Un modello di AI ha trovato vulnerabilità nei sistemi USA: cosa significa davvero

1 views

A fine giugno 2026, un funzionario statunitense ha dichiarato pubblicamente che Mythos, un modello di AI di Anthropic, ha trovato varie falle di sicurezza nei…

Marcello LegaLug 13, 202610 min di lettura

A fine giugno 2026, un funzionario statunitense ha dichiarato pubblicamente che Mythos, un modello di AI di Anthropic, ha trovato varie falle di sicurezza nei sistemi informatici del governo in poche ore.

Si tratta di un’attività di test di routine, che negli ultimi anni utilizza anche i modelli di AI generativa per automatizzare e velocizzare i test. Già da tempo, infatti, le grandi compagnie di AI collaborano con i governi per aiutarli a migliorare la sicurezza dei propri sistemi informatici e prevenire gli attacchi.

Precisiamo inoltre che c’è una grande differenza tra trovare una falla in un sistema e sfruttarla attivamente per causare danni o rubare dati. Quindi, niente panico: come vedremo in questo articolo, l’AI può essere un prezioso alleato della cybersicurezza!

In questo post:

  • Mythos di Anthropic trova vulnerabilità nei sistemi governativi
  • Come fanno i modelli di AI a trovare vulnerabilità
  • Trovare una falla non significa sfruttarla
  • Il doppio uso dell’AI nella cybersecurity
  • Cosa cambia per aziende e governi
  • Cosa cambia per gli utenti e come proteggersi

Buona lettura!

AI e cybersecurity: Mythos di Anthropic trova vulnerabilità in poche ore

Una recente notizia riportata dall’Associated Press ha acceso il dibattito: secondo un funzionario statunitense, un modello di AI di Anthropic avrebbe individuato vulnerabilità in sistemi informatici segreti del governo USA durante un’esercitazione di test. Il modello avrebbe trovato alcune falle nel giro di poche ore.

È una notizia importante, ma va letta con attenzione. Individuare una vulnerabilità non significa automaticamente riuscire a sfruttarla, entrare in un sistema o causare dei danni. Significa però una cosa molto chiara: l’AI può accelerare enormemente il lavoro di analisi che gli esperti di sicurezza svolgono ogni giorno.

Di fatto, molti controlli di sicurezza, anche in ambito governativo, vengono ormai affiancati da strumenti di AI, sia per individuare comportamenti anomali e falle di sicurezza, sia per usare altri software specializzati in test più specifici.

Come fanno i modelli di AI a trovare le vulnerabilità?

Per capire il problema, partiamo dalle basi: una vulnerabilità informatica è un errore o un punto debole che può permettere a qualcuno di fare qualcosa che non dovrebbe, come accedere a dati riservati, aggirare un controllo, eseguire codice non autorizzato o ottenere privilegi più elevati.

Un modello di AI può aiutare a trovare vulnerabilità in diversi modi:

  • Analizza il codice sorgente: legge funzioni, librerie, commenti, dipendenze e flussi logici alla ricerca di modelli ricorrenti sospetti. Per esempio, potrebbe notare che un’applicazione riceve dati dall’utente e li usa senza controlli adeguati, oppure che un componente gestisce male i permessi o salva informazioni sensibili in modo poco sicuro.
  • Confronta ciò che vede con schemi già noti. Molte vulnerabilità appartengono a famiglie ricorrenti: injection, problemi di autenticazione, errori nella gestione della memoria, configurazioni cloud troppo permissive e così via. L’AI è molto brava a trovare somiglianze tra un caso nuovo e problemi già documentati in passato.
  • Collega elementi diversi: spesso le falle di sicurezza non riguardano una sola riga di codice, ma nascono dall’interazione tra più componenti, ad esempio un servizio interno che si fida troppo di un altro, un’API che espone più informazioni del necessario o un account con permessi eccessivi.

Il punto è che un analista umano può trovare questi collegamenti, ma deve dedicare molto più tempo, attenzione e competenze. Un modello di AI può mettere insieme molti indizi in meno tempo, soprattutto quando ha accesso a documentazione, codice, registri e risultati di altri strumenti di sicurezza.

