Claude Mythos, il modello di intelligenza artificiale che Anthropic aveva tenuto chiuso per la sua capacità di individuare vulnerabilità informatiche finora sfuggite, sarebbe stato accessibile a utenti non autorizzati. La fuga — emersa da fonti che hanno parlato con Bloomberg — riaccende il dibattito sul controllo delle tecnologie sensibili e sui rischi per la sicurezza digitale.
Anthropic aveva riservato Mythos a un gruppo selezionato di partner nell’ambito del consorzio Project Glasswind, citando la delicatezza del progetto: il modello è pensato proprio per scovare errori profondi nei prodotti software. La notizia che persone esterne abbiano avuto modo di provarlo apre scenari concreti di rischio e responsabilizza istituzioni e aziende a misure immediate.
Come sarebbe avvenuto l’accesso
Silent Hill Townfall PS5: preorder al minimo su Amazon dopo lo State of Play
Apple svela Siri potenziata: l’IA che rivoluziona l’iPhone
Secondo le informazioni raccolte, l’intrusione non sarebbe stata opera di hacker professionisti alla ricerca di danno, ma di una comunità su Discord specializzata nel trovare modelli non ancora pubblici. Il passaggio chiave sarebbe stato la combinazione di dati parziali trapelati su GitHub, riconducibili a una fuga dalla startup Mercor, e alle credenziali in possesso di un fornitore esterno di Anthropic.
Un dipendente di questo fornitore sarebbe riuscito a sfruttare quelle tracce e alcune tecniche di scanning automatico per localizzare e aprire un «accesso» dove Mythos era ospitato. La scoperta è avvenuta il 7 aprile, giorno in cui Anthropic annunciava pubblicamente il progetto e il relativo vincolo di accesso a pochi partner.
La fonte che ha riferito l’accaduto a Bloomberg ha fornito screenshot come prova. I membri del gruppo affermano di aver usato il modello principalmente per «giocare» e sperimentare, e non per causare danni; tuttavia, sempre secondo le ricostruzioni, avrebbero ottenuto accesso anche ad altri sistemi di Anthropic non ancora pubblici.
Perché la fuga preoccupa
L’elemento che rende il caso particolarmente sensibile è la natura stessa di Mythos: un’intelligenza artificiale che trova falle software potrebbe — nelle mani sbagliate — agevolare la creazione di strumenti per attacchi informatici più sofisticati. Anthropic aveva limitato l’accesso proprio per evitare questo tipo di rischi, concedendo l’uso del modello solo a nomi come Apple, Amazon Web Services, Microsoft, Cisco e CrowdStrike; al momento, non risulta inclusa la partecipazione di enti europei.
Se l’utilizzo rimanesse confinato a esperimenti innocui e sviluppo software, l’impatto potrebbe restare contenuto. Ma non è possibile escludere che altre entità possano replicare tecniche simili per scopi offensivi.
Alessandro Armando, direttore del CINI Cybersecurity National Lab, ha sottolineato che tecnologie analoghe potrebbero essere usate per costruire «una minaccia rilevante» alla sicurezza digitale e ha invitato a rafforzare la preparazione nazionale per fronteggiare potenziali scenari di abuso.
La vicenda mette in luce due nodi: la difficoltà di blindare risorse digitali distribuite su più fornitori e piattaforme e la velocità con cui comunità online riescono a mappare e aggirare meccanismi di protezione. Per aziende e istituzioni significa aggiornare pratiche di controllo accessi, monitoraggio delle credenziali e verifica delle catene di fornitura.
Anthropic non ha ancora rilasciato un dettagliato resoconto pubblico sull’accaduto. Nel frattempo, la priorità per gli operatori del settore rimane impedire che modelli potenti come Claude Mythos finiscano dove possono essere sfruttati per compromettere la sicurezza informatica di sistemi critici.
La vicenda è in evoluzione: monitoreremo gli sviluppi e le eventuali azioni di mitigazione annunciate dall’azienda e dai partner coinvolti.
