Due settimane fa, Anthropic ha annunciato una novità destinata a rivoluzionare il panorama della cybersecurity: il modello Claude Mythos Preview, in grado di individuare autonomamente vulnerabilità nei software e trasformarle in exploit funzionanti, senza bisogno di una guida umana. Queste vulnerabilità riguardano sistemi fondamentali come i sistemi operativi e le infrastrutture internet, spesso sfuggite anche agli sviluppatori più esperti.
La capacità di Mythos di automatizzare questo processo solleva preoccupazioni significative sulla sicurezza dei dispositivi e dei servizi che utilizziamo quotidianamente. Per questo motivo, Anthropic ha deciso di non rendere il modello accessibile al pubblico, ma di limitarne l’uso a un numero ristretto di aziende selezionate.
Reazioni e speculazioni nel settore
L’annuncio ha scosso la comunità della sicurezza informatica, lasciando molti osservatori con più domande che risposte. Alcuni ipotizzano che Anthropic non disponga delle risorse hardware necessarie per distribuire il modello su larga scala, e che la scelta di limitare l’accesso sia stata motivata da ragioni pratiche piuttosto che da preoccupazioni di sicurezza. Altri, invece, sostengono che l’azienda stia rispettando la propria missione di sicurezza nell’IA.
Tra hype, marketing e realtà, il dibattito è acceso. Anche gli esperti faticano a districarsi tra le diverse interpretazioni, ma una cosa è certa: Mythos rappresenta un passo avanti, seppur incrementale, in un percorso che sta ridefinendo il modo in cui affrontiamo la cybersecurity.
L’evoluzione dell’IA nella sicurezza informatica
Abbiamo già parlato di Shifting Baseline Syndrome, un fenomeno che porta sia il pubblico che gli esperti a sottovalutare i cambiamenti graduali ma profondi che si verificano nel tempo. Questo è successo con la privacy online e sta accadendo ora con l’IA. Anche se le vulnerabilità scoperte da Mythos avrebbero potuto essere individuate da modelli di intelligenza artificiale precedenti, la capacità di farlo in modo autonomo rappresenta un salto qualitativo rispetto a soli cinque anni fa.
L’annuncio di Mythos ci ricorda che l’IA ha compiuto progressi straordinari in pochissimo tempo. L’individuazione di vulnerabilità nel codice sorgente è un compito in cui i grandi modelli linguistici di oggi eccellono. Che sia successo l’anno scorso o accadrà il prossimo, è chiaro che questa capacità sarebbe arrivata presto o tardi. La vera sfida ora è capire come adattarci a questa nuova realtà.
Un futuro tra asimmetrie e sfide
Non crediamo che un’IA in grado di hackerare autonomamente creerà un’asimmetria permanente tra attacco e difesa. La situazione è più complessa e articolata. Alcune vulnerabilità possono essere scoperte, verificate e risolte automaticamente. Altre, invece, saranno difficili da trovare ma facili da correggere, come nel caso delle applicazioni web ospitate su cloud basate su stack software standard, dove gli aggiornamenti possono essere distribuiti rapidamente.
Ci sono poi sistemi in cui le vulnerabilità sono facili da individuare ma difficili da risolvere, come i dispositivi IoT e le apparecchiature industriali che raramente vengono aggiornate o che non possono essere modificate facilmente. Infine, esistono sistemi in cui le vulnerabilità sono facili da trovare nel codice ma estremamente complesse da verificare nella pratica, come i sistemi distribuiti e le piattaforme cloud composti da migliaia di servizi interagenti in parallelo. In questi casi, distinguere i falsi positivi dalle vulnerabilità reali e riprodurre i problemi diventa un’impresa ardua.
Verso una nuova strategia di difesa
Per affrontare questa complessità, è fondamentale separare le vulnerabilità risolvibili da quelle irrisolvibili e distinguere tra quelle facili e quelle difficili da verificare. Questa tassonomia non solo aiuta a priorizzare gli interventi, ma offre anche una base per sviluppare strategie di difesa più efficaci in un’epoca in cui l’IA sta diventando sempre più potente e autonoma.
Il futuro della cybersecurity non sarà determinato solo dalle capacità tecnologiche, ma anche dalla nostra capacità di adattarci a un panorama in continua evoluzione, in cui l’equilibrio tra attacco e difesa è destinato a ridefinirsi più volte nel corso degli anni.
Articoli correlati
YouTube estende il rilevamento AI delle deepfake a tutti gli utenti adulti
YouTube is expanding its AI likeness detection program to all users over the age of 18 - meaning just about anyone can have the platform hunt for pote...
La controversa transazione da 1,5 miliardi di dollari di Anthropic per violazione del copyright: il giudice blocca l'approvazione
After several authors and class members raised objections to Anthropic's $1.5 billion settlement over its widespread book piracy to train AI, a federa...
ArXiv vieta ai ricercatori che pubblicano articoli generati da AI senza controllo
ArXiv, a popular platform for preprint academic research, is taking a new step to attempt to reduce the volume of papers that include AI slop. If a pa...
arXiv vieta la pubblicazione di contenuti generati da AI con errori
AI-generated slop has shown up everywhere, including in the peer-reviewed literature. Fake citations, unedited prompt responses, and nonsensical diagr...
OpenAI riorganizza la leadership per accelerare lo sviluppo degli agenti AI
OpenAI announced yet another reorganization Friday, consolidating certain areas and making company president Greg Brockman the official lead of all th...
AI alla conduzione radiofonica: quando l’automazione si rivela un disastro
AI radio DJs demonstrated their volatile personalities. | Image: Cath Virginia / The Verge, Getty Images Andon Labs has been running a series of exper...
Google introduce nuove regole contro lo spam per manipolare l'IA nelle ricerche
Google updated its spam policy to mark attempts to "manipulate" its AI model in search results as spam, including results in AI Overview or AI Mode in...
OpenAI permette a ChatGPT di accedere ai tuoi conti bancari: come funziona
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...