Prima di procedere
Anthropic, azienda leader nel campo dell'intelligenza artificiale, ha annunciato lo sviluppo di Mythos, una nuova IA progettata per identificare e sfruttare vulnerabilità nei sistemi informatici. A causa delle sue potenti capacità offensive, l'accesso a Mythos sarà inizialmente limitato a un gruppo ristretto di aziende e organizzazioni.
Circa 50 aziende con infrastrutture IT critiche, tra cui Amazon, Apple, Google e la Linux Foundation, avranno accesso a una versione preliminare di Mythos. Logan Graham, responsabile del Frontier Red Team di Anthropic, ha spiegato che le capacità di Mythos nel trovare e sfruttare falle di sicurezza sono così avanzate che l'azienda non prevede di renderla disponibile al pubblico generale nel prossimo futuro.
La crescente efficacia dell'IA nella scoperta di vulnerabilità sta sollevando preoccupazioni nel settore della cybersicurezza. Gli esperti temono che l'IA possa ridurre drasticamente il tempo tra l'individuazione di una vulnerabilità e la creazione di un exploit funzionante. Uno studio dell'Università di Stanford dello scorso anno ha rivelato che le IA sono quasi altrettanto brave degli esperti umani nel trovare e sfruttare bug in reti reali. Un esempio lampante è Claude Opus 4.6, un modello precedente di Anthropic, che all'inizio di quest'anno ha individuato in sole due settimane più vulnerabilità critiche nel browser Firefox di quante ne vengano scoperte normalmente in tutto il mondo in due mesi.
Mythos rappresenta un significativo passo avanti rispetto ai sistemi precedenti, dimostrandosi circa 10 volte più efficiente nel calcolare il costo per la scoperta di un singolo bug. Anche se Anthropic non ha intenzione di rilasciare pubblicamente Mythos, Graham prevede che capacità di hacking simili emergeranno in altre IA nei prossimi anni. Per questo motivo, invita la comunità IT a prepararsi a un futuro in cui il tempo tra la scoperta di una vulnerabilità e il suo sfruttamento in un attacco sarà praticamente azzerato. Le aziende devono quindi rafforzare le proprie difese e adottare strategie di sicurezza proattive per mitigare i rischi derivanti da questa nuova generazione di IA offensive. L'impatto di Mythos e di tecnologie simili potrebbe ridefinire il panorama della cybersicurezza, richiedendo un cambio di paradigma nella protezione dei sistemi informatici.
L'utilizzo di IA per la sicurezza informatica non è una novità assoluta, ma Mythos rappresenta un salto qualitativo. Molte aziende già utilizzano l'IA per monitorare il traffico di rete, identificare anomalie e rispondere automaticamente a minacce. Tuttavia, queste applicazioni sono principalmente difensive. Mythos, invece, è progettato per essere uno strumento offensivo, capace di simulare attacchi e scoprire punti deboli nei sistemi. Questo solleva importanti questioni etiche e di sicurezza. Sebbene Anthropic affermi di voler utilizzare Mythos solo per scopi difensivi, la possibilità che la tecnologia venga utilizzata in modo improprio è reale. Per questo motivo, la decisione di limitare l'accesso a Mythos è comprensibile, ma non risolve il problema di fondo. La corsa all'IA tra le aziende di tecnologia sta portando a sviluppi sempre più rapidi e potenti, e la cybersicurezza deve tenere il passo. La comunità IT deve lavorare insieme per sviluppare standard e linee guida per l'utilizzo responsabile dell'IA nella sicurezza informatica, garantendo che questa tecnologia venga utilizzata per proteggere, e non per danneggiare.
