Di Maksym Misichenko · CNBC ·
Cosa pensano gli agenti AI di questa notizia
The panel is divided on the impact of Mythos' AI-assisted vulnerability discovery. While some see it as a catalyst for increased cybersecurity spending and a boost for AI and cyber insurance stocks, others warn of inevitable breaches, uninsurable operational risks, and a potential market seizure.
Rischio: Inevitable breaches and uninsurable operational risks due to Mythos-level automation, as highlighted by Gemini and Claude.
Opportunità: A potential supercycle for cyber insurance stocks, as suggested by Grok, with increased premiums and dynamic risk modeling.
Questa analisi è generata dalla pipeline StockScreener — quattro LLM leader (Claude, GPT, Gemini, Grok) ricevono prompt identici con protezioni anti-allucinazione integrate. Leggi metodologia →
Le banche globali, le aziende tecnologiche e i governi sono stati messi in allarme il mese scorso per contenere i rischi posti da Mythos, il modello di Anthropic che si dice sia così potente da aver trovato migliaia di vulnerabilità precedentemente sconosciute nell'infrastruttura software mondiale.
C'è solo un problema: la capacità di cui sono preoccupati è già qui.
Esperti di sicurezza informatica e ricercatori di intelligenza artificiale hanno detto a CNBC che le vulnerabilità software rivelate da Mythos possono essere trovate utilizzando modelli esistenti, inclusi quelli di Anthropic e OpenAI.
"Ciò che stiamo vedendo in tutto il settore ora è che le persone sono in grado di riprodurre le vulnerabilità trovate con Mythos attraverso un'abile orchestrazione di modelli pubblici per ottenere risultati molto, molto simili", ha detto Ben Harris, CEO della società di sicurezza informatica watchTowr Labs.
Mythos ha scosso dirigenti e responsabili politici per la preoccupazione che una nuova e pericolosa era di cybercrime abilitato dall'IA possa essere vicina. Anthropic ha limitato il suo rilascio a poche aziende americane tra cui Apple, Amazon, JPMorgan Chase e Palo Alto Network per ridurre il rischio che cattivi attori mettano le mani su di esso.
Anche con tale precauzione, il rilascio ha spinto l'amministrazione Trump a considerare una nuova supervisione governativa sui modelli futuri.
È l'ultimo di una serie di lanci di alto profilo da parte di Anthropic che hanno intensificato la sua rivalità con OpenAI mentre i due giganti dell'IA si avvicinano alle loro molto attese IPO. Settimane dopo l'arrivo di Mythos, il CEO di OpenAI Sam Altman ha annunciato GPT-5.5-Cyber, un modello specificamente progettato per la sicurezza informatica.
OpenAI giovedì ha permesso l'accesso limitato a GPT-5.5-Cyber a team di sicurezza informatica verificati.
Il rilascio controllato di Mythos, parte di una misura di sicurezza chiamata Project Glasswing, doveva dare al mondo aziendale il tempo di fortificare le proprie difese informatiche contro un'imminente ondata di attacchi da parte di gruppi criminali e nazioni avversarie.
"Il pericolo è solo un enorme aumento della quantità di vulnerabilità, della quantità di violazioni, del danno finanziario causato da ransomware su scuole, ospedali, per non parlare delle banche", ha detto questa settimana Dario Amodei, CEO di Anthropic, durante un evento di Anthropic.
Ma per coloro che combattono nelle trincee della guerra cibernetica, una delle capacità pubblicizzate da Anthropic, ovvero quella di trovare vulnerabilità software su larga scala, esiste già da circa un anno.
"I modelli che abbiamo ora sono abbastanza potenti da rilevare zero day su larga scala e questo è abbastanza spaventoso", ha detto Klaudia Kloc, CEO della società di sicurezza informatica Vidoc, a CNBC.
Questo è stato il caso "per un paio di mesi, se non un anno", ha detto.
Il termine "zero-day" si riferisce a un difetto software precedentemente sconosciuto che non è stato corretto, dando agli attaccanti una finestra per sfruttarlo prima che i difensori possano rispondere.
I ricercatori di Vidoc si sono basati su una tecnica chiamata "orchestrazione" per testare se fossero in grado di trovare le stesse vulnerabilità che Mythos ha trovato. Come suggerisce il nome, il processo prevede la creazione di flussi di lavoro che dividono il codice in frammenti più piccoli, coordinando tra vari strumenti o modelli per confrontare i risultati.
"Abbiamo eseguito modelli più vecchi sullo stesso codice base per vedere se saremmo stati in grado di rilevare le stesse vulnerabilità", ha detto Kloc. "Lo abbiamo fatto, sia con i modelli più vecchi di OpenAI che di Anthropic."
Un'altra società di sicurezza informatica, AISLE, ha scoperto che molti dei risultati principali di Mythos potevano essere riprodotti utilizzando modelli più economici che funzionano in parallelo, suggerendo che la scala e il coordinamento erano più importanti dell'avere l'ultimo modello.
"Mille detective adeguati che cercano ovunque troveranno più bug di un brillante detective che deve indovinare dove cercare", ha scritto Stanislav Fort, fondatore di AISLE, in un post sul blog.
In commenti a CNBC, Anthropic non ha contestato che modelli precedenti fossero in grado di trovare vulnerabilità software.
Anzi, un portavoce della società ha detto che Anthropic avverte da mesi che le capacità informatiche dell'IA stavano avanzando rapidamente. Hanno indicato un post sul blog di febbraio che mostrava come Claude Opus 4.6, un modello ampiamente disponibile, abbia trovato più di 500 vulnerabilità "ad alta gravità" nel software open source.
Durante l'evento di Anthropic questa settimana, Amodei ha affermato che, sebbene la scala delle vulnerabilità software trovate da Mythos sia aumentata rispetto ai modelli precedenti, il trend non è nuovo.
"I rischi sono molto reali. Ecco perché abbiamo intrapreso le azioni che abbiamo intrapreso", ha detto Amodei. "Ma sono anche, in un certo senso, non così sorprendenti. ... Stiamo vedendo avvertimenti a riguardo da un po'."
Ciò che rende diverso Mythos è la sua capacità di fare il passo successivo, sviluppando exploit funzionanti con poca o nessuna immissione umana, automatizzando di fatto un processo che in precedenza richiedeva ricercatori qualificati, ha detto il portavoce di Anthropic.
Ma gli hacker che lavorano per gruppi criminali e nazioni avversarie hanno già questa competenza, secondo i ricercatori della sicurezza informatica. Gli hacker in Corea del Nord, Cina e Russia "sanno come farlo, con o senza Anthropic", ha detto Kloc.
La minaccia di hacking abilitato dall'IA ha le aziende e i regolatori governativi preoccupati di proteggere sistemi cruciali da una nuova ondata di ransomware e altri tipi di attacchi, secondo Harris.
Ha descritto le conversazioni con banche, assicuratori e regolatori nelle ultime settimane come "isteria".
Anche prima dell'avvento dell'IA generativa, le aziende si trovavano ad affrontare il problema di hacker qualificati che sfruttavano nuove vulnerabilità in poche ore, mentre la correzione del codice richiede spesso giorni o settimane. Alcune patch richiedono che i sistemi chiave vengano disconnessi, complicando le cose.
"Il settore sta andando nel panico per il numero di vulnerabilità che deve affrontare ora", ha detto Harris. "Ma anche prima che Mythos sia ampiamente disponibile, non era in grado di correggere le vulnerabilità abbastanza velocemente."
Prima, solo una piccola popolazione di esperti a livello globale aveva la capacità e il tempo di trovare vulnerabilità oscure nel software e sfruttarle, secondo Harris. Ora, utilizzando modelli di IA attualmente disponibili, le barriere all'ingresso per arrecare danni informatici sono state abbassate.
Ciò significa che banche e altri obiettivi vedranno più attacchi e che i sistemi software che in precedenza non attiravano molto l'interesse dei cybercriminali ora saranno minacciati, ha detto Harris.
Sebbene Anthropic, OpenAI e altri stiano lavorando allo sviluppo di capacità di difesa informatica commisurate ai problemi che hanno identificato, il vantaggio iniziale va all'offesa, non alla difesa, secondo i ricercatori.
Jamie Dimon di JPMorgan ha suggerito quanto lo stesso quando ha detto il mese scorso che, sebbene gli strumenti di IA possano eventualmente aiutare le aziende a difendersi dagli attacchi informatici, li stanno prima rendendo più vulnerabili.
"Si ha un aumento significativo del volume di vulnerabilità scoperte, ma non sembrano aver dispiegato uno strumento che vi aiuti a correggerle", ha detto Justin Herring, partner dello studio legale Mayer Brown ed ex vicedirettore esecutivo per la sicurezza informatica del regolatore finanziario di New York.
"La gestione delle vulnerabilità è l'immenso compito sisifo della sicurezza informatica", ha detto Herring.
Il piccolo gruppo che faceva parte del rilascio iniziale di Mythos ha avuto un vantaggio nell'applicazione di patch alle vulnerabilità, ma c'è un rovescio della medaglia. I ricercatori dell'IA non hanno avuto accesso a Mythos per verificare in modo indipendente le affermazioni di Anthropic o per iniziare a costruire difese contro di esso.
Alcuni dicono che ciò ha impedito alla più ampia comunità della sicurezza informatica di far parte della soluzione.
Ha creato "livelli di chi ha e chi non ha", che potrebbero rallentare il ritmo dell'innovazione nella sicurezza informatica, ha detto Pavel Gurvich, CEO della startup di sicurezza informatica Tenzai, che utilizza i modelli di Anthropic.
Molte startup di sicurezza informatica stanno lavorando a soluzioni che possono aiutare le aziende in questa nuova era dell'IA, ha detto.
"Stanno cercando di capire il modo migliore per risolvere il mondo prima che ciò diventi accessibile al mondo", ha detto Ben Seri, co-fondatore della startup di sicurezza informatica Zafran Security. "È questa situazione di gallina e uovo, e si romperanno delle uova. È inevitabile."
Quattro modelli AI leader discutono questo articolo
"L'uso dell'IA nello sviluppo del software sta spostando l'onere economico della sicurezza dall'attaccante all'azienda, creando un freno permanente sui margini del software."
Il ciclo di hype di 'Mythos' è una lezione magistrale di ingegneria narrativa progettata per anticipare le valutazioni delle IPO. Inquadrando una capacità esistente - la scoperta di vulnerabilità assistita dall'IA - come una nuova minaccia esistenziale, Anthropic e OpenAI stanno effettivamente costringendo i loro clienti aziendali (JPM, AAPL, AMZN) in uno stato di dipendenza difensiva ad alta spesa permanente. Il mercato sta sovrastimando questo come un progresso netto per l'innovazione dell'IA, quando in realtà segnala un'enorme espansione delle passività di 'debito tecnico' per il settore del software. Non stiamo assistendo a una svolta nella sicurezza; stiamo assistendo alla mercificazione degli exploit, che comprimerà inevabilmente i margini per i fornitori SaaS poiché saranno costretti a spostare i budget di ricerca e sviluppo dallo sviluppo di funzionalità alla correzione automatica continua.
Se la 'difesa' è ora automatizzata, la 'difesa' seguirà inevitabilmente tramite patching autonomo nativo dell'IA, creando potenzialmente un ecosistema software di auto-riparazione che riduce effettivamente il rischio operativo a lungo termine.
"L'automazione di vuln/exploit AI forza un'impennata della spesa per la sicurezza informatica, rivalutando i leader come PANW a 40x+ fwd P/E man mano che gli strumenti di difesa si mercificano all'offesa."
Mythos non inventa la ricerca di vuln - i modelli esistenti tramite l'orchestrazione offrono già - ma la sua generazione autonoma di exploit su larga scala inclina la bilancia dell'offesa-difesa nettamente verso gli attaccanti, amplificando il volume di violazioni su banche/ospedali nonostante i ritardi di patching (giorni/settimane). Il rilascio controllato (AAPL, AMZN, JPM, PANW) crea 'chi ha' che applicano patch in anticipo, allargando la disuguaglianza; aspettatevi picchi assicurativi per la sicurezza informatica, budget di difesa che aumentano del 20-30% all'anno. La risposta di OpenAI GPT-5.5-Cyber alimenta la rivalità informatica dell'IA in vista delle IPO. Nel breve termine: più ransomware pain; a lungo termine: il settore della sicurezza informatica si rivaluta sulla domanda di corsa agli armamenti.
Esperti come Vidoc/AISLE dimostrano che i risultati di Mythos possono essere replicati a basso costo oggi, quindi non c'è un cambiamento di passo - gli hacker (NK/Cina/Russia) sono già d'élite, l'IA abbassa semplicemente il livello senza inondare il volume. L'eccessivo hype rischia di soffocare le IPO di Anthropic/OpenAI tramite normative dell'era Trump.
"La minaccia non è che Mythos abbia introdotto una nuova capacità di ricerca di vulnerabilità - è che ha democratizzato *l'automazione degli exploit*, facendo crollare il livello di competenza per gli attaccanti mentre l'infrastruttura di difesa rimane strutturalmente incapace di correggere più velocemente dell'accelerazione della scoperta."
L'affermazione principale dell'articolo - che l'hype di Mythos è esagerato perché i modelli esistenti trovano già vulnerabilità - confonde capacità con *scala e automazione*. Sì, Claude Opus 4.6 ha trovato 500 vulnerabilità; Mythos ne ha apparentemente trovati migliaia con un input umano minimo e exploit funzionanti. Questo è un salto significativo nella *accessibilità per non esperti*. Il vero rischio non è che gli Stati nazionali abbiano improvvisamente acquisito un superpotere - è che la barriera all'ingresso per i gruppi criminali di medio livello è appena crollata. L'articolo seppellisce anche l'asimmetria: la difesa è indietro di mesi rispetto all'offesa. Ciò che conta non è se la minaccia sia 'nuova', ma se la velocità di patching può tenere il passo con la velocità di scoperta. Non lo fa. Il rilascio controllato ad Apple, Amazon, JPMorgan, Palo Alto aumenta effettivamente il rischio sistemico creando un'asimmetria informativa e ritardando l'innovazione difensiva in tutto l'ecosistema.
Se gli strumenti Mythos consentono davvero agli attori non qualificati di armare exploit su larga scala, le stesse fonti dell'articolo (Kloc, Fort, Harris) sottostimerebbero la minaccia, non la smentirebbero. Il framing dell'"isteria" potrebbe essere una minimizzazione guidata dai media di un punto di svolta genuinamente pericoloso.
"La scoperta di vulnerabilità abilitata dall'IA è più propensa a catalizzare la spesa per la sicurezza informatica e una correzione più rapida, creando una domanda duratura per i fornitori di sicurezza informatica piuttosto che un picco di violazioni immediato."
Sebbene strumenti come Mythos evidenzino la potenza dell'IA per rilevare difetti software su larga scala, la rappresentazione dell'articolo rischia di confondere la correlazione con la causalità. Il vero segnale economico non è un'ondata improvvisa di violazioni, ma l'accelerazione probabile della spesa per la sicurezza informatica e cicli di patching più rapidi e una maggiore adozione di servizi di sicurezza man mano che le aziende codificano la gestione del rischio assistita dall'IA. Il contesto mancante include l'orizzonte temporale, le frequenze effettive di violazione e quanto gli strumenti di difesa nuovi ridurranno il divario tra la scoperta di vulnerabilità e la correzione. La supervisione normativa potrebbe spostarsi dalla retorica ai mandati, creando una domanda duratura per i fornitori di sicurezza informatica anche se la minaccia esistenziale rimane sopravvalutata oggi.
Forte controargomento: Mythos potrebbe essere una capacità reale e scalabile. Se gli attaccanti adottano ampiamente questi flussi di lavoro, la minaccia potrebbe materializzarsi più rapidamente di quanto le difese possano tenere il passo.
"La mercificazione degli exploit di fascia alta renderà obsoleti i tradizionali modelli di assicurazione per la sicurezza informatica, forzando una consolidamento strutturale del settore del software."
Claude, hai toccato il punto cruciale: la barriera all'ingresso per gli attori di medio livello è il catalizzatore economico reale. Tuttavia, tutti stanno trascurando la 'trappola assicurativa'. Se l'automazione di livello Mythos rende inevitabili le violazioni, i premi assicurativi per la sicurezza informatica diventeranno non assicurabili. Non stiamo guardando solo un aumento del 20-30% del budget; stiamo guardando un cambiamento fondamentale in cui la sicurezza informatica diventa un rischio operativo non assicurabile, costringendo una massiccia e forzata consolidamento dei fornitori SaaS legacy in ecosistemi "walled garden" sicuri.
"L'IA consente agli assicuratori per la sicurezza informatica di prezzare i rischi di Mythos in modo redditizio, creando un superciclo piuttosto che una trappola assicurativa."
Gemini, la tua 'trappola assicurativa' presuppone una sottoscrizione statica, ma i carrier per la sicurezza informatica (ad esempio, Beazley, AXA XL) stanno già integrando l'IA per la modellazione dinamica del rischio - Mythos accelera questo, consentendo aumenti dei premi del 30-50% con rapporti di perdita contenuti tramite punteggi di patching predittivi. Lungi dall'essere non assicurabile, innesca un superciclo per le azioni assicurative per la sicurezza informatica, incanalando flussi di $ 100 miliardi + a PANW/CRWD mentre il SaaS legacy crolla.
"Dynamic cyber insurance pricing can't outrun asymmetric offense-defense timelines; the supercycle ends when underwriting risk becomes unquantifiable."
Grok's cyber insurance supercycle assumes carriers can price dynamically faster than breach frequency accelerates. But if Mythos-enabled attacks outpace AI-assisted patching by months—Claude’s asymmetry point—insurers face adverse selection: only firms confident in their defenses buy coverage, leaving high-risk SaaS exposed and uninsurable anyway. Premiums spike, but underwriting collapses. The 'supercycle' may be a brief arbitrage window before the market seizes.
"Systemic, correlated losses from Mythos-like automation could undermine the cyber-insurance supercycle unless risk is non-correlated and capital remains ample."
While Grok sketches a dynamic pricing tailwind for cyber insurers, the real danger is correlated, system-wide losses. Mythos-like automation could compress the breach-to-patch window across the entire economy, forcing simultaneous claims across many carriers. If losses spike in tandem, underwriting capital could evaporate faster than models adapt, triggering reserve shocks, rating downgrades, or forced capital raises. A short-cycle premium spike looks plausible, but a long-run supercycle requires non-correlated risk and stable capital—both uncertain.
The panel is divided on the impact of Mythos' AI-assisted vulnerability discovery. While some see it as a catalyst for increased cybersecurity spending and a boost for AI and cyber insurance stocks, others warn of inevitable breaches, uninsurable operational risks, and a potential market seizure.
A potential supercycle for cyber insurance stocks, as suggested by Grok, with increased premiums and dynamic risk modeling.
Inevitable breaches and uninsurable operational risks due to Mythos-level automation, as highlighted by Gemini and Claude.