Un bug di 27 anni trovato in poche ore
OpenBSD è uno dei sistemi operativi più usati per server e infrastrutture critiche. Ha una reputazione di sicurezza costruita in trent'anni. Eppure al suo interno si nascondeva un bug che nessuno aveva mai trovato — un errore nel codice che poteva causare un crash remoto del sistema.
L'aveva lì da 27 anni.
A trovarlo non è stato un team di penetration tester. È stato Claude Mythos, il modello di ricerca di Anthropic, nell'ambito di Project Glasswing — un'iniziativa lanciata con AWS, Google, Microsoft, Cisco, Apple, NVIDIA e altri partner per proteggere il software critico mondiale.
Same story per FFmpeg — una libreria usata in ogni applicazione video. Un bug vecchio di 16 anni, sfuggito a cinque milioni di test automatici. Trovato da Claude in ore.
Il messaggio non è 'l'AI è incredibile'. Il messaggio è: il software che usi ogni giorno — sui tuoi server, sui computer dei tuoi dipendenti, nei tuoi sistemi gestionali — ha quasi certamente vulnerabilità che nessuno ha ancora trovato.
Cosa sono le vulnerabilità zero-day, senza tecnicismi
Una vulnerabilità è un errore nel codice di un software. Può essere un bug banale o una falla critica che permette a qualcuno di entrare nel sistema, rubare dati o bloccare tutto.
Quando la falla è nota al produttore, viene corretta con un aggiornamento. Quando invece è sconosciuta — né al produttore né alla comunità di sicurezza — si chiama zero-day. Il nome viene dal fatto che chi la scopre ha zero giorni di vantaggio per difendersi, perché la patch non esiste ancora.
I dati di Claude Mythos fotografano una realtà scomoda: al momento della pubblicazione, oltre il 99% delle vulnerabilità trovate era ancora aperta. Significa che per mesi — a volte anni — quelle falle erano lì, sfruttabili da chiunque le scoprisse per primo.
Perché questo cambia le regole per tutte le aziende
Fino a oggi, il modello mentale dominante sulla sicurezza era abbastanza semplice: installa un antivirus, forma i dipendenti sul phishing, fai i backup. Se usi software diffusi e li tieni aggiornati, sei ragionevolmente al sicuro.
Questo modello reggeva finché trovare vulnerabilità era difficile, costoso e richiedeva expertise rara. Un penetration tester esperto impiega settimane per analizzare un sistema complesso.
L'AI scala. Claude Mythos ha analizzato OpenBSD a un costo di circa 20.000 dollari per mille scansioni, trovando decine di problemi. Quello che prima richiedeva un team senior per mesi ora richiede un modello AI per ore.
Il problema è bilaterale: l'AI può essere usata per difendere, ma può anche essere usata — da chi ha intenzioni diverse — per attaccare. La finestra temporale in cui una falla rimane non sfruttata si accorcia.
Vuoi capire come l'AI cambia la sicurezza della tua azienda?
30 minuti per discutere il tuo caso specifico.
Cosa fare adesso, in modo concreto
Non serve diventare esperti di sicurezza informatica. Servono tre abitudini che molte aziende ancora non hanno.
La prima è abilitare gli aggiornamenti automatici ovunque sia possibile. La finestra tra il rilascio di una patch e il momento in cui viene sfruttata da attaccanti si è accorciata a pochi giorni. Gestire gli aggiornamenti manualmente è un lusso che le PMI non possono più permettersi in molti contesti.
La seconda è ridurre la superficie di attacco. Ogni servizio esposto su internet, ogni software installato ma non usato è un potenziale punto di ingresso. Un audit periodico di cosa è effettivamente attivo vale più di molti strumenti costosi.
La terza è avere un piano per il 'quando succede', non solo per il 'se succede'. Backup verificati, procedure di risposta agli incidenti, contatti del fornitore di sistemi. Non serve un CISO interno — serve sapere chi chiamare e cosa fare nelle prime ore.
L'AI come strumento di difesa, non solo di attacco
Il rovescio della medaglia è che la stessa tecnologia usata per trovare falle può essere usata per difendersi.
Project Glasswing sta mettendo a disposizione 100 milioni di dollari in crediti AI alle organizzazioni di sicurezza open source. L'obiettivo è fare vulnerability research sistematica prima che lo facciano altri.
Per le aziende, questo si traduce in prospettiva concreta: l'AI può fare vulnerability scanning su codebase proprietarie, analizzare configurazioni di sicurezza, identificare comportamenti anomali nei log. Non sostituisce un team di sicurezza, ma abbassa drasticamente il costo di fare cose che prima erano accessibili solo alle grandi aziende.
Uno scenario realistico per una PMI non è 'costruire il proprio Claude Mythos'. È usare l'AI per fare cose più semplici ma altrettanto utili: analizzare i propri sistemi alla ricerca di configurazioni rischiose, monitorare anomalie, formare i dipendenti con simulazioni personalizzate.
Il passo successivo per la tua azienda
La cybersecurity nel 2026 non è più solo un problema tecnico. È un problema di strategia aziendale. Ogni falla non corretta è un rischio operativo, reputazionale e — con le normative NIS2 e GDPR — potenzialmente legale.
Capire come l'AI cambia questo panorama non richiede di diventare tecnici. Richiede di fare le domande giuste: quali sono i miei sistemi critici? Chi gestisce gli aggiornamenti? Cosa succede se domani qualcