Project Glasswing: difendersi se l’AI impara a hackerare
L’intelligenza artificiale sta azzerando i tempi di exploit e democratizzando gli attacchi, rendendo le difese tradizionali su “scala umana” obsolete per le PMI, che devono urgentemente adottare strategie di riduzione della superficie d’attacco e strumenti robusti come le VPN no-log verificate.
Project Glasswing di Anthropic, supportato da giganti tech globali, sfrutta il modello Claude Mythos per identificare migliaia di vulnerabilità zero-day, come dimostrato dalla scoperta autonoma di bug ventennali. Tuttavia, questa evoluzione crea una sfida critica per le PMI, dove le difese tradizionali non riescono a tenere il passo con l’offensiva su scala AI.
L’offensiva AI e la risposta di Glasswing
L’AI ha dato una bella spinta allo sviluppo degli exploit, e ha pure democratizzato gli attacchi più sofisticati. Non è più roba da pochi esperti. In questo scenario si inserisce Project Glasswing, che usa il modello _Claude Mythos_ per scovare vulnerabilità zero-day.
Non stiamo parlando di un giochetto: _Claude Mythos Preview_ ha identificato migliaia di vulnerabilità zero-day in importanti sistemi operativi e browser web, come riportato da _ICT Security Magazine_ ad aprile 2026. Per capirci, _Mythos Preview_ ha scoperto in autonomia una vulnerabilità di 27 anni in OpenBSD e una di 16 anni in FFmpeg, bug che erano sfuggiti a milioni di test automatizzati. Questo ci dice una cosa chiara: la finestra di sfruttamento, cioè il tempo tra la scoperta di una vulnerabilità e la sua attuazione, è crollata da mesi a minuti con l’avvento dell’AI. Le difese devono adeguarsi a questa velocità.
Le PMI sotto assedio: una minaccia asimmetrica
L’AI azzera le barriere d’ingresso nel cybercrime. Non serve più essere un genio dell’informatica per orchestrare attacchi sofisticati; anche chi non ha competenze tecniche può far danni. Ne abbiamo parlato in “Attacchi AI-assisted: come i non-tecnici violano i sistemi” a giugno 2026.
I numeri parlano chiaro: secondo i dati di Abnormal Security di maggio 2026, oltre l’80% delle organizzazioni ha già registrato un incremento o un’evoluzione degli attacchi guidati dall’intelligenza artificiale. Questo è un problema serio, perché la difesa su scala umana non può battere l’offensiva su scala AI. I tempi e le capacità sono semplicemente diversi, come evidenziato anche dal _Black Duck Blog_ ad aprile 2026. Le piccole e medie imprese, spesso con risorse limitate e senza team di cybersecurity dedicati, sono particolarmente vulnerabili a questa minaccia asimmetrica.
Blindare i fondamentali: VPN no-log come prima linea
Di fronte a questa accelerazione, la protezione si sposta sulla riduzione della superficie d’attacco e sull’adozione di strumenti robusti e affidabili. Non c’è spazio per soluzioni “tanto per fare”. Le VPN con politiche no-log verificate sono un esempio concreto e necessario per resistere a minacce sempre più veloci e autonome.
Perché “verificate”? Perché non basta la promessa. NordVPN, ad esempio, ha condotto sei audit no-log dal 2018, l’ultimo dei quali è stato completato da Deloitte all’inizio del 2026. Anche Proton VPN ha superato il suo quinto audit no-log annuale consecutivo da Securitum, con l’ultimo a giugno 2026. Questi audit indipendenti sono la prova che un servizio mantiene le promesse sulla privacy e sulla sicurezza dei dati, un aspetto cruciale quando si cerca di ridurre al minimo la propria esposizione.
Glasswing: un faro con zone d’ombra
Project Glasswing è un passo avanti notevole, ma non è la soluzione definitiva a tutti i mali. È vero che l’AI può generare un’enorme quantità di potenziali vulnerabilità in poco tempo. Il problema è che la loro trasformazione da “potenziale minaccia” a “rischio eliminato” richiede ancora un intervento umano significativo. Questo crea un nuovo “collo di bottiglia” nella sicurezza.
Le capacità di _Mythos_ vanno approcciate con meno enfasi e più chiarezza. Quello che abbiamo visto è una “prima prova” di un cambiamento nelle capacità dell’AI, non un benchmark pubblico completo. È importante non cadere nella trappola dell’iperbole. L’AI è uno strumento potente, ma la sua integrazione nella cybersecurity non elimina la complessità o la necessità di competenze umane. Anzi, ne ridefinisce il ruolo, spostandolo verso l’analisi e la remediation di alto livello.
In sintesi
Le PMI devono agire proattivamente per ridurre la superficie d’attacco e adottare strumenti di sicurezza robusti e verificati. L’implementazione di VPN con audit no-log indipendenti e l’aggiornamento costante delle difese sono passi cruciali per contrastare l’accelerazione degli attacchi AI-assisted. Non si tratta di eliminare il rischio, ma di gestirlo con intelligenza e strumenti adeguati.