Anthropic sta valutando di aprire Claude Mythos all’Enisa. L’agenzia europea per la cybersicurezza diventerebbe così la prima istituzione europea a entrare nel programma Project Glasswing, il perimetro controllato dentro cui Anthropic testa il suo modello più avanzato per individuare e correggere vulnerabilità nei sistemi informatici. E per capire quali rischi potrebbero sorgere da Mythos, qualora finisse in mani sbagliate.
Dopo settimane di tensione e preoccupazione per non essere stata coinvolta nella sperimentazione, la Commissione europea ha confermato di avere avviato colloqui “produttivi” con la società guidata dai fratelli Amodei.
Glasswing si allarga: 200 partner in 15 Paesi
Mentre apre le porte a Bruxelles, Anthropic continua ad espandere in modo significativo il suo Project Glasswing: secondo Reuters, il programma, avviato il 7 aprile con una cinquantina di partner selezionati, raggiungerà presto circa 200 organizzazioni in oltre 15 Paesi.
Con questa espansione, la sperimentazione includerà settori finora sottorappresentati ma ad alto rischio, come energia, acqua, sanità, telecomunicazioni e hardware. L’obiettivo dichiarato dal colosso dell’Ai (e di chi richiede l’accesso al programma) è portare Mythos laddove un attacco informatico metterebbe a rischio i dati o l’approvvigionamento di 100 milioni di persone.
Negli ultimi mesi, i partner già attivi hanno individuato più di 10.000 vulnerabilità di gravità alta o critica in software cruciali per la tenuta del sistema pubblico.
I partner della prima fase includono grandi aziende tecnologiche americane, tra le quali Apple, Nvidia, Microsoft, CrowdStrike e Palo Alto Networks, che hanno già testato Mythos sui propri sistemi.
L’espansione di giugno ha aperto la sperimentazione a organizzazioni in Europa e nel resto del mondo, incluse aziende in Francia, Germania, Italia, Spagna, Paesi Bassi, Svezia e Belgio, oltre a partner in Canada, Australia, Giappone e India. In Corea del Sud sono inclusi Samsung, SK Hynix e SK Telecom.
Anche la Nato ha già ottenuto accesso al programma, a riprova del fatto che il perimetro di Glasswing include anche strutture militari e di sicurezza collettiva. Su questi temi, a febbraio, il Ceo Dario Amodei ha respinto la richieste del Pentagono di usare Claude (Llm sviluppato da Anthropic) per le armi automatiche e la sorveglianza dei cittadini.
In cosa consiste Project Glasswing
Chi rientra nel Project Glasswing non ottiene l’accesso integrale al modello: i partner ricevono l’accesso a Claude Mythos Preview per scopi difensivi per trovare falle nei propri sistemi, correggerle e, in una seconda fase, condividere i risultati con altri team di sicurezza, manutentori di software open source ed enti regolatori.
In un certo senso, il programma di Anthropic serve a risolvere una preoccupazione diventata prioritaria proprio a causa di Mythos che “rende leggibili fragilità che prima erano disperse, nascoste, difficili da collegare”, come sottolineato dal direttore di Zenita Group, Pierguido Iezzi. Il tutto a una velocità inimmaginabile per qualsiasi essere umano esperto di cybersecurity. Un criminale che disponesse di questo strumento potrebbe individuare e sfruttare una vulnerabilità nel giro di pochi minuti, mentre oggi le banche impiegano mediamente settimane o mesi per testare i propri sistemi, applicare le patch di sicurezza e verificare che l’aggiornamento non abbia creato nuovi problemi.
Se viene usato in modo difensivo, questo vantaggio competitivo permette di correggere le falle prima che qualcun altro le sfrutti.
La Commissione europea: trattative in corso
Sul fronte istituzionale, la situazione è più complessa. Due settimane fa, il vice presidente esecutivo della Commissione Valdis Dombrovskis ha confermato che Bruxelles è in contatto con Anthropic per valutare le implicazioni del modello. La Commissione ha definito “positivi” i contatti avuti con la big tech californiana dopo le tensioni iniziali, ma non ha ancora ottenuto l’accesso al Project Glasswing.
La principale istituzione dell’Ue può dunque regolare l’Ai ma non può testare direttamente il modello più avanzato sul mercato.
Il settore bancario è quello più esposto alle falle di sicurezza che l’ultimo modello di Anthropic sa individuare. Alla luce di questi rischi, la presidente della Bce, Christine Lagarde, ha convocato una riunione d’urgenza della Bce martedì scorso per discuterne con i manager delle principali banche dell’area euro.
Il nodo geopolitico
Se le implicazioni dirette di Mythos riguardano la cybersicurezza, quelle indirette vanno persino oltre. Il punto cruciale di questa vicenda, infatti, è che il potere geopolitico appartiene sempre di più a chi detiene il dominio tecnologico. Questo spaventa l’Ue più delle minacce tecniche, che pure vanno affrontate nel più breve tempo possibile.
Già ad aprile, la Bundesbank aveva già chiesto che le banche europee ottenessero l’accesso a Mythos per poter proteggere le proprie infrastrutture al pari di quelle americane.
L’apertura all’Enisa e l’espansione di Glasswing in Europa ridimensionano questo gap, ma non lo eliminano.
