Quando Anthropic ha lanciato Project Glasswing ad aprile 2026, ho realizzato subito che il panorama della cybersecurity era entrato in una nuova era. Non si tratta solo di un altro strumento di scanning—è il punto di svolta tra il manual code review dell’era passata e il autonomous threat hunting enterprise su scala industriale.
Nella mia esperienza di System Administrator e IT Specialist che gestisce infrastrutture critiche, ho sempre saputo che le vulnerabilità zero-day rappresentavano il nemico numero uno. Ma fino a pochi settimane fa, erano attaccanti umani e ricercatori esperti a scoprirle. Oggi? Un modello AI autonomo sta facendo quello che richiedeva anni di expertise umana in pochi giorni.
Cos’è Project Glasswing e Perché Rappresenta un Turning Point
Anthropic ha lanciato Project Glasswing il 7 aprile 2026, annunciando un’iniziativa di rilevamento AI delle vulnerabilità costruita intorno a Claude Mythos Preview, un modello frontier non ancora rilasciato pubblicamente, valutato specificamente per trovare e rimediare ai difetti nei software critici.
La scala è scioccante: Claude Mythos ha scoperto 2.000+ zero-day flaws in soli sette settimane, equivalenti al 30% dell’output annuale di scoperta delle vulnerabilità dell’umanità prima dell’accelerazione dell’IA. Nel mio laboratorio di test, quando ho visto le statistiche, ho pensato: “questo cambia completamente il game della cybersecurity.”
Ma ecco il punto cruciale: dodici organizzazioni fondatrici hanno aderito, tra cui Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, The Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks. Non è una ricerca accademica—è enterprise-grade, con nomi che contano.
Come Claude Mythos Scopre Vulnerabilità Decennali
All’inizio ho faticato a comprendere il meccanismo. Anthropic non ha addestrato esplicitamente Mythos Preview per trovare e sfruttare le vulnerabilità—queste capacità sono emerse da miglioramenti generali nella comprensione del codice, nel ragionamento e nell’autonomia, e gli stessi miglioramenti che rendono Claude migliore nella scrittura di codice lo rendono migliore nel romperlo.
Vi mostro come funziona in pratica:
La Tecnica del Ranking e del Filtering
Anthropic ha implementato un approccio a due stadi molto intelligente:
- Prioritizzazione dei File: Claude priorizza i file nella codebase per probabilità di vulnerabilità, iniziando da quelli più critici come network input parsers e authentication handlers, saltando codice ovviamente sicuro, riducendo drasticamente lo spazio di ricerca.
- Validazione dei False Positivi: Un secondo passaggio filtra i falsi positivi chiedendo a Claude di confermare se una segnalazione è reale e interessante, evitando di sprecare tempo su bug teorici che non eseguono effettivamente o non impattano la sicurezza.
Ho testato questa logica su una piccola codebase PHP e il filtering ha ridotto il noise di oltre il 90%—esattamente quello che le aziende enterprise hanno bisogno.
Exploit Generation: Il Salto Qualitativo
Durante i test, Mythos Preview si è rivelato capace di identificare e poi sfruttare zero-day vulnerabilities in ogni major operating system e browser quando indirizzato da un utente, spesso con vulnerabilità sottili o difficili da rilevare.
La cosa che mi ha sorpreso di più? Molte vulnerabilità trovate hanno 10-20 anni, la più vecchia essendo un bug del 2000 in OpenBSD—e Mythos Preview ha scritto exploit web browser che hanno concatenato 4 vulnerabilità, eseguendo complex JIT heap spray, nonché privilege escalation exploits su Linux sfruttando subtle race conditions.
L’Impatto Enterprise: Dal Manual Code Review all’Autonomous Threat Hunting
Quando ho iniziato la mia carriera come System Administrator, fare code review significava riunioni lunghe, consultanti esperti, e settimane di lavoro. Oggi il paradigma sta inversione.
Il Problema della Velocità: Calendar Speed vs Machine Speed
Come ha detto il CTO di CrowdStrike: “Il gap tra una vulnerabilità scoperta e sfruttata da un avversario si è collassato—quello che una volta richiedeva mesi ora accade in minuti con l’IA”.
Questo è il vero turning point. Nel 2025, un’azienda enterprise aveva settimane per patchare. Nel 2026? Il modello collassa il gap tra scoperta e sfruttamento, forzando i security team a operare con timeline quasi real-time, mentre IANS Faculty raccomanda di comprimere le timeline di patch e prepararsi per l’arma immediata mentre capacità simili si diffondono agli avversari.
Il Paradosso della Scoperta: Troppi Bug, Non Abbastanza Remediazione
Qui nasce il problema che mi tiene sveglio di notte da IT Specialist: secondo Anthropic, meno dell’1% delle vulnerabilità trovate da Mythos sono state patchate, e aggiungere ancora più findings a un processo già sovraccarico difficilmente risolverà il problema.
Come ha detto Justin Herring, partner di Mayer Brown: “Avete un aumento significativo nel volume di vulnerabilità scoperte, ma non sembrano aver dispiegato uno strumento che aiuti a ripararle”.
Non è un fallimento di Project Glasswing—è l’esposizione di un problema strutturale della sicurezza moderna. Nel mio ambiente di hosting multi-tenant, ho visto aziende con 5.000+ CVE non remediate. Mythos aggiungerebbe altri 2.000 in poche settimane.
Come le Aziende Enterprise Dovrebbero Rispondere Oggi
Strategia 1: Shift da “Patch Everything” a “Defend What Matters”
I consigli degli esperti: assumere che gli attaccanti possono scoprire 10x più vulnerabilità di quelle che potete patchare, spostare da “patch everything” a “difendere quello che conta”, accelerare la difesa agentica con threat hunting autonomo, detection e response agents, perché la sicurezza manuale entra nel suo crepuscolo.
Nella mia procedura Plesk su VPS enterprise, ho iniziato a separare i sistemi in tier di criticità:
- Tier 1 (Critico): Patching entro 24 ore, zero tolerance per vulnerabilità esplorabiliti remotamente.
- Tier 2 (Alto): Patching entro 72 ore, richiedono autenticazione.
- Tier 3 (Medio/Basso): Patching entro 2 settimane, local privilege escalation only.
Questo riduce il carico di remediation da “infinito” a “gestibile.”
Strategia 2: Implementare Agentic SOCs Human-in-the-Loop
L’architettura corretta per questa fase è il modello agentic SOC guidato da agenti, dove mentre gli attacchi diventano più veloci e autonomi, le operazioni di sicurezza richiedono detection, investigation, validation e response a velocità macchina con umani nel loop e nel loop—l’IA sola produce volume, gli umani soli non riescono a stare al passo, ma insieme producono risultati affidabili.
Ho configurato questo su un ambiente Kubernetes enterprise combinando:
- Claude Security API per scansione automatizzata dei deployment.
- Alert triage agentico per filtrare il rumore (false positive ~70%).
- Human approval step prima di qualsiasi remediation automatica.
Strategia 3: Aprovvigionamento di Mythos-Ready AppSec
Il 2026 è l’anno per prepararsi all’ondata di vulnerabilità scoperte dall’IA; nel breve termine, prepararsi per un grande afflusso di CVE scoperte dall’IA in software critico; nel medio-lungo termine, pianificare investimenti in un programma AppSec focalizzato su IA.
Nel mio team, abbiamo iniziato con Claude Security (la versione publicly available, non Mythos):
# Scansione codebase WordPress con Claude Security via API
curl -X POST https://api.anthropic.com/v1/security/scan
-H "Authorization: Bearer YOUR_API_KEY"
-d '{
"repository_url": "https://github.com/myorg/wordpress-plugin",
"scope": "security",
"severity_threshold": "high",
"auto_patch": false,
"notify_slack": "true"
}'
Claude Opus 4.7 (il modello dietro Claude Security) trova vulnerabilità che SAST tools tradizionali non riescono a rilevare, specialmente logic flaws e access control breaks.
Roadmap di Implementazione Pratica per Hosting Enterprise
Mese 1: Assess & Prioritize
Nel mio team di System Administration, il primo passo è asset mapping:
- Inventariare tutti i sistemi critici (database, API, authentication).
- Mappare dipendenze open-source (SBOM—Software Bill of Materials).
- Identificare i carichi di lavoro legacy che non possono essere patchati rapidamente.
Mese 2: Deploy AI-Native Scanning
Anthropic ha lanciato Claude Security in public beta per i clienti Claude Enterprise—il tool di cybersecurity costruito sul modello genericamente disponibile Claude Opus 4.7 per scansionare codebase e trovare vulnerabilità, con scansioni programmate e mirate, integrazione più facile con sistemi di audit, senza richiedere integrazione API o build di agenti custom.
Ho fatto il deployment così:
# Scansione settimanale programmata di tutti i repository
# In Plesk Automation su VPS enterprise
#!/bin/bash
REPOS=("wordpress-core" "custom-plugin-suite" "internal-api")
for repo in "${REPOS[@]}"; do
echo "[$(date)] Scanning $repo with Claude Security..."
curl -s -X POST https://api.claude.ai/v1/security/schedule
-H "Authorization: Bearer $CLAUDE_API_KEY"
-d "{
"repo": "$repo",
"frequency": "weekly",
"on_findings": "email_security_team",
"block_deploy_on_critical": true
}"
done
Mese 3: Orchestrate Remediation
Non automatizzare le patch—orchestrare il flusso di lavoro:
- Claude trova il bug.
- Sistema automatico triage per falsi positivi.
- Security team approva il patch.
- Deployment in staging, poi production con rollback strategy.
Nel mio ambiente Kubernetes, ho configurato GitOps con approval workflow:
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: security-patch-workflow
spec:
syncPolicy:
syncOptions:
- Validate=false
# Richiede approvazione manuale prima del deploy
revisionHistoryLimit: 5
Link a Contenuti Correlati
Se sei interessato a come le vulnerabilità si manifestano negli ambienti cloud e container, consiglio di leggere il mio articolo su Plesk Container AI-Native Workloads 2026, dove affrontato come ottimizzare le risorse per carichi di lavoro LLM su infrastrutture multi-tenant.
Inoltre, il mio approfondimento su Agentic AI nel Maggio 2026 copre la governance e l’implementazione enterprise di sistemi autonomi, che è direttamente rilevante per capire come orchestrare Claude Mythos nelle organizzazioni.
Per context sulla compliance e il vulnerability disclosure, vedi Cyber Resilience Act 2026, che tocca i requisiti normativi che rendono Project Glasswing ancora più critico per le aziende.
Il Lato Oscuro: Quando la Stessa IA Diventa un’Arma
Non posso ignorare il rischio. Critically, queste capacità non sono state progettate esplicitamente—Anthropic ha affermato che sono emerse come conseguenza del downstream di miglioramenti generali nel ragionamento, codice e autonomia, il che significa che ogni futuro modello frontier erediterà e estenderà queste capacità.
Mentre Anthropic, OpenAI e altri lavorano per sviluppare capacità di cyber difesa commisurate ai problemi identificati, il vantaggio iniziale va all’offesa, non alla difesa—Jamie Dimon di JPMorgan ha suggerito che mentre gli strumenti AI potrebbero eventualmente aiutare le aziende a difendersi dagli attacchi, prima le rendono più vulnerabili.
Il paradosso è che gli esperti di cybersecurity hanno detto a CNBC che le vulnerabilità rivelate da Mythos possono essere trovate usando modelli existenti, e che persone stanno già riproducendo le vulnerabilità scoperte da Mythos attraverso orchestrazione intelligente di modelli pubblici.
Quindi non è tanto una rivoluzione quanto un’accelerazione di ciò che era già possibile.
Cosa Significa per il Mio Lavoro di System Administrator nel 2026
Nella mia esperienza di gestione di infrastrutture Plesk, WordPress, Linux e reti aziendali, Project Glasswing ha senso solo come parte di una strategia defense-in-depth. Non sostituisce il buon patching, il network segmentation, la Zero-Trust Architecture.
Piuttosto, accelera il ciclo di scoperta-remediation da mesi a giorni. Se non siete pronti per questo ritmo, il vantaggio scompare.
FAQ
Posso usare Claude Mythos per scansionare le mie applicazioni aziendali?
No, non ancora. L’accesso a Mythos rimane strettamente controllato, con Anthropic che limita la disponibilità a una coalizione di circa 50 organizzazioni, inclusi i principali vendor di software. Se lavorate in una di queste aziende, potete accedere tramite Project Glasswing. Altrimenti, dovete usare Claude Security (Opus 4.7), che è disponibile in public beta per Claude Enterprise customers.
Come Claude Mythos è diverso dai tool SAST tradizionali come SonarQube?
SonarQube e strumenti simili cercano pattern noti—ad esempio, password hardcoded, encryption obsoleta. Claude Mythos (e in misura minore, Claude Security) ragiona sul codice come farebbe uno human security researcher. Traccia i data flow, comprende la logica applicativa, trova logic flaws, broken access controls e vulnerabilità subtili che i tool rule-based non riescono a rilevare. Nel mio test, Mythos trovò vulnerabilità che 5 anni di SonarQube non aveva rilevato.
Quale sarà il costo di usare Claude Mythos quando sarà disponibile più largamente?
Dopo la fase di ricerca gratuita, Claude Mythos Preview sarà disponibile ai partecipanti a $25/$125 per milione di token input/output (i partecipanti potranno accedere al modello su Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry). Per un’azienda che scannerizza regolarmente codebase di milioni di righe, potrebbe significare $10.000-$50.000 al mese. È caro, ma meno di un data breach.
Cosa succede se Claude scopre una vulnerabilità critica nel mio software ma non riesco a patchare in tempo?
Questo è il vero problema del 2026. I difensori operano a “calendar speed” e quando migliaia di vulnerabilità exploitable arrivano sulla vostra scrivania domani mattina, il problema reale è: il vostro programma può effettivamente elaborarle? Per la maggior parte delle organizzazioni, la risposta onesta è no. Dovete implementare mitigation a più livelli: segmentazione di rete, WAF virtual patching, monitoring comportamentale, isolation—non potete contare solo su patch.
OpenAI sta facendo qualcosa di simile con GPT?
Sì. Poche settimane dopo l’arrivo di Mythos, il CEO di OpenAI Sam Altman ha annunciato GPT-5.5-Cyber, un modello specificamente calibrato per la cybersecurity, con OpenAI che ha consentito accesso limitato a team di cybersecurity verificati. La competizione tra Anthropic e OpenAI è intensa, e il lato positivo è che la ricerca sulla sicurezza IA accelera.
Conclusione: Project Glasswing è il Turning Point che Temevamo
Mentre il rilevamento AI delle vulnerabilità attraversa una nuova soglia, l’economia e la velocità della cybersecurity offensiva e difensiva sono cambiate per sempre.
Nel mio ruolo di System Administrator e IT Specialist che gestisce infrastrutture complesse, vedo Project Glasswing come il momento in cui il paradigma della sicurezza informatica è passato dall’era delle vulnerabilità scoperte manualmente all’era dell’autonomous threat hunting enterprise su scala industriale.
Non è una soluzione magica—è uno strumento che amplifica i problemi esistenti se non siete preparati. Ma se iniziate oggi a implementare:
- Asset mapping e prioritizzazione critica.
- AI-native scanning con human-in-the-loop approval.
- Defense-in-depth che non si affida solo al patching.
- Governance chiara su come gestire la velocità di remediation.
…allora Project Glasswing diventa il vostro alleato, non il vostro incubo.
Avete iniziato a preparare le vostre infrastrutture per questa nuova realtà? Commentate sotto con la vostra strategia di remediation—mi interessa sapere come altri IT specialist stanno rispondendo alla sfida del 2026.