Quando ad aprile Anthropic ha svelato Claude Mythos Preview, ha suscitato reazioni estreme. Da un lato chi gridava alla svolta epocale; dall'altro chi liquidava tutto come marketing aggressivo di un vendor che vuole a tutti i costi differenziarsi dalla concorrenza. Riflettendo con la dovuta calma, c’è sempre più la sensazione che il dato davvero rilevante sia quanto tempo ci ha messo Mythos per fare quello che ha fatto, qualsiasi cosa fosse.

Quasi tutti si sono focalizzati sui numeri (181 exploit funzionanti su Firefox in un singolo benchmark, 10 compromissioni complete su target OSS-Fuzz patchati, una stima del 73% di successo su task di livello esperto certificata dall'AI Security Institute britannico, eccetera). I fan di Anthropic li hanno citati come prova di una “rottura tecnologica” senza precedenti; gli scettici hanno replicato che la disclosure selettiva rende i dati non verificabili, che molte delle vulnerabilità trovate non avevano exploit già pronti. Tutto vero, tutto legittimo, tutto poco rilevante rispetto al problema reale.

Il problema reale lo ha formulato Jan-Jaap Jager di Acronis in un blog post dedicato al "Mythos moment": i sistemi agentici accorciano l'intervallo tra il momento in cui viene identificata una falla e il momento in cui quella falla viene sfruttata. Aiutano chi attacca ad adattare il percorso d'attacco in funzione dello stack software specifico della vittima designata, del livello di patch, della struttura dei privilegi, delle abitudini operative. E aumentano la probabilità che la pressione atterri esattamente dove la maggior parte delle organizzazioni è ancora esposta: la patch in ritardo, l'endpoint non gestito, l'identità esposta, il cloud mal configurato.

Questo è il parametro che ridisegna il perimetro: la velocità con cui un agente autonomo può passare dall'individuazione di una vulnerabilità alla costruzione di un exploit funzionante, senza bisogno di competenze specialistiche, senza fermarsi a pianificare il passo successivo, senza le pause che nel modello di attacco tradizionale davano alla difesa il tempo di reagire.

Un manager di alto livello con cui ho parlato qualche settimana fa ha sottolineato che due degli exploit kit costruiti da Mythos su vulnerabilità già note sono stati completati in un giorno. A spanne, il costo totale in token sarà stato di circa 3.000 dollari. Una cifra che non richiede risorse di uno stato-nazione, non richiede le competenze tecniche di alto livello di un gruppo APT strutturato. In altre parole, la soglia d'ingresso è scesa sotto ai livelli di guardia.

La superficie esposta non si limita al codice. Ad aprile, la violazione di Vercel ha mostrato come il rischio si sia spostato anche verso i tool AI di terze parti integrati nei workflow aziendali: un dipendente aveva autorizzato un'applicazione AI esterna ad accedere al proprio account Google Workspace aziendale con permessi illimitati, e quella catena di fiducia è diventata il vettore dell'intrusione. Se ne deduce che il perimetro da difendere include agenti, connettori, servizi AI e flussi di dati che si inseriscono tra le persone e i sistemi produttivi.

Attenzione: i detrattori hanno portato avanti contestazioni giustissime. Chi ha fatto girare Mythos sul proprio codice ha riportato risultati inferiori a quelli prospettati; per esempio il fondatore di cURL ha fatto analizzare il suo codice con il nuovo motore e ne è risultata una vulnerabilità, non cinque come alcuni titoli avevano preannunciato. Molti esperti quotati reputano che Mythos non stia inventando nulla, stia solo applicando con potenza computazionale straordinaria pattern che già esistevano nel suo training set. Anche questo è vero. Ma il punto è un altro. Per spiegarlo prendo il prestito un esempio azzeccatissimo che ho sentito in una presentazione: trent'anni fa Deep Blue batté Kasparov per pura forza bruta, senza creatività autentica. Nessuno si alzò da quel tavolo pensando che il risultato fosse meno reale. La capacità c'è, il costo d'accesso è sceso, e questo è ciò che conta operativamente.

Un altro punto sul quale vale la pena soffermarsi è la prioritizzazione. Fino ad oggi la prioritizzazione delle vulnerabilità è stato un problema che apparteneva quasi esclusivamente alla difesa: troppe CVE, risorse limitate, decisioni difficili su cosa patchare e quando. Chi attaccava non aveva lo stesso problema di selezione, perché il pool di zero-day sfruttabili era comunque dimensionato su capacità umane. Con modelli come Mythos anche chi attacca avrà presto a disposizione uno strumento di prioritizzazione ad alta efficacia. Lo scenario che emerge è quello di attacchi più selettivi, più mirati, più efficaci nel colpire la finestra di esposizione effettiva.

La domanda da porsi quindi è: se i sistemi agentici comprimono il ciclo offensivo, cosa deve fare chi difende? Deve comprimere il ciclo di controllo con la stessa logica: riduzione continuativa della superficie esposta, patching più rapido, hardening più stretto, meno software non gestito, meno sistemi non monitorati. Significa portare il tempo medio di contenimento da ore a minuti, e l’unico modo per farlo è pre-autorizzare le azioni di risposta invece di aspettare le escalation. Significa smettere di costruire programmi di patching su una cadenza di 30 o 90 giorni, perché quel limite si sta dissolvendo rapidamente.

Se ci si pensa bene, l'attaccante che usa Mythos non ha nemmeno bisogno di trovare nuove vulnerabilità. Può prendere un repository di CVE già note (molte delle quali non avevano ancora un exploit kit solo perché costruirne uno era difficile, costoso e richiedeva competenze specifiche), e passarle a Mythos per avere un exploit funzionante per una percentuale di essi. Poco importa che gli exploit in output funzionino “solo” per metà o per un terzo delle CVE: è più che sufficiente per creare danni ingenti.

Una difesa adeguata

Mythos è il primo di una serie. Adesso tutti parlano di Mythos perché ha sollevato una bufera mediatica, ma il mercato dei modelli di frontiera è ben popolato e siamo solo all’inizio. OpenAI ha risposto al rilascio di Mythos con GPT-5.4 Cyber. In linea generale, i modelli commerciali stanno mantenendo un vantaggio di circa sei mesi sui modelli open o minori, ma quel margine si sta assottigliando. Entro la fine dell'anno sono attesi sistemi con capacità comparabili a Mythos, probabilmente a costi anche più accessibili.

Senza fare allarmismo, questo cambiamento richiede un cambio di prospettiva da parte dei difensori. Appurato che gli attacchi si muoveranno sempre più velocemente attraverso endpoint, identità, sistemi di collaboration, email e ambienti cloud in parallelo, i team di sicurezza hanno bisogno già ora di contestualizzare gli attacchi, di connettere segnali tra ambienti diversi, di prioritizzare gli eventi che contano e rispondere prima che un'intrusione veloce diventi un'interruzione del business. Serve insomma la più ampia visibilità possibile. Inoltre, gli attacchi AI-assistiti sfruttano tutta la superficie disponibile: la compromissione iniziale può sfruttare l'email; l'escalation può passare per un'identità mal configurata; il movimento laterale può avvenire attraverso tool di collaboration o ambienti cloud. Per una difesa efficace occorre una strategia di resilienza che includa prevenzione, detection, risposta, protezione del dato e recovery.

Inoltre, chi difende deve resistere alla tentazione di pensare che l'AI agentica risolverà tutti i problemi. I modelli linguistici restano sistemi probabilistici, acceleratori potenti per ricerca, sintesi, coding e pianificazione. Ma bisogna tenere sempre in conto degli effetti collaterali, quali allucinazioni, incoerenza e ragionamento fragile in condizioni di incertezza. In definitiva, l’AI agentica è un’alleata indispensabile per accelerare i tempi di reazione, ma la componente umana è centrale per verifica, guardrail, testing e accountability.