Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Claude Mythos di Anthropic, è stato presentato come un modello capace di individuare migliaia di vulnerabilità zero-day. Sono stati mostrati risultati molto più limitati secondo un’analisi del database CVE. Solo circa 40 vulnerabilità risultano effettivamente attribuite a ricercatori collegati all’azienda, mentre una sola è direttamente legata al progetto Glasswing. Il caso evidenzia come le vulnerabilità non verificate sollevano dubbi sulla trasparenza dei risultati dichiarati.
Patrick Garrity, specialista di VulnCheck, ha cercato di determinare quante vulnerabilità il nuovo modello di intelligenza artificiale Claude Mythos di Anthropic abbia effettivamente individuato nell’ambito del progetto Glasswing. Ricordiamo che gli sviluppatori hanno segnalato migliaia di vulnerabilità zero-day.
All’inizio di questo mese, Anthropic ha presentato l’anteprima di Claude Mythos, affermando che il modello era così efficace nell’individuare vulnerabilità e creare exploit che la sua pubblicazione avrebbe scatenato il caos.
Invece, l’azienda ha lanciato Project Glasswing, un programma chiuso che ha dato a circa 50 partner (tra cui Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia e altri) accesso al modello per individuare i problemi nei propri prodotti.
Garrity ha deciso quindi di verificare le audaci affermazioni di Anthropic e ha esaminato il registro CVE, che contiene oltre 327.000 voci. ha cercato tutte le voci contenenti la parola “Anthropic” a partire da febbraio 2026 e analizzò manualmente i risultati.
Dei 75 record trovati, 35 si sono rivelati vulnerabilità negli strumenti di Anthropic stessa: Claude Code, MCP Inspector e integrazioni di terze parti. Queste vulnerabilità non erano correlate al Progetto Glasswing. I restanti 40 record sono stati attribuiti a ricercatori di Anthropic o affiliati all’azienda, ma è impossibile garantire che sia stato il modello Mythos a scoprire le vulnerabilità.
Questi 40 CVE sono suddivisi tra tre gruppi: il team di ricerca principale di Anthropic, il ricercatore Nicholas Carlini e la società di sicurezza indipendente Calif.io, che gestisce il programma Month of AI-Discovered Bugs (MADBugs) e attribuisce il lavoro a Claude.
La ripartizione per fornitore è la seguente: 28 delle 40 vulnerabilità sono state riscontrate nel browser Firefox, nove nella libreria integrata wolfSSL, una in F5 NGINX Plus e una ciascuna in FreeBSD e OpenSSL.
| Vendor | Product | # of CVEs |
|---|---|---|
| Mozilla | Firefox | 28 |
| wolfSSL | wolfSSL | 9 |
| F5 | NGINX Plus | 1 |
| FreeBSD | FreeBSD | 1 |
| OpenSSL | OpenSSL | 1 |
Delle 28 vulnerabilità di Firefox attribuite ai ricercatori di Anthropic, la maggior parte ha ricevuto valutazioni critiche: 12 bug hanno ottenuto un punteggio di 9,8 sulla scala CVSS. L’attribuzione elenca un team di sette persone che hanno lavorato su Claude: Evyatar Ben Asher, Keane Lucas, Nicholas Carlini, Newton Cheng, Daniel Freeman, Alex Gaynor e Joel Weinberger. Tuttavia, non è ancora chiaro se questi bug siano correlati a Mythos o se siano stati scoperti indipendentemente dal team.
Solo una CVE era direttamente collegata a Glasswing, il CVE-2026-4747, un bug di esecuzione di codice remoto in FreeBSD. La voce CVE elenca Nicholas Carlini, ma il blog di Anthropic ha menzionato specificamente questa vulnerabilità: secondo gli sviluppatori, Mythos Preview ha scoperto e sfruttato autonomamente una vulnerabilità di esecuzione di codice remoto (RCE) di 17 anni in FreeBSD che consente l’accesso root tramite NFS.
Anthropic ha inoltre scritto che il suo modello ha scoperto un bug di 27 anni in OpenBSD e una vulnerabilità vecchia di 16 anni in FFmpeg, ma a nessuno di questi problemi è stato ancora assegnato un identificativo CVE.
“Il quadro completo diventerà chiaro solo dopo la divulgazione pubblica delle vulnerabilità. Anthropic ha dichiarato che pubblicherà un rapporto intorno a luglio 2026”, scrive Garrity.
Inoltre, nel suo articolo, il ricercatore suggerisce all’azienda di creare una pagina dedicata alla pubblicazione di notifiche sulla sicurezza informatica e alla divulgazione delle vulnerabilità, in modo che il settore possa constatare i risultati concreti del lavoro di Claude Mythos e del Progetto Glasswing.
