Anthropic concede all'agenzia di cybersicurezza dell'UE ENISA l'accesso a Mythos AI

      TL;DRAnthropic darà a ENISA, l'agenzia per la cybersecurity dell'UE, accesso al suo modello di intelligenza artificiale Mythos attraverso il Progetto Glasswing, rendendola la prima istituzione dell'UE ad accedere al sistema che ha scoperto oltre 10.000 vulnerabilità zero-day. La decisione pone fine a settimane di negoziati controversi.

      Anthropic ha accettato di dare all'agenzia per la cybersecurity dell'Unione Europea, ENISA, accesso a Claude Mythos, il modello di intelligenza artificiale che ha scoperto in modo autonomo più di 10.000 vulnerabilità zero-day di alta e critica gravità in tutti i principali sistemi operativi e browser web. La decisione, comunicata alla Commissione Europea nel fine settimana, rende ENISA la prima istituzione dell'UE a unirsi al Progetto Glasswing, l'iniziativa di cybersecurity a accesso controllato di Anthropic.

      La mossa pone fine a un confronto durato settimane che era diventato uno dei punti di conflitto più visibili nella relazione transatlantica sull'IA. I ministri delle finanze della zona euro, la Banca Centrale Europea e diversi stati membri dell'UE avevano richiesto accesso dopo aver appreso che Mythos aveva trovato vulnerabilità in sistemi su cui le banche europee, i governi e i fornitori di infrastrutture critiche fanno affidamento quotidianamente, mentre nessuna istituzione europea poteva vedere i risultati.

      Cosa può fare Mythos

      Mythos non è uno strumento di cybersecurity convenzionale. Lanciato nell'aprile 2026 come Claude Mythos Preview, il modello può identificare autonomamente difetti di sicurezza in codici complessi, generare exploit funzionanti al primo tentativo in oltre l'83% dei casi ed eseguire simulazioni di attacco che tradizionalmente richiederebbero team di ricercatori umani che lavorano per mesi. Nel suo primo mese all'interno del Progetto Glasswing, il modello ha scoperto oltre 10.000 vulnerabilità zero-day in tutto il software più critico del mondo.

      Anthropic ha collaborato con oltre 50 importanti organizzazioni tecnologiche, tra cui Microsoft, Apple, Google e Cloudflare, per utilizzare Mythos contro codici altamente mirati. La forza del modello nella cybersecurity è il risultato diretto della sua capacità più ampia: un sistema di intelligenza artificiale che può comprendere e modificare profondamente software complessi è anche in grado di trovare e correggere le sue vulnerabilità.

      Il 💜 della tecnologia dell'UE

      Le ultime novità dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      Fino ad ora, l'accesso è stato limitato a circa 40 aziende statunitensi verificate e a selezionate entità governative, oltre all'accesso recente concesso alle istituzioni finanziarie del Regno Unito. OpenAI ha lanciato la propria iniziativa concorrente, Daybreak, mirata a trovare vulnerabilità software e generare patch, ma Mythos rimane il punto di riferimento dopo il suo tasso senza precedenti di scoperta di zero-day.

      I negoziati

      Il percorso per l'accesso dell'UE è stato controverso. Anthropic e la Commissione hanno tenuto quattro o cinque incontri a partire da poco dopo l'annuncio di Mythos, ma i progressi si sono bloccati. Funzionari della Commissione sono volati a San Francisco la scorsa settimana per sostenere il caso di persona. Un portavoce di ENISA ha detto ai giornalisti: “È stato offerto ma le condizioni sono ancora in fase di accordo”, confermando che la decisione di concedere l'accesso era stata presa ma i termini specifici erano ancora in fase di negoziazione.

      I punti critici non sono stati resi noti pubblicamente ma probabilmente includeranno disposizioni sulla sovranità dei dati, restrizioni su come i risultati possono essere condivisi con gli stati membri dell'UE e l'ambito dei sistemi che ENISA sarà autorizzata a testare. Il confronto aveva già spinto BNP Paribas e Mistral a iniziare a sviluppare un'alternativa europea, uno sforzo che continuerà indipendentemente dall'accesso di ENISA all'originale.

      Perché è importante

      La crisi di accesso a Mythos ha esposto una vulnerabilità strutturale nella postura di sicurezza digitale dell'Europa. L'Atto sull'IA dell'UE, che entrerà in piena applicazione nell'agosto 2026, regola come i modelli di IA possono essere utilizzati in Europa. Ma non ha alcun meccanismo per costringere un'azienda americana a condividere il suo modello più potente con i regolatori europei, indipendentemente da quanto siano significativi i risultati del modello per la sicurezza europea.

      Le oltre 10.000 vulnerabilità zero-day identificate da Mythos includono difetti nel software che gestisce i sistemi bancari europei, le reti governative e le infrastrutture critiche. Ogni giorno in cui le agenzie di sicurezza europee non potevano vedere quei risultati era un giorno in cui non potevano valutare se i propri sistemi erano stati compromessi o iniziare la remediation.

      La BCE ha convocato le banche della zona euro per discutere le implicazioni per la cybersecurity dopo aver appreso che Mythos aveva trovato vulnerabilità nel software finanziario ampiamente utilizzato in tutta la zona euro. Questa pressione, combinata con la richiesta dei ministri delle finanze e il coinvolgimento diretto della Commissione, sembra aver spostato la posizione di Anthropic.

      Cosa succede dopo

      L'ingresso di ENISA nel Progetto Glasswing non risolve il problema più ampio. Gli stati membri dell'UE vorranno che le proprie agenzie nazionali per la cybersecurity accedano ai risultati di Mythos, e il settore finanziario spingerà per un accesso diretto piuttosto che fare affidamento su ENISA come intermediario. L'episodio ha rafforzato le preoccupazioni europee riguardo alla dipendenza dall'infrastruttura di IA americana per funzioni di sicurezza critiche, un argomento che rafforzerà il caso per capacità sovrane di IA nella cybersecurity.

      Il prezzo di Mythos di Anthropic è di $25 per milione di token di input e $125 per milione di token di output per i partecipanti a Glasswing, accessibile tramite l'API di Claude, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry. Se l'accesso di ENISA sarà a condizioni commerciali o nell'ambito di un accordo governo-governo è uno dei dettagli ancora in fase di finalizzazione. La Commissione Europea ha confermato di aver avuto “diversi incontri produttivi” con Anthropic, ma ha rifiutato di elaborare sui termini.