{"id":1881,"date":"2026-05-02T12:11:14","date_gmt":"2026-05-02T10:11:14","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-anthropic-vulnerability-detection-2026\/"},"modified":"2026-05-02T12:11:14","modified_gmt":"2026-05-02T10:11:14","slug":"project-glasswing-anthropic-vulnerability-detection-2026","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-anthropic-vulnerability-detection-2026\/","title":{"rendered":"Project Glasswing di Anthropic ad Aprile 2026: Come Claude Mythos Accelera la Scoperta di Zero-Day \u2014 La Mia Analisi del Patching Automatizzato e della Cybersecurity IA-Nativa"},"content":{"rendered":"

Nel mio ruolo di system administrator<\/strong> e IT security specialist<\/strong>, ho sempre dato per scontato che scoprire e patchare vulnerabilit\u00e0 critiche fosse una corsa contro il tempo tra fornitori di software e attaccanti. Ma ad aprile 2026, Anthropic ha lanciato Project Glasswing<\/strong>, e il paradigma \u00e8 cambiato radicalmente. Quello che vi mostro qui non \u00e8 solo una novit\u00e0 nel panorama AI; \u00e8 una reckoning moment per come gestiamo la sicurezza infrastrutturale.<\/p>\n

Negli ultimi settimane, Anthropic ha usato Claude Mythos Preview per identificare migliaia di vulnerabilit\u00e0 zero-day (difetti precedentemente sconosciuti agli sviluppatori del software)<\/cite>, molte critiche, in ogni sistema operativo maggiore e in ogni browser principale. Questo significa che una singola IA frontier model ha fatto scoperte che decine di anni di revisione umana, fuzzing aggressivo e scrutinio open-source avevano perso<\/strong>.<\/p>\n

In questa guida tecnica, vi spiego come Project Glasswing cambier\u00e0 il mio approccio al patching automatizzato, perch\u00e9 gli attuali cicli di remediation sono ormai insufficienti, e quali azioni concrete devo intraprendere per mantenere sicuri i sistemi dei miei clienti nel 2026.<\/p>\n

Che cos’\u00e8 Project Glasswing e Perch\u00e9 Anthropic Non Rilascia Mythos al Pubblico<\/h2>\n

Anthropic ha formato Project Glasswing perch\u00e9 ha osservato capacit\u00e0 in un nuovo frontier model che ritiene possa ridefinire la cybersecurity. Claude Mythos Preview \u00e8 un modello general-purpose non ancora rilasciato che rivela un fatto evidente: i modelli IA hanno raggiunto un livello di capacit\u00e0 di coding dove possono superare tutti tranne gli umani pi\u00f9 abili nella ricerca e nello sfruttamento di vulnerabilit\u00e0 software<\/cite>.<\/p>\n

Tecnicamente, il motivo della scelta di Anthropic di non rilasciare Mythos al pubblico<\/strong> \u00e8 strategicamente fondamentale per la mia sicurezza: Anthropic ha detto che non lo rilascia al pubblico per le sue capacit\u00e0 di cyberattacco, e ha lanciato Project Glasswing per eseguire il modello su una serie intera di software pubblico e proprietario, con l’obiettivo di trovare e patchare tutte le vulnerabilit\u00e0 prima che gli hacker ottengano il modello e le sfruttino<\/cite>.<\/p>\n

Nella mia esperienza, questo \u00e8 il contrario della strategia di OpenAI: Anthropic ha scelto controlled rollout con gated access<\/strong> piuttosto che una corsa all’annuncio. Project Glasswing \u00e8 un’iniziativa di cybersecurity difensiva di Anthropic da $100 milioni che fornisce accesso curato a Mythos Preview a 11 major technology companies e organizzazioni. I partner includono AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, il Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks<\/cite>.<\/p>\n

Le Capacit\u00e0 di Claude Mythos: 21 Zero-Day in Chrome e Decine di Anni di Bug Nascosti<\/h2>\n

Quando ho letto i dettagli tecnici sul blog Frontier Red Team di Anthropic, ho dovuto rileggere due volte. Durante i test, Anthropic ha scoperto che Mythos Preview \u00e8 capace di identificare e sfruttare zero-day vulnerabilit\u00e0 in ogni sistema operativo maggiore e ogni browser principale quando diretto da un utente a farlo. Le vulnerabilit\u00e0 che trova sono spesso sottili o difficili da rilevare. Molte hanno 10 o 20 anni, con la pi\u00f9 vecchia trovata finora essendo un bug ormai patchato di 27 anni in OpenBSD<\/cite>.<\/p>\n

Pi\u00f9 specificamente sul fronte Chrome: Google ha rilasciato aggiornamenti di sicurezza per Chrome per affrontare 21 vulnerabilit\u00e0, incluso un flaw zero-day che dice \u00e8 stato sfruttato in natura<\/cite>. Come sysadmin che manteneva una flotta di browser Chromium, questa \u00e8 una delle patch releases pi\u00f9 significative che ho visto per motivi di volume e gravit\u00e0<\/strong>.<\/p>\n

L’Exploit Autonomo: 4 Vulnerabilit\u00e0 Concatenate e JIT Heap Spray<\/h2>\n

Una cosa che mi ha impressionato particolarmente \u00e8 la sofisticazione dell’exploit generation<\/strong>. Gli exploit che costruisce non sono solo semplici stack-smashing exploits (anche se come mostrer\u00f2, pu\u00f2 farlo anche). In un caso, Mythos Preview ha scritto un exploit del browser che ha concatenato insieme quattro vulnerabilit\u00e0, scrivendo uno heap spray JIT complesso che \u00e8 scappato sia dai sandbox renderer che OS<\/cite>.<\/p>\n

Questo \u00e8 il livello di reasoning che solo i ricercatori di security di top tier<\/strong> potevano fare manualmente in mesi. Un’IA frontier l’ha fatto in minuti.<\/p>\n

Il Problema Reale: Trovare i Bug \u00e8 Facile, Fixarli \u00e8 il Calvario<\/h2>\n

Ma ecco dove la narrativa ottimistica si scontra con la realt\u00e0 operativa. Durante il mio lavoro in questi giorni, ho notato un numero critico che dovrebbe tenere svegli i security leader di notte<\/strong>: meno dell’1% delle vulnerabilit\u00e0 trovate da Mythos sono state patchate<\/cite>.<\/p>\n

Pensateci un momento. Il motore di scoperta vulnerabilit\u00e0 pi\u00f9 potente mai costruito \u00e8 stato eseguito contro il software critico del mondo, e l’ecosistema non poteva assorbire l’output.<\/p>\n

Glasswing ha risolto il problema della ricerca. Nessuno ha risolto il problema della correzione<\/cite>. E questo mi spinge a ripensare completamente<\/strong> come gestisco il patching automatizzato nei miei ambienti.<\/p>\n

Mythos Preview ha Trovato Migliaia di Zero-Day: Ma Quanti Sono Realmente Disclosed?<\/h2>\n

Quando ho cercato di verificare gli annunci ufficiali, ho scoperto qualcosa di interessante. Anthropic ha confermato che Mythos ha identificato “migliaia” di vulnerabilit\u00e0 zero-day, ma non ha divulgato il numero esatto per prevenire lo sfruttamento. Oltre il 99% delle vulnerabilit\u00e0 scoperte rimanevano non patchate al momento dell’annuncio del 7 aprile 2026<\/cite>.<\/p>\n

Nel mio blog ho gi\u00e0 scritto su Patch Tuesday Aprile 2026 con 167 vulnerabilit\u00e0<\/a>, ma i numeri di Project Glasswing sono in un ordine di grandezza diverso. E questo cambia tutto il mio modello di gestione del rischio.<\/p>\n

Come Mythos Preview Scopre Vulnerabilit\u00e0: La Tecnica Dietro il Benchmark<\/h2>\n

Voglio mostrare cosa differenzia Mythos da altri strumenti di sicurezza, perch\u00e9 nella mia esperienza le capacit\u00e0 di reasoning end-to-end cambiano il gioco<\/strong>. Mythos non usa tecniche tradizionali di program analysis come fuzzing o software composition analysis. Invece:<\/p>\n