Trovare una falla non significa hackerare un sistema

Questo è un punto fondamentale, soprattutto per evitare allarmismi inutili: dire che un modello di AI generativa come Mythos ha individuato delle vulnerabilità non significa che abbia compromesso un sistema. Tra “trovare una possibile falla” e “usarla per entrare davvero” ci sono diversi passaggi e, inoltre, i modelli di AI includono istruzioni che gli impediscono di sfruttare falle e creare attacchi.

Vediamo cosa dovrebbe fare un criminale informatico con le informazioni a disposizione, ammesso che riesca a trovarle. Per prima cosa, dovrebbe verificare che la vulnerabilità sia reale e non un falso positivo. Poi dovrebbe capire se sia effettivamente sfruttabile nel contesto specifico e infine dovrebbe costruire una catena di attacco funzionante, superare eventuali controlli di sicurezza, ottenere accesso e, in alcuni casi, mantenere quell’accesso senza essere rilevato.

Sono fasi molto diverse tra loro e non sempre facili da completare. L’AI può aiutare in alcune di queste attività, ma non bisogna immaginarla come nei film, dove basta premere un tasto e un sistema viene violato in pochi secondi. La realtà è molto, molto più complessa.

La vera novità non è che l’AI consente a chiunque di hackerare qualsiasi sistema, ma che può ridurre drasticamente il tempo necessario per trovare possibili punti deboli. Si tratta di un’ottima notizia, perché nella cybersecurity il tempo è spesso il fattore decisivo.

LEGGI ANCHE: Dark AI: cos’è e come proteggersi dagli attacchi che sfruttano l’intelligenza artificiale

Il doppio uso dell’AI nella cybersecurity

Come abbiamo visto, questa capacità dell’AI di trovare vulnerabilità può avere effetti molto positivi, se usata da ricercatori, aziende e team di difesa per analizzare sistemi e reti. L’AI rende più efficaci gli audit di sicurezza, migliora i test sul codice, velocizza la correzione dei bug e consente alle aziende e ai governi di proteggere i software critici.

Dall’altro lato, però, se strumenti simili vengono usati da persone con cattive intenzioni, possono rendere più veloce la ricerca di bersagli vulnerabili. Un criminale potrebbe usarli, ad esempio, per analizzare codice trafugato e pubblicato sul dark web, studiare software open source, cercare configurazioni deboli o generare scenari di attacco più rapidamente.

Questo non significa che ogni modello di AI sia pericoloso in sé. Significa che i modelli più avanzati, soprattutto quelli con forti capacità di analisi del codice e ragionamento tecnico, richiedono regole, controlli e limiti adeguati.

Non a caso Anthropic ha dichiarato di aver introdotto blocchi specifici per Fable 5 e Mythos 5, proprio perché le loro capacità avanzate potrebbero essere usate in modo improprio. L’azienda ha anche precisato che Mythos 5 è pensato e disponibile solo per una cerchia ristretta di partner, come agenzie di cybersecurity pubblica e fornitori di infrastrutture critiche, mentre Fable 5 è la versione destinata a un pubblico più ampio, con protezioni ancora più restrittive.

Cosa cambia per aziende e governi

Per aziende, governi e fornitori di servizi digitali, il messaggio è chiaro: non basta più proteggersi con i metodi di dieci anni fa: se la ricerca di vulnerabilità diventa più veloce, anche la difesa deve affrettare il passo, integrare le nuove tecnologie (come già fa) e diventare sempre più dinamica.

Questo significa varie cose concrete, come aggiornare i software con regolarità, controllare le dipendenze, rafforzare le configurazioni cloud, limitare i privilegi degli account, monitorare gli accessi e testare i sistemi prima che vadano in produzione.

Ma soprattutto significa anche usare l’AI in modo difensivo. Le organizzazioni che gestiscono dati sensibili o infrastrutture importanti dovranno integrare questi strumenti nei propri processi di sicurezza e con criteri chiari: chi può usarli, su quali sistemi, con quali limiti, con quale supervisione e con quali procedure di verifica.

L’obiettivo non è bloccare l’AI, ma usarla bene. Perché se i difensori rinunciano a strumenti potenti, mentre gli attaccanti li adottano, il risultato è un vantaggio per chi vuole sfruttare le vulnerabilità.

