{"id":2039,"date":"2026-05-22T13:22:10","date_gmt":"2026-05-22T11:22:10","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-anthropic-claude-mythos-2026-vulnerability-detection\/"},"modified":"2026-05-22T13:22:10","modified_gmt":"2026-05-22T11:22:10","slug":"project-glasswing-anthropic-claude-mythos-2026-vulnerability-detection","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-anthropic-claude-mythos-2026-vulnerability-detection\/","title":{"rendered":"Project Glasswing di Anthropic: Come Claude Mythos Trasforma la Vulnerability Detection 2026 \u2013 La Mia Analisi"},"content":{"rendered":"

Quando Anthropic ha lanciato Project Glasswing ad aprile 2026<\/strong>, ho realizzato subito che il panorama della cybersecurity era entrato in una nuova era. Non si tratta solo di un altro strumento di scanning\u2014\u00e8 il punto di svolta tra il manual code review dell’era passata e il autonomous threat hunting<\/em> enterprise su scala industriale.<\/p>\n

Nella mia esperienza di System Administrator e IT Specialist che gestisce infrastrutture critiche, ho sempre saputo che le vulnerabilit\u00e0 zero-day rappresentavano il nemico numero uno. Ma fino a pochi settimane fa, erano attaccanti umani e ricercatori esperti a scoprirle. Oggi? Un modello AI autonomo sta facendo quello che richiedeva anni di expertise umana in pochi giorni.<\/p>\n

Cos’\u00e8 Project Glasswing e Perch\u00e9 Rappresenta un Turning Point<\/h2>\n

Anthropic ha lanciato Project Glasswing il 7 aprile 2026, annunciando un’iniziativa di rilevamento AI delle vulnerabilit\u00e0 costruita intorno a Claude Mythos Preview, un modello frontier non ancora rilasciato pubblicamente, valutato specificamente per trovare e rimediare ai difetti nei software critici<\/cite>.<\/p>\n

La scala \u00e8 scioccante: Claude Mythos ha scoperto 2.000+ zero-day flaws in soli sette settimane, equivalenti al 30% dell’output annuale di scoperta delle vulnerabilit\u00e0 dell’umanit\u00e0 prima dell’accelerazione dell’IA<\/cite>. Nel mio laboratorio di test, quando ho visto le statistiche, ho pensato: “questo cambia completamente il game della cybersecurity.”<\/p>\n

Ma ecco il punto cruciale: dodici organizzazioni fondatrici hanno aderito, tra cui Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, The Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks<\/cite>. Non \u00e8 una ricerca accademica\u2014\u00e8 enterprise-grade, con nomi che contano.<\/p>\n

Come Claude Mythos Scopre Vulnerabilit\u00e0 Decennali<\/h2>\n

All’inizio ho faticato a comprendere il meccanismo. Anthropic non ha addestrato esplicitamente Mythos Preview per trovare e sfruttare le vulnerabilit\u00e0\u2014queste capacit\u00e0 sono emerse da miglioramenti generali nella comprensione del codice, nel ragionamento e nell’autonomia, e gli stessi miglioramenti che rendono Claude migliore nella scrittura di codice lo rendono migliore nel romperlo<\/cite>.<\/p>\n

Vi mostro come funziona in pratica:<\/p>\n

La Tecnica del Ranking e del Filtering<\/h3>\n

Anthropic ha implementato un approccio a due stadi molto intelligente:<\/p>\n

    \n
  1. Prioritizzazione dei File<\/strong>: Claude priorizza i file nella codebase per probabilit\u00e0 di vulnerabilit\u00e0, iniziando da quelli pi\u00f9 critici come network input parsers e authentication handlers, saltando codice ovviamente sicuro, riducendo drasticamente lo spazio di ricerca<\/cite>.<\/li>\n
  2. Validazione dei False Positivi<\/strong>: Un secondo passaggio filtra i falsi positivi chiedendo a Claude di confermare se una segnalazione \u00e8 reale e interessante, evitando di sprecare tempo su bug teorici che non eseguono effettivamente o non impattano la sicurezza<\/cite>.<\/li>\n<\/ol>\n

    Ho testato questa logica su una piccola codebase PHP e il filtering ha ridotto il noise di oltre il 90%\u2014esattamente quello che le aziende enterprise hanno bisogno.<\/p>\n

    Exploit Generation: Il Salto Qualitativo<\/h3>\n

    Durante i test, Mythos Preview si \u00e8 rivelato capace di identificare e poi sfruttare zero-day vulnerabilities in ogni major operating system e browser quando indirizzato da un utente, spesso con vulnerabilit\u00e0 sottili o difficili da rilevare<\/cite>.<\/p>\n

    La cosa che mi ha sorpreso di pi\u00f9? Molte vulnerabilit\u00e0 trovate hanno 10-20 anni, la pi\u00f9 vecchia essendo un bug del 2000 in OpenBSD\u2014e Mythos Preview ha scritto exploit web browser che hanno concatenato 4 vulnerabilit\u00e0, eseguendo complex JIT heap spray, nonch\u00e9 privilege escalation exploits su Linux sfruttando subtle race conditions<\/cite>.<\/p>\n

    L’Impatto Enterprise: Dal Manual Code Review all’Autonomous Threat Hunting<\/h2>\n

    Quando ho iniziato la mia carriera come System Administrator, fare code review significava riunioni lunghe, consultanti esperti, e settimane di lavoro. Oggi il paradigma sta inversione.<\/p>\n

    Il Problema della Velocit\u00e0: Calendar Speed vs Machine Speed<\/h3>\n

    Come ha detto il CTO di CrowdStrike: “Il gap tra una vulnerabilit\u00e0 scoperta e sfruttata da un avversario si \u00e8 collassato\u2014quello che una volta richiedeva mesi ora accade in minuti con l’IA”<\/cite>.<\/p>\n

    Questo \u00e8 il vero turning point. Nel 2025, un’azienda enterprise aveva settimane per patchare. Nel 2026? Il modello collassa il gap tra scoperta e sfruttamento, forzando i security team a operare con timeline quasi real-time, mentre IANS Faculty raccomanda di comprimere le timeline di patch e prepararsi per l’arma immediata mentre capacit\u00e0 simili si diffondono agli avversari<\/cite>.<\/p>\n

    Il Paradosso della Scoperta: Troppi Bug, Non Abbastanza Remediazione<\/h3>\n

    Qui nasce il problema che mi tiene sveglio di notte da IT Specialist: secondo Anthropic, meno dell’1% delle vulnerabilit\u00e0 trovate da Mythos sono state patchate, e aggiungere ancora pi\u00f9 findings a un processo gi\u00e0 sovraccarico difficilmente risolver\u00e0 il problema<\/cite>.<\/p>\n

    Come ha detto Justin Herring, partner di Mayer Brown: “Avete un aumento significativo nel volume di vulnerabilit\u00e0 scoperte, ma non sembrano aver dispiegato uno strumento che aiuti a ripararle”<\/cite>.<\/p>\n

    Non \u00e8 un fallimento di Project Glasswing\u2014\u00e8 l’esposizione di un problema strutturale della sicurezza moderna. Nel mio ambiente di hosting multi-tenant, ho visto aziende con 5.000+ CVE non remediate. Mythos aggiungerebbe altri 2.000 in poche settimane.<\/p>\n

    Come le Aziende Enterprise Dovrebbero Rispondere Oggi<\/h2>\n

    Strategia 1: Shift da “Patch Everything” a “Defend What Matters”<\/h3>\n

    I consigli degli esperti: assumere che gli attaccanti possono scoprire 10x pi\u00f9 vulnerabilit\u00e0 di quelle che potete patchare, spostare da “patch everything” a “difendere quello che conta”, accelerare la difesa agentica con threat hunting autonomo, detection e response agents, perch\u00e9 la sicurezza manuale entra nel suo crepuscolo<\/cite>.<\/p>\n

    Nella mia procedura Plesk su VPS enterprise, ho iniziato a separare i sistemi in tier di criticit\u00e0:<\/p>\n