Mythos di Anthropic e Project Glasswing: una nuova casta per la cyberdifesa
Mythos di Anthropic e Project Glasswing dividono la cyberdifesa globale. I produttori di marca restano dal lato sbagliato dell'asimmetria.
Indice dei contenuti
Sintesi
-
Mythos, il modello di frontiera di Anthropic per la scoperta di vulnerabilità, ha già individuato migliaia di falle gravi nei principali sistemi operativi e browser.
-
Project Glasswing limita l’accesso a circa 40 aziende: AWS, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia, Palo Alto Networks, JPMorgan Chase. Nessuna banca, governo o agenzia cyber europea è dentro.
-
Per i produttori di marca con ERP, MES e SCADA datati, il rischio reale non è il modello: è l’asimmetria.
Anthropic ha costruito in silenzio l’asset di cybersicurezza più rilevante dell’anno, e gran parte del mondo non può toccarlo. Mythos, modello di frontiera tarato sulla scoperta di vulnerabilità, viene distribuito attraverso un programma controllato chiamato Project Glasswing. La lista dei partecipanti dice più sul prossimo decennio di cyberdifesa di qualsiasi scheda prodotto.
Cosa è davvero Project Glasswing
Glasswing non è una beta. È una casta. Anthropic conferma l’accesso a circa 40 organizzazioni: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks formano il nucleo tecnico. JPMorgan Chase è l’unico istituto finanziario confermato. Dario Amodei ha incontrato alti funzionari dell’amministrazione Trump alla Casa Bianca per discutere un’espansione. La risposta è stata un netto no: l’esecutivo ha bloccato la proposta di estendere il programma a circa 70 organizzazioni in più, citando rischio di concentrazione di sicurezza nazionale e capacità di calcolo.
Il Tesoro USA chiedeva di entrare. I ministri delle Finanze UE lo reclamano pubblicamente. I fornitori di tecnologia operativa — produttori di controlli industriali per utility, raffinerie e fabbriche — esprimono quel che Nextgov definisce senza giri di parole fastidio per l’esclusione.
Perché è un problema dei produttori, non di Big Tech
Dentro i 40, Mythos diventa uno strato di intelligence preventiva. Le patch arrivano prima degli exploit. Fuori dai 40, ogni codebase è di fatto un ambiente di ricerca per le stesse tecniche, perché le classi di vulnerabilità che Mythos scopre finiscono nell’arsenale avversario. Rest of World riferisce che nessuna banca, governo o agenzia cyber europea è attualmente nel programma. Non è una nota a piè di pagina. È la mappa.
I produttori di marca occupano il quadrante più esposto. I loro ERP hanno spesso un decennio. Gli strati MES e SCADA sono stati progettati prima dell’era del red-teaming con IA. I fornitori lavorano su portali condivisi che nessuno ha fuzzato su scala. Nulla di tutto ciò sarà testato in condizioni Glasswing — sarà testato da quel che circolerà liberamente tre-nove mesi dopo.
Dati Epinium
Nei 60+ produttori di marca che abbiamo seguito in oltre cinque anni, lo stack IT/ERP medio contiene più di 14 anni di codice legacy stratificato — esattamente la superficie che gli scanner IA come Mythos sono tarati a esporre per primi.
L’asimmetria che ogni CISO deve pianificare
Glasswing crea un’economia difensiva a due velocità. Velocità uno: hyperscaler e pochi partner patchano in silenzio con i risultati del modello. Velocità due: tutti gli altri ereditano una superficie di minaccia più ostile senza il telescopio corrispondente. La domanda strategica non è se aspettare l’accesso. È come comprimere la finestra tra divulgazione e rimedio quando si è strutturalmente sul lato lento. Per un approfondimento sulle pile legacy vedi la nostra analisi sulla maturità IT nell’era IA.
Cos’è il modello Mythos di Anthropic?
È un modello di frontiera di Anthropic specializzato nell’identificare e sfruttare vulnerabilità software. Secondo Anthropic ha già scoperto migliaia di falle gravi, anche nei principali sistemi operativi e browser. Viene distribuito esclusivamente tramite Project Glasswing.
Chi ha accesso a Project Glasswing?
Circa 40 organizzazioni, tra cui AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks. JPMorgan Chase è l’unica banca confermata. Nessuna banca, governo o agenzia cyber europea è stata confermata.
Perché la Casa Bianca ha bloccato l’espansione?
Alti funzionari hanno citato rischio di concentrazione di sicurezza nazionale e capacità di calcolo limitata se il programma fosse esteso a circa 70 organizzazioni in più. La decisione mantiene il programma stretto mentre Tesoro USA e omologhi UE continuano a chiedere l’ingresso.
Mythos colpisce direttamente i produttori di marca?
Sì, indirettamente ma in modo materiale. I produttori raramente sono in Glasswing, ma i loro ERP, MES e SCADA condividono linee di codice con il software audito. Le classi di vulnerabilità rivelate oggi in privato spesso compaiono in kit pubblici di exploit nel giro di mesi.
Cosa devono fare ora i team IT industriali?
Inventariare i componenti legacy, mappare l’esposizione ai fornitori, accelerare le cadenze di patch e trattare il red-teaming assistito da IA come controllo base, non come capacità futura. Il divario difensivo cresce più rapidamente dei cicli di budget annuali.
Glasswing non resterà così piccolo per sempre, ma il precedente — l’intelligence di sicurezza di frontiera assegnata per trattato, non per acquisto — è il cambiamento duraturo. I produttori che si preparano all’asimmetria, e non all’accesso eventuale, sono quelli che non compariranno nella lista delle violazioni dell’anno prossimo.
Preoccupato che il tuo stack legacy diventi una passività? Gli scanner di classe Mythos continueranno ad allargare la distanza tra chi è dentro Glasswing e tutti gli altri, e gli ERP/MES industriali sono il bersaglio più morbido in quella distanza. Scopri come Epinium Transform verifica l’esposizione alle vulnerabilità nell’era IA →