazione più ampia di livello Mythos.
Cosa dovrebbe fare la mia azienda al riguardo? Tre cose: stringete la vostra cadenza di aggiornamento delle dipendenze, eseguite scansioni di vulnerabilità sulla vostra base di codice usando modelli attualmente disponibili (Opus 4.6 o Sonnet 4.6 con la metodologia pubblicata da Anthropic), e trattate i prossimi 12–18 mesi come la finestra per rafforzare i vostri sistemi prima che capacità equivalenti raggiungano gli attaccanti.
Conclusione
Claude Mythos non è solo un altro lancio di modello. È la prima volta che un laboratorio AI frontier ha detto, pubblicamente, che uno dei propri modelli è troppo capace per essere rilasciato — e lo ha inteso abbastanza seriamente da darlo a una coalizione di concorrenti. Che lo leggiate come gestione responsabile o teatro strategico, la capacità sottostante è reale, e l'asimmetria che crea tra gli insider della coalizione e tutti gli altri plasmerà la sicurezza software B2B europea nei prossimi 18 mesi.
Se siete un fondatore, CTO o operatore che cerca di capire cosa fare concretamente con questo — non solo annuire sapentemente su LinkedIn — questa è la conversazione che abbiamo ad areza.digital ogni settimana. Aiutiamo le aziende europee a tradurre le capacità AI frontier in sistemi che sviluppano, proteggono e scalano. Prenota una chiamata conoscitiva di 30 minuti →
Scritto da Nikita Janochkin, fondatore di areza.digital. Fonti: blog Anthropic Frontier Red Team, annuncio Anthropic Glasswing, VentureBeat, TechCrunch, The New Stack, OfficeChai, IT Pro, 9to5Mac, Axios. Ultimo aggiornamento 8 aprile 2026.
Smetti di perdere lead a causa di un sito lento
Prenota un audit di attrito gratuito e scopri esattamente dove il tuo sito perde denaro.