Anthropic ha annunciato Project Glasswing, un’iniziativa che riunisce grandi aziende tecnologiche, fondazioni e organizzazioni attive nella cybersicurezza con l’obiettivo di proteggere il software da cui dipendono infrastrutture e servizi essenziali. Tra i partner citati ci sono aziende del calibro di Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks.

L’idea di fondo di questo progetto è che i modelli di intelligenza artificiale di Anthropic abbiano raggiunto un livello di capacità tale da poter incidere in modo concreto anche nel campo della sicurezza informatica. Anthropic sostiene che questi sistemi possano ormai aiutare non solo nella scrittura del codice, ma anche nell’identificazione di vulnerabilità e, potenzialmente, nella costruzione di exploit. Per questo presenta Project Glasswing come un tentativo di indirizzare queste capacità verso usi difensivi e di interesse pubblico.

Nell'annuncio che accompagna il lancio di questo progetto, l’azienda collega l’iniziativa alla crescente esposizione di questo software di interesse primario a campagne di cyberattacco che possono potenzialmente colpire reti energetiche, telecomunicazioni, apparati governativi, ospedali e scuole. Un attacco riuscito contro questi sistemi, osserva Anthropic, potrebbe provocare interruzioni gravi, danni economici e conseguenze rilevanti sul piano della cyber security.

Il nuovo modello Mythos Preview al centro di questo progetto

A supporto del suo progetto, Anthropic ha messo a disposizione Claude Mythos Preview, un modello di intelligenza artificiale estremamente avanzato e non destinato al pubblico di massa, descritto come specializzato in compiti avanzati di cybersicurezza. Secondo l’azienda, nelle ultime settimane il sistema è stato attivamente impiegato per individuare migliaia di vulnerabilità reali, comprese falle che riguardano sistemi operativi, browser e altri componenti software di grande diffusione. In alcuni casi, sempre secondo quanto riportato da Anthropic, il modello avrebbe anche riprodotto automaticamente exploit completi dopo avere identificato il problema.

Tra gli esempi richiamati compaiono vulnerabilità in OpenBSD, problemi in un linguaggio usato in applicazioni web molto diffuse e una catena di falle nel kernel Linux che, stando al testo, avrebbe potuto consentire a un hacker di passare da un accesso ordinario al controllo completo della macchina. Anthropic afferma di avere segnalato le vulnerabilità alle parti interessate e che tutti i problemi segnalati sono poi stati corretti.

Il documento riporta anche una serie di benchmark con cui Anthropic confronta Mythos Preview con Opus 4.6, il suo modello più avanzato attualmente disponibile al pubblico di massa, nelle attività di coding e cyber security. Nel test di riproduzione di vulnerabilità cyber il punteggio indicato è dell’83,1% contro il 66,6% di Opus. Nel test SWEBench Pro il confronto è 77,8% contro 53,4% a favore di Mythos Preview, mentre su Terminal Bench 2.0 è 82% contro 65,4%, su SWEBench Multilingual 87,3% contro 77,8% e su SWEBench Verified 93,9$ contro 80,8%. (Per maggiori dettagli su cosa significano questi test, si prega vedere l'infografica qui sotto).

Anthropic precisa però che, almeno per ora, non intende rendere Claude Mythos Preview generalmente disponibile al grande pubblico. L’obiettivo dichiarato è, infatti, quello di applicare per ora il modello a usi di cybersicurezza, mentre prosegue il lavoro sui sistemi di salvaguardia pensati per ridurre i rischi associati ad utilizzo di massa di capacità di questo tipo.

Dettagli operativi del Project Glasswing

Sul piano operativo, Project Glasswing partirà quindi con un gruppo iniziale che comprende oltre 40 organizzazioni aggiuntive selezionate tra soggetti che mantengono infrastrutture software critiche o che possono usare questi strumenti per analizzare e proteggere sistemi essenziali. Anthropic afferma inoltre di aver fornito fino a 100 milioni di dollari in crediti di token per Mythos Preview e con 4 milioni di dollari in donazioni dirette a organizzazioni open source che si occupano di sicurezza.

Il progetto, nelle intenzioni dell’azienda, dovrebbe poi allargarsi ad altri ambiti. Tra quelli indicati ci sono la rilevazione di vulnerabilità su larga scala, il black box testing di librerie, la protezione degli endpoint, i test di penetrazione, la sicurezza della supply chain open source, i processi di aggiornamento software, le pratiche di sviluppo sicuro, gli standard per i settori regolati, il triage automatico e l’automazione delle patch.

Anthropic colloca esplicitamente Project Glasswing anche dentro una cornice di sicurezza nazionale. L’azienda sostiene che la protezione delle infrastrutture critiche sia una priorità bipartisan negli Stati Uniti e che governi e settore privato debbano muoversi rapidamente per rafforzare le cyber difese. La società riferisce inoltre di essere in discussione su questo con rappresentanti del governo federale, statale e locale, oltre che con partner industriali e del settore pubblico.

Nel complesso, il messaggio di Anthropic è che le capacità dei modelli stanno cambiando la scala e l’urgenza del problema della cyber sicurezza e che, proprio per questo, serva una risposta coordinata tra aziende, ricercatori, manutentori open source, fondazioni e istituzioni. Project Glasswing viene così presentato come un primo tentativo di costruire questa risposta comune.