Project Glasswing: l’AI di Claude Mythos scova oltre 10.000 falle. La cybersecurity cambia passo

Un’AI che lavora con aziende, organizzazioni e istituzioni per stanare bug a raffica: il progetto Glasswing, guidato da Claude Mythos in versione Preview, ha superato quota 10.000 vulnerabilità identificate. Numeri che aprono uno scenario nuovo per la sicurezza digitale.

Che cos’è Project Glasswing (e perché se ne parla)

Glasswing è un’iniziativa lanciata ad aprile che mette insieme più di 50 attori tra big tech, realtà enterprise e istituzioni per un obiettivo preciso: usare l’intelligenza artificiale di Claude Mythos per scoprire rapidamente falle critiche in software e servizi diffusi. Parliamo di sistemi operativi, browser e componenti alla base dell’infrastruttura Internet.

Il dato che ha acceso i riflettori è la portata della scoperta: in meno di un mese sono state individuate oltre 10.000 vulnerabilità. Alcune fonti interne parlano di cifre anche superiori, segno che il lavoro è stato massiccio e in costante evoluzione. Il punto non è solo “quante” falle, ma “quanto” velocemente l’AI possa aiutare a trovarle in modo coordinato.

Nel roster dei partecipanti compaiono nomi di peso come Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Nvidia e Microsoft. Questa varietà di attori – spesso competitor – è il vero moltiplicatore: condividere metodi, risultati e tempistiche crea uno standard operativo più veloce del solito gioco del gatto e del topo tipico della sicurezza informatica.

Per approfondire i dettagli tecnici e metodologici, Anthropic ha pubblicato un primo aggiornamento ufficiale: Glasswing: Initial Update.

Come l’AI sta cambiando la caccia alle vulnerabilità

Dall’indizio alla prova: il ruolo di Claude Mythos

Claude Mythos (in versione Preview, quindi non aperta al pubblico) viene usato come “copilota” dagli specialisti: suggerisce aree sospette, ipotizza pattern di bug, genera test e proof-of-concept, aiuta nel triage dei report e nella deduplicazione degli esiti. In pratica, comprime in ore il lavoro che richiederebbe giorni, riducendo la fatica manuale e mettendo ordine nel caos dei risultati.

Questa combinazione tra intelligenza artificiale e team umani non sostituisce l’esperienza dei ricercatori, ma la potenzia. Il valore sta proprio nella partnership: l’AI esplora velocemente, gli esperti validano, contestualizzano, gestiscono la disclosure e coordinano i fix con i team prodotto.

Dove ha cercato (e cosa significa per noi)

L’indagine ha toccato stack molto diffusi: componenti di sistemi operativi, browser, librerie e servizi che usiamo ogni giorno spesso senza saperlo. Scovare debolezze qui vuol dire ridurre la superficie d’attacco per milioni di utenti e aziende. È la differenza tra una patch preventiva e una corsa in emergenza dopo un data breach.

Dal report alla patch: il passaggio critico

Trovare una vulnerabilità non equivale a risolverla. Dopo l’identificazione parte la fase più delicata: verifica, priorità, sviluppo della correzione, test e rilascio. In mezzo ci sono processi di responsible disclosure e coordinamento tra partner. È qui che si gioca la partita della velocità: se la scoperta accelera ma la patch resta lenta, il rischio residuo rimane alto.

La vera innovazione potrebbe essere la nascita di nuove figure e workflow: orchestratori che usano agenti AI per automatizzare il triage, suggerire fix, generare test e monitorare l’impatto post-rilascio. La sicurezza non come “evento”, ma come pipeline continua.

Numeri impressionanti, ma serve occhio critico

  • Conta la qualità, non solo la quantità: 10.000+ vulnerabilità fanno notizia, ma la differenza la fanno gravità, exploitabilità e tempo di risoluzione. Senza patch veloci, i numeri restano statistiche.
  • Coordinamento e disclosure: condividere i dettagli tra partner è utile, ma espone al rischio di leak. Governance e tempi di pubblicazione sono cruciali per evitare che gli attaccanti sfruttino l’anticipo.
  • AI a doppio taglio: gli stessi metodi possono essere usati dai criminali. Il vantaggio lo tiene chi standardizza processi, toolchain e tempi di risposta, non chi fa la caccia al tesoro una tantum.
  • Dal laboratorio alla produzione: validazione, test e compatibilità con sistemi legacy restano ostacoli concreti. L’AI aiuta a scoprire, ma “far atterrare” i fix in ambienti complessi è un altro lavoro.

Cosa cambia per aziende e professionisti

Glasswing è un segnale chiaro: la difesa che vince è quella collaborativa e assistita dall’AI. Anche senza essere parte del progetto, le organizzazioni possono adeguarsi subito su tre fronti:

  • Patch management senza ritardi: ridurre al minimo le finestre di esposizione. Se usi software dei partner coinvolti, aspettati aggiornamenti: pianifica e applica rapidamente.
  • Secure SDLC con AI: integra strumenti AI per code review, generazione test e scansioni SAST/DAST. Non solo “pen test a fine progetto”, ma controlli continui in pipeline.
  • Asset inventory e priorità: sapere cosa hai è metà del lavoro. Mappa asset critici, dipendenze e versioni per assegnare priorità vere quando arrivano nuove CVE.
  • Formazione mirata: sviluppatori e team IT devono conoscere pattern di vulnerabilità e best practice AI‑assisted. La velocità si crea con competenze, non solo con tool.

Coalizioni che alzano l’asticella

Vedere competitor sedersi allo stesso tavolo è raro ma salutare. Standard condivisi, dataset di bug più ricchi e disclosure coordinata creano un ecosistema più robusto. Se questo modello regge, potremmo vedere estensioni verso IoT, supply chain software e cloud ibridi.

Prossimi passi da tenere d’occhio

  • Rilascio delle patch: quanto rapidamente arriveranno e con che copertura.
  • Nuovi partner e ambiti: più settori coinvolti, più casi d’uso e più impatto.
  • Metriche pubbliche: severità media, tempo medio di fix, riduzione dei falsi positivi.
  • Regole di ingaggio: processi di disclosure sempre più standardizzati per minimizzare il rischio.

Per i dettagli tecnici ufficiali di Anthropic: leggi l’aggiornamento iniziale di Glasswing. E se vuoi ricevere ogni mattina la puntata con fonti e link utili, iscriviti gratis alla newsletter: ilcaffettino.it/newsletter/.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.