{"id":2077,"date":"2026-05-26T21:22:13","date_gmt":"2026-05-26T19:22:13","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-claude-mythos-cve-vulnerability-detection-sdlc\/"},"modified":"2026-05-26T21:22:13","modified_gmt":"2026-05-26T19:22:13","slug":"project-glasswing-claude-mythos-cve-vulnerability-detection-sdlc","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/project-glasswing-claude-mythos-cve-vulnerability-detection-sdlc\/","title":{"rendered":"Project Glasswing di Anthropic: Come Claude Mythos Identifica CVE in Codice \u2013 Implicazioni per Secure SDLC Enterprise"},"content":{"rendered":"

Nel maggio 2026, la situazione della vulnerability detection<\/em> \u00e8 cambiata radicalmente. Anthropic ha pubblicato i primi risultati di Project Glasswing<\/strong>, la sua iniziativa di cybersecurity ristretta che coinvolge circa 50 partner enterprise critici tra cui AWS, Apple, Google, Microsoft, Cisco e JPMorgan Chase. I numeri sono impressionanti ma inquietanti: 23.019 vulnerabilit\u00e0 scoperte in un mese<\/strong>, di cui 6.202 critiche o ad alta gravit\u00e0. E qui sta il problema vero: meno dell’1% di queste \u00e8 stata ancora patchata<\/strong>.<\/p>\n

Io, come system administrator che opera nel 2026, devo affrontare una realt\u00e0 nuova: il modello di intelligenza artificiale frontiera di Anthropic, Claude Mythos Preview<\/em>, scopre i bug pi\u00f9 velocemente di quanto i maintainer possano bere un caff\u00e8<\/strong>. Non si tratta solo di automazione della ricerca. \u00c8 una trasformazione completa del ciclo di vita della sicurezza software (Secure SDLC) a livello enterprise. In questo articolo vi mostro cosa significa concretamente per l’infrastruttura e i processi di sviluppo, basandomi sugli ultimi dati di maggio 2026.<\/p>\n

Cosa \u00e8 Project Glasswing e Claude Mythos Preview<\/h2>\n

Project Glasswing \u00e8 l’iniziativa di cybersecurity ristretta di Anthropic, annunciata il 7 aprile 2026 e che ha riportato i risultati del primo mese il 22 maggio 2026<\/cite>. Accesso limitato, per il momento, a circa 50 organizzazioni partner vetted \u2014 incluse AWS, Apple, Cisco, Google, JPMorgan Chase, Microsoft, NVIDIA, CrowdStrike, Cloudflare e Mozilla \u2014 per esclusivo lavoro di cybersecurity difensivo<\/cite>.<\/p>\n

Un modello preview ristretto chiamato Claude Mythos ha scansionato pi\u00f9 di 1.000 progetti open-source e identificato 23.019 vulnerabilit\u00e0<\/cite>. Ma non \u00e8 questo il valore principale. La caratteristica che distingue Mythos dagli altri modelli di vulnerability scanning \u00e8 questa: quello che questi sistemi fanno di diverso \u00e8 la costruzione autonoma di exploit chain multi-step a scala \u2014 costruire exploit end-to-end funzionanti senza direzione umana<\/cite>.<\/p>\n

In altre parole, Mythos non si limita a trovare il bug. Lo sfrutta. Durante i test, Mythos Preview si \u00e8 dimostrato capace di identificare e poi sfruttare vulnerabilit\u00e0 zero-day in ogni sistema operativo principale e ogni browser web quando diretto da un utente. Le vulnerabilit\u00e0 che trova sono spesso sottili o difficili da rilevare. Molte di esse hanno dieci o venti anni, con la pi\u00f9 vecchia trovata fin qui essendo un bug di 27 anni ormai patchato in OpenBSD<\/cite>.<\/p>\n

I Numeri: Scoperta vs Remediation Bottleneck<\/h2>\n

Quando guardo ai dati di maggio 2026, vedo uno shift fondamentale nel ciclo di life della sicurezza. Delle vulnerabilit\u00e0 scoperte, 6.202 erano stimate ad alta o critica gravit\u00e0. Aziende di sicurezza indipendenti hanno verificato un campione di 1.752 risultati e confermato il 90.6% come bug reali<\/cite>.<\/p>\n

L’impatto reale: Mozilla ha patchato 271 di queste vulnerabilit\u00e0 in Firefox 150 \u2014 una singola release<\/cite>. Cloudflare ne ha trovate 2.000 nella sua infrastruttura critica<\/cite>. E il pi\u00f9 sconcertante: un partner bancario ha fermato un trasferimento fraudolento di 1.5 milioni di dollari durante l’esecuzione<\/cite>.<\/p>\n

Ma qui viene il twist che mi preoccupa dal punto di vista operativo. La sfida primaria si \u00e8 spostata dal trovare le vulnerabilit\u00e0 alla logistica della loro gestione. Perch\u00e9 il modello IA trova i difetti cos\u00ec rapidamente, il bottleneck attuale \u00e8 la velocit\u00e0 con cui umani e organizzazioni possono verificare i risultati, divulgarli alle parti interessate e sviluppare e deployare patch<\/cite>.<\/p>\n

Meno dell’1% delle vulnerabilit\u00e0 trovate da Mythos sono state effettivamente patchate<\/cite>. Non perch\u00e9 gli sviluppatori siano negligenti. Ma perch\u00e9 il modello trova il bug pi\u00f9 velocemente del tempo necessario a un maintainer per bere caff\u00e8<\/cite>.<\/p>\n

L’Impatto Reale sullo Secure SDLC Enterprise: Cambio di Paradigma<\/h2>\n

Come IT specialist, la mia esperienza con processi SDLC tradizionali \u2014 quarterly scans, monthly patching windows, Patch Tuesday \u2014 sta diventando obsoleta. Per la maggior parte del passato decennio, la sfida centrale nella gestione delle vulnerabilit\u00e0 non era trovarle. Era sapere quali correggere prima. I team di sicurezza stavano affogando nei risultati mentre gli attaccanti aspettavano pazientemente il gap tra disclosure e patch<\/cite>.<\/p>\n

Mythos trasforma completamente questo equilibrio. Non accelera solo quella dinamica. Introduce una forza completamente nuova: la scoperta autonoma di vulnerabilit\u00e0 che non hanno mai figurato in nessuna lista CVE, mai triggerato nessuno scanner, e potrebbero aver esistito silenziosamente nel codice di produzione per anni<\/cite>.<\/p>\n

Cosa significa praticamente? Tradizionalmente:<\/p>\n