Nel mondo della sicurezza informatica, dove ogni vulnerabilità è una crepa da sigillare prima che qualcuno la allarghi, sta emergendo un nuovo protagonista che rischia di cambiare le regole del gioco. Non è un gruppo di hacker particolarmente brillante né una nuova tecnica rivoluzionaria, ma un modello di intelligenza artificiale.
Si chiama Mythos ed è sviluppato da Anthropic. Secondo Claudia Plattner, presidente della BSI, l’agenzia federale tedesca per la sicurezza informatica, rappresenta un vero “cambiamento di paradigma nella natura delle minacce informatiche”. Una frase che, nel linguaggio prudente delle agenzie governative, equivale a dire: attenzione, qui le cose stanno cambiando sul serio.
Il punto non è semplicemente che l’AI stia diventando più brava. È che, secondo le informazioni condivise con le autorità tedesche, Mythos sarebbe già in grado di superare le capacità umane nell’individuare e sfruttare vulnerabilità nei software. In altre parole, ciò che oggi richiede team altamente specializzati e settimane di lavoro, domani potrebbe essere eseguito da un modello in tempi drasticamente ridotti.
Il dialogo tra Anthropic e il BSI è già avviato e definito “attivo”. Non si tratta di una supervisione formale, ma di uno scambio tecnico che segnala quanto seriamente le istituzioni europee stiano prendendo la questione. Il modello, per ora, non è stato testato direttamente dall’agenzia tedesca, ma gli sviluppatori hanno fornito informazioni considerate rilevanti per comprenderne il funzionamento e il potenziale impatto.
Anthropic, dal canto suo, sta procedendo con cautela. Mythos è stato condiviso con un gruppo ristretto di 12 aziende di cybersecurity e circa 40 organizzazioni selezionate, con l’obiettivo di sottoporlo a stress test su infrastrutture reali. Un approccio che ricorda più un esperimento controllato che un lancio commerciale, segno che anche chi costruisce questi strumenti è consapevole della loro natura ambivalente.
Perché il vero nodo è proprio questo. Un sistema capace di individuare falle con precisione superiore a quella umana può diventare il miglior alleato dei difensori, ma anche l’arma perfetta per attaccanti sofisticati. Gli esperti temono che, in mani sbagliate, tecnologie di questo tipo possano facilitare violazioni su larga scala lungo le catene tecnologiche globali, dove basta un punto debole per compromettere interi ecosistemi.
Il tema non arriva in un vuoto normativo o culturale. Negli ultimi mesi, le autorità europee hanno intensificato gli avvertimenti sull’impatto dell’intelligenza artificiale nella sicurezza digitale. Già a febbraio, il direttore di ENISA aveva descritto l’evoluzione dell’AI come una “tempesta” in arrivo. Mythos, a questo punto, sembra meno una nuvola all’orizzonte e più il primo tuono.
Secondo Plattner, lo scenario di medio periodo potrebbe essere ancora più radicale. Le vulnerabilità software “classiche” potrebbero diventare sempre più rare o difficili da individuare, non perché i sistemi siano improvvisamente perfetti, ma perché l’intero ciclo di scoperta e sfruttamento cambierà natura. Una trasformazione che rischia di spostare l’equilibrio tra attacco e difesa in modi difficili da prevedere.
Ed è qui che l’ironia lascia spazio a una riflessione più concreta. Per anni la cybersicurezza ha funzionato come una corsa agli armamenti tra esseri umani: chi trova prima la falla, chi la sfrutta meglio, chi la chiude più in fretta. Con l’ingresso di modelli come Mythos, la gara potrebbe diventare qualcosa di diverso, dove gli algoritmi competono tra loro a velocità che non appartengono più alla scala umana.
La sensazione, sempre più diffusa tra regolatori e addetti ai lavori, è che la sicurezza informatica stia entrando in una nuova fase. Non più solo una questione di patch e firewall, ma di gestione di sistemi intelligenti capaci di scoprire debolezze prima ancora che qualcuno sappia di averle.
E mentre le aziende testano e le agenzie osservano, una cosa appare già chiara: nel futuro della cybersicurezza, il problema non sarà solo difendersi dagli hacker. Sarà capire come convivere con intelligenze artificiali che potrebbero essere, allo stesso tempo, i migliori difensori e i peggiori attaccanti.