Anthropic Claude Mythos (Capybara): il leak che ridisegna la cybersecurity
Anthropic Claude Mythos (Capybara): il leak che ridisegna la cybersecurity
Il 26 marzo 2026, un errore di configurazione del CMS di Anthropic ha esposto circa 3.000 documenti interni riservati, rivelando l'esistenza di Claude Mythos, nome in codice Capybara: il modello AI più potente mai sviluppato dall'azienda, con capacità di cybersecurity che non hanno precedenti nel settore.
Claude Mythos (tier "Capybara") è il modello di nuova generazione di Anthropic, superiore a Claude 3 Opus. Scoperto tramite un data leak, è in grado di identificare autonomamente vulnerabilità software zero-day in codebase di produzione. Anthropic lo definisce un "step change" nelle capacità cognitive dell'AI — e un rischio dual-use che richiede un rilascio controllato.
Cos'è Claude Mythos e come è stato scoperto
Claude Mythos rappresenta un quarto livello nella gerarchia dei modelli Claude, posizionato al di sopra di Opus. I benchmark interni trapelati mostrano miglioramenti "drammatici" rispetto a Claude 3 Opus in tre aree: coding avanzato, ragionamento accademico e cybersecurity offensiva e difensiva.
La sua esistenza è emersa per la prima volta grazie ai ricercatori di sicurezza Roy Paz e Alexandre Pauwels, che hanno individuato i documenti esposti e segnalato l'incidente. La notizia è stata riportata da Fortune. Anthropic ha confermato l'esistenza del modello solo dopo la pubblicazione.
I numeri del leak
Oltre ai documenti strategici, circa 500.000 righe di codice sorgente relative a "Claude Code" — uno strumento interno di Anthropic — sono state caricate per errore sul package manager pubblico NPM. Il codice è stato rimosso, ma l'esposizione di logica proprietaria apre scenari di rischio difficili da contenere retroattivamente.
Capacità di cybersecurity: perché Mythos è un cambio di paradigma
Il dato più rilevante emerso dai documenti riguarda la capacità di Mythos di scoprire autonomamente vulnerabilità zero-day in codebase di produzione, senza supervisione umana diretta. Non si tratta di assistenza all'analista: il modello esegue ragionamento autonomo su codice reale e identifica falle sconosciute.
Dual-use: difesa e attacco nella stessa architettura
Questa capacità è intrinsecamente "dual-use": lo stesso modello può essere impiegato per proteggere i sistemi o per attaccarli.
- Difesa (White Hat): audit di sicurezza automatizzati su infrastrutture aziendali, identificazione proattiva di vulnerabilità prima che vengano sfruttate.
- Attacco (Black Hat): automazione della ricerca di exploit da parte di gruppi state-sponsored o cybercriminali, con una velocità e scala impossibili per team umani.
Anthropic stessa non minimizza il rischio. Nei documenti interni trapelati si legge:
Il modello preannuncia un'imminente ondata di modelli in grado di sfruttare le vulnerabilità in modi che superano di gran lunga gli sforzi dei difensori.
Questo avvertimento non è retorica: è una valutazione interna del team che ha costruito il modello. Un precedente già documentato riguarda gruppi state-sponsored che hanno utilizzato versioni precedenti di Claude per attacchi coordinati contro circa 30 organizzazioni nei settori tech, finanza e governo.
Impatto diretto per le aziende italiane
L'arrivo di modelli come Mythos non è un tema astratto. Per le PMI italiane — spesso prive di team di sicurezza dedicati e con budget IT limitati — rappresenta un cambio di scenario operativo concreto.
Minacce AI-powered in accelerazione
La velocità con cui Mythos individua vulnerabilità rende obsoleto l'approccio reattivo alla sicurezza. Le PMI diventano bersagli più facili se non adottano una postura proattiva basata su monitoraggio continuo e audit periodici.
Il leak come lezione di compliance
Un singolo errore di configurazione CMS ha esposto i segreti industriali di una delle aziende AI più avanzate al mondo. Per ogni azienda che gestisce dati sensibili, la sicurezza delle configurazioni e la conformità GDPR non sono opzionali.
Opportunità di audit avanzati
Quando Mythos sarà disponibile, le aziende potranno eseguire penetration test e audit di sicurezza a una profondità e velocità prima accessibili solo a grandi organizzazioni. Una democratizzazione degli strumenti difensivi.
Integrare sistemi AI nei processi aziendali — come nell'automazione dei preventivi — richiede una base di sicurezza solida. L'efficienza operativa e la protezione dei dati non sono obiettivi in conflitto: vanno progettati insieme.
La risposta di Anthropic e il rilascio controllato
Anthropic ha confermato che Mythos è attualmente in fase di test con un gruppo ristretto di clienti early access, selezionati specificamente per valutare i rischi legati alle capacità di cybersecurity. L'azienda ha dichiarato di voler procedere in modo "molto deliberato" prima di qualsiasi rilascio su larga scala.
Un secondo fattore che rallenta la distribuzione è economico: Mythos è stato descritto internamente come "very expensive to serve". Anthropic sta lavorando sull'ottimizzazione dell'efficienza computazionale prima di rendere il modello accessibile al mercato generale.
L'episodio Mythos si inserisce in una competizione accelerata tra i principali lab AI — OpenAI con GPT-5.4 e il computer use nativo, Google con Gemini 3, e altri. La potenza crescente di questi modelli rende la governance e la sicurezza del rilascio un requisito strutturale, non una scelta etica opzionale. Le aziende che si affidano a questi strumenti devono iniziare a ragionare in termini di rischio AI, non solo di produttività AI.
Conclusione
Il leak di Claude Mythos non è solo una notizia sul prossimo modello di Anthropic. È un segnale chiaro su dove sta andando il settore: modelli AI capaci di ragionamento autonomo su sistemi complessi, con implicazioni dirette sulla sicurezza informatica di ogni organizzazione connessa.
Per le aziende italiane, la domanda non è se questi strumenti arriveranno — ma se saranno pronte ad affrontarne sia le opportunità che i rischi quando lo faranno.
Vuoi integrare AI nei tuoi processi in modo sicuro?
Analizziamo insieme le tue esigenze di automazione e sicurezza. Prima consulenza gratuita, senza impegno.
Prenota Consulenza Gratuita