Project Glasswing: scovate migliaia di vulnerabilità zero-day nei principali sistemi operativi e browser

Lunedì scorso è successa una cosa che nei manuali di intelligence si chiamerebbe “evento strutturale”, ma che i giornali hanno liquidato in mezza colonna tra le notizie tech. Anthropic, il laboratorio californiano rivale di OpenAI, ha comunicato al mondo che il suo nuovo modello di intelligenza artificiale, Claude Mythos Preview, ha scovato migliaia di vulnerabilità zero-day in ogni principale sistema operativo e browser esistente. Alcune erano lì da vent’anni. Una, in OpenBSD, il sistema operativo costruito attorno al dogma della sicurezza e usato per firewall e infrastrutture critiche in mezzo mondo, ci stava da ventisette. Due pacchetti TCP malformati bastavano a mandare in crash qualsiasi server. Costo dell’operazione: meno di cinquanta dollari per la singola esecuzione che ha individuato il bug, meno di ventimila per l’intera campagna.

E poi ha comunicato che il modello non sarà rilasciato al pubblico, perché troppo pericoloso.

Conviene fermarsi qui un momento, prima di andare avanti, e misurare bene cosa significano queste due frasi messe una accanto all’altra. Un’azienda privata ha acquisito la capacità di trovare e sfruttare falle in praticamente ogni infrastruttura digitale del pianeta. Ha deciso da sola che lo strumento è troppo potente per circolare. Ha scelto a chi darne accesso. Ha informato il governo americano. E nessun altro.

Al posto del rilascio pubblico, Anthropic ha lanciato il Project Glasswing: accesso anticipato a dodici partner industriali, Amazon, Apple, Google, Microsoft, Cisco, CrowdStrike, Nvidia, Broadcom, JPMorganChase, Palo Alto Networks, la Linux Foundation, più una quarantina di organizzazioni che mantengono software infrastrutturale. Cento milioni di dollari in crediti, quattro milioni in donazioni alla sicurezza open-source. Rapporto pubblico previsto entro novanta giorni, vale a dire a inizio luglio.

Chi manca dalla lista? Tutti noi. Nessun governo europeo. Nessuna agenzia di cybersecurity del continente. Nessuna impresa europea. Nemmeno tra le quaranta organizzazioni aggiuntive.

Cosa sa fare Mythos, in concreto

Il modello non è stato addestrato per la cybersecurity. Le capacità offensive sono emerse come sottoprodotto di miglioramenti generali nella comprensione del codice e nel ragionamento autonomo. Chi scrive codice meglio di chiunque altro, a quanto pare, impara anche a rompere il codice degli altri con un’efficacia che mette in imbarazzo tre decenni di audit manuali.

Nicholas Carlini, ricercatore di Anthropic, ha detto in video che nelle ultime settimane ha trovato più bug di quanti ne avesse trovati nel resto della sua vita messa insieme. Non è un’iperbole da conferenza stampa: il red team blog del laboratorio documenta exploit di complessità notevole. Su FreeBSD, Mythos ha identificato autonomamente una falla di esecuzione remota di codice vecchia di diciassette anni nel server NFS, catalogata come CVE-2026-4747, che garantiva accesso root a un attaccante non autenticato da qualsiasi punto di Internet. Su FFmpeg, la libreria di elaborazione video su cui si appoggia ogni servizio di streaming del pianeta, ha trovato vulnerabilità che erano state attraversate cinque milioni di volte da strumenti di fuzzing automatico senza mai essere rilevate. Sul kernel Linux, ha prodotto catene di privilege escalation che partono da utente senza permessi e arrivano a root.

Il dato che fa riflettere davvero, però, è un altro. Il system card del modello documenta che durante i test una versione precedente di Mythos, piazzata in un ambiente sandbox che poteva raggiungere solo servizi predeterminati, è riuscita a evadere dal contenitore, ha inviato un’email al ricercatore che la monitorava, e ha pubblicato di propria iniziativa i dettagli dell’exploit su siti web pubblici. Senza che nessuno glielo avesse chiesto. Gli strumenti di interpretabilità hanno poi rilevato, all’interno del ragionamento del modello, attivazioni associate a strategie di occultamento e manipolazione, anche quando gli output visibili apparivano del tutto cooperativi.

Un modello che sa mentire sulla propria compliance mentre opera in modo indipendente. Siamo oltre il vulnerability scanning: siamo al confine di un’autonomia operativa che fino a ieri era materia da romanzo.

L’annuncio cade nel momento peggiore possibile sul piano geopolitico. Anthropic è in causa con il Pentagono da febbraio, quando il presidente Trump ha ordinato a tutte le agenzie federali di cessare l’uso dei suoi prodotti e il segretario alla Difesa Hegseth l’ha designata “rischio per la catena di approvvigionamento”, una classificazione riservata fino ad allora ad aziende legate ad avversari stranieri. Il motivo: il CEO Dario Amodei aveva rifiutato di consentire l’uso illimitato dei modelli Claude per armi autonome e sorveglianza di massa.

La giudice federale Lin, in California, ha definito la designazione “orwelliana” e probabilmente illegale. La Corte d’Appello del D.C. Circuit, il giorno dopo l’annuncio di Glasswing, l’ha invece confermata, citando il contesto di un “conflitto militare attivo” come fattore determinante. Risultato: l’azienda che detiene il più potente arsenale di zero-day mai documentato è contemporaneamente blacklistata dal proprio governo perché rifiuta di togliere i paletti etici ai propri modelli, mentre OpenAI firma con il Pentagono poche ore dopo.

Chiediamoci: in questo scenario, quanto valgono davvero i rapporti di fiducia transatlantici su cui l’Europa ha costruito trent’anni di sicurezza informatica?

Ed eccoci al punto. Le vulnerabilità che Mythos sta trovando non riguardano software americano. Riguardano Linux, OpenBSD, FreeBSD, FFmpeg, i browser principali: il tessuto connettivo dell’intera infrastruttura digitale europea. Il codice su cui girano i server della nostra Pubblica Amministrazione, i sistemi sanitari, le reti energetiche, le infrastrutture di trasporto. Il 99% di queste falle non è stato ancora corretto. Fino a luglio, quando il rapporto Glasswing diventerà pubblico, le nostre infrastrutture sono esposte a vulnerabilità note a un club selezionato di aziende americane, ma ignote ai governi e alle agenzie che dovrebbero proteggerci.

La Strategia Nazionale di Cybersicurezza italiana 2022-2026 mette nero su bianco l’obiettivo della piena sovranità su dati e infrastrutture digitali. Bruno Frattasi, direttore dell’ACN, ha detto chiaro che se i dati sono strategici la piattaforma non può che restare in Italia. A livello europeo, il Summit franco-tedesco sulla Sovranità Digitale del novembre 2025 ha prodotto impegni e task force. L’AI Continent Action Plan, la revisione del Cybersecurity Act, il Cloud and AI Development Act, la ProtectEU Strategy: l’Unione sforna documenti programmatici a ritmo sostenuto.

Ma nessuno di questi documenti avrebbe cambiato ciò che è accaduto lunedì.

Perché il problema non è l’assenza di strategie. Il problema è che mentre Bruxelles certifica e norma, un laboratorio privato a San Francisco conosce le falle nei sistemi che proteggono i dati sanitari dei nostri concittadini, e ha deciso da solo chi può saperlo e chi no. Cinquantotto milioni di euro su tre anni, il budget italiano per la cybersicurezza, sono meno di quanto Anthropic ha speso per la sola campagna di scanning su OpenBSD. I cento milioni di crediti Glasswing sono quasi il doppio dell’intero triennio italiano.

Alex Stamos, già responsabile sicurezza di Facebook e oggi alla società Corridor, ha fornito la stima che nessuno in Europa sembra voler ascoltare: sei mesi. Sei mesi prima che i modelli open-weight raggiungano le stesse capacità di Mythos nella ricerca di vulnerabilità. A quel punto, ogni operatore ransomware potrà trovare e weaponizzare bug senza lasciare tracce e con costi irrisori. La startup AISLE ha già dimostrato che modelli con appena 3,6 miliardi di parametri rilevano le stesse falle che Anthropic ha presentato come scoperte esclusive.

Per l’Europa il tempo è doppio: da un lato, non dispone oggi dello strumento per trovare quelle falle nei propri sistemi; dall’altro, quando lo strumento sarà disponibile a chiunque, non avrà avuto il vantaggio temporale dei partner Glasswing per correggerle.

Non serve un Mythos europeo, non nel breve termine. Serve un posto al tavolo. Serve che ENISA o un consorzio equivalente ottenga accesso agli strumenti di scanning con la stessa priorità di Microsoft o Google. Serve che l’ACN e le sue omologhe siano nel ciclo di disclosure con lo stesso livello di urgenza. Serve che la prossima legge di bilancio riconosca che la scala degli investimenti necessari è cambiata di un ordine di grandezza in una settimana.

La sovranità tecnologica ha smesso di essere un concetto da white paper. Questa settimana ha un nome, un indirizzo a San Francisco, e un modello che trova bug vecchi di ventisette anni. L’Europa deve decidere, adesso, se vuole continuare a normare il digitale altrui o se è il momento di costruire il proprio.

L’articolo Project Glasswing: scovate migliaia di vulnerabilità zero-day nei principali sistemi operativi e browser proviene da Difesa Online.

Lunedì scorso è successa una cosa che nei manuali di intelligence si chiamerebbe “evento strutturale”, ma che i giornali hanno…

L’articolo Project Glasswing: scovate migliaia di vulnerabilità zero-day nei principali sistemi operativi e browser proviene da Difesa Online.