Il dibattito su Claude Mythos Preview, il nuovo modello di Anthropic impiegato nel progetto Glasswing, si è concentrato soprattutto sulla sua capacità di trovare vulnerabilità software con un livello di autonomia che la stessa azienda considera vicino, e in alcuni casi superiore, a quello dei ricercatori più esperti. Anthropic afferma che il modello ha già individuato migliaia di falle ad alta gravità, incluse vulnerabilità nei principali sistemi operativi e browser, ma ha scelto di non distribuirlo al pubblico: l’accesso resta limitato a partner selezionati e a organizzazioni che gestiscono software critico, con finalità dichiaratamente difensive.
Il punto che rende il caso Mythos particolarmente rilevante per la sicurezza informatica sta nel metodo di lavoro descritto da Anthropic. Nel report del team red, l’azienda spiega che il modello opera in un container isolato, con accesso al progetto da analizzare e al suo codice sorgente. Da lì legge i file, formula ipotesi sulle vulnerabilità, esegue test, prova a confermare i sospetti e, quando riesce, produce anche prove di concetto e passaggi di riproduzione. In altre parole, non si limita a “intuire” un problema: in alcuni casi arriva fino alla costruzione autonoma dell’exploit.
È su questo snodo che si inserisce la riflessione di Martin Zugec, Technical Solutions Director di Bitdefender, che in questi giorni ha proposto una lettura diversa del caso. Per Zugec, il rischio non riguarda solo l’idea di un’AI capace di trovare bug, ma soprattutto il fatto che questo scenario assomigli molto a ciò che avviene negli attacchi alla supply chain: chi colpisce a monte non prova a sfondare un perimetro dall’esterno, ma agisce in un punto della filiera dove il codice è già visibile, modificabile o distribuibile attraverso canali fidati.
La tesi è semplice, ma molto concreta. Se una parte decisiva del software moderno si basa su librerie open source, allora esiste già un enorme spazio in cui un attore malevolo può lavorare con lo stesso vantaggio informativo mostrato da Mythos nei test di Anthropic: accesso completo al codice, analisi su larga scala e ricerca automatizzata di errori sfruttabili. Bitdefender collega questo scenario anche a un secondo vettore, ormai noto: il compromesso di maintainer o account fidati, che consente di inserire codice dannoso in pacchetti poi distribuiti come aggiornamenti legittimi. Nel suo ragionamento, Zugec richiama proprio i casi XZ Utils e Axios come esempi di due strade diverse che portano allo stesso risultato: la compromissione della catena di fiducia del software.
Da qui nasce la critica più interessante al modo in cui molte aziende applicano oggi il paradigma Zero Trust. Negli ultimi anni il settore ha investito molto su identità, segmentazione di rete, autenticazione e controllo degli accessi. Tutti livelli necessari, ma non sufficienti quando il software malevolo arriva da una fonte che appare legittima. Se un pacchetto è firmato, proviene da un repository noto ed entra nei sistemi con una reputazione pulita, i controlli tradizionali rischiano di non vedere nulla di anomalo. La supply chain compromise, per definizione, sfrutta proprio questa zona grigia: il codice passa i controlli iniziali perché si presenta come affidabile.
Per Zugec, quindi, lo Zero Trust deve estendersi al momento in cui il software entra davvero in azione. La domanda non può fermarsi a “da dove arriva questo codice?” oppure “chi lo ha firmato?”. Deve diventare “che cosa sta facendo adesso questo processo?”. Se un’applicazione avvia connessioni inattese, tocca file che non dovrebbe leggere, esegue codice in memoria o usa strumenti di sistema fuori dal proprio profilo normale, il problema non è più la sua origine, ma il suo comportamento. È questo il livello che, secondo Bitdefender, oggi riceve meno attenzione di quanto meriti.
Il caso Mythos, visto in questa chiave, non racconta soltanto l’arrivo di un modello più potente. Mostra anche un cambio di prospettiva. Anthropic stessa presenta Glasswing come un progetto nato per dare ai difensori un vantaggio prima che capacità di questo tipo si diffondano più ampiamente. La lettura di Zugec aggiunge un tassello ulteriore: se la capacità di trovare vulnerabilità e costruire exploit diventa più economica e più rapida, allora la fiducia accordata a priori al software perde ancora più valore. In quel contesto, il controllo decisivo resta quello sul runtime, cioè sulla fase in cui il codice si comporta da codice e non da semplice file firmato.
Per le aziende il messaggio è netto. La sicurezza della supply chain non può più basarsi soltanto su reputazione del fornitore, firme digitali, scansioni statiche e bollettini CVE. Tutti elementi utili, ma incapaci di bastare da soli quando l’attacco nasce dentro una catena di distribuzione affidabile. Il dibattito aperto da Mythos suggerisce che il prossimo confine dello Zero Trust non sarà soltanto l’identità o la rete, ma il comportamento del codice durante l’esecuzione. Ed è lì che una parte importante della difesa dovrà spostarsi.