Cosa cambia per gli utenti comuni

A questo punto è normale chiedersi: tutto questo cosa significa per me? Cosa devo fare io come singolo utente?

Ebbene, le conseguenze ci sono e l’impatto è maggiore di quanto sembri. Ogni giorno usiamo app, account, dispositivi, servizi cloud e servizi sanitari digitali. Dietro ognuno di questi strumenti ci sono software, server e database. Se una vulnerabilità viene trovata e sfruttata, le conseguenze possono arrivare fino agli utenti: furti di dati, account compromessi, malware o accessi non autorizzati.

La buona notizia è che non è necessario diventare esperti di sicurezza informatica o smettere di usare le nuove tecnologie. La chiave è prendere sul serio alcune abitudini di base, perché se gli attacchi informatici diventano più veloci e cambiano rapidamente nel tempo, le difese di base sono ancora più importanti di prima.

Come proteggersi dalle vulnerabilità e dagli attacchi basati sull’AI

Vediamo alcuni consigli semplici ma efficaci:

  1. La prima cosa da fare è mantenere aggiornati dispositivi, app e sistemi operativi. Gli aggiornamenti non servono solo ad aggiungere funzioni, spesso la parte più importante è proprio che correggono vulnerabilità che potrebbero essere sfruttate.
  2. Poi bisogna usare password uniche e robuste per tutti gli account. Riutilizzare la stessa password per servizi diversi è uno degli errori più diffusi e più pericolosi, perché basta una violazione su un sito per mettere a rischio anche gli altri account. Un password manager può semplificare molto le cose.
  3. Un’altra protezione essenziale è l’autenticazione a due fattori. Anche se qualcuno riuscisse a rubare la password, il secondo fattore potrebbe impedire l’accesso all’account.
  4. Bisogna poi fare attenzione a email, messaggi e link sospetti. L’AI non serve solo a trovare vulnerabilità tecniche: può anche rendere più convincenti phishing, truffe e messaggi fraudolenti. Per questo è meglio diffidare da comunicazioni urgenti, richieste di pagamento, allegati inattesi o link che chiedono di inserire credenziali (e, in generale, da tutte le offerte che sembrano troppo belle per essere vere).
  5. Infine, è importante scaricare app solo da fonti affidabili, controllare le autorizzazioni richieste e fare backup regolari dei dati più importanti.

Sono misure di sicurezza semplici e veloci da applicare, ma riducono molto il rischio in caso di attacco, furto del dispositivo o infezione da malware.

La vera sfida è usare l’AI senza subirla

L’intelligenza artificiale sta diventando una parte sempre più importante della cybersecurity. Può aiutare a scoprire vulnerabilità, correggere errori, testare software e proteggere sistemi critici. Allo stesso tempo, però, può aiutare anche chi la usa per sfruttare le vulnerabilità e i bug.

La questione, quindi, non è se l’AI sia buona o cattiva, ma come viene usata, da chi, con quali controlli e con quali responsabilità.

Per gli esperti di sicurezza, l’AI è uno strumento da governare. Per le aziende, è un motivo in più per rafforzare processi e controlli. E per gli utenti come te, è un’alleata che ci ricorda una cosa molto importante: la sicurezza online non dipende da una singola soluzione, ma da una serie di buone abitudini quotidiane.

L’AI non ha trasformato ogni computer in un bersaglio indifeso, ha solo reso più veloce la ricerca dei punti deboli. Per questo è importante usare una protezione completa e aggiornata come Panda Dome, che protegge i tuoi dispositivi in tempo reale da malware, phishing e altre minacce online, aiutandoti a ridurre i rischi nella vita digitale di tutti i giorni.

CONTINUA A LEGGERE: Cosa succede se chiedi a un chatbot AI di generare una password (e perché non è sicuro)

Autore

  • author-marcello-lega

    Giornalista e traduttore con oltre 18 anni di esperienza in tecnologia e cybersecurity. Scrive contenuti su privacy online, minacce digitali e sicurezza informatica, con l’obiettivo di rendere questi temi chiari e utili per tutti.

    Ha conseguito il Google Cybersecurity Certificate. Per Panda Security, realizza articoli che aiutano gli utenti a proteggere la propria vita digitale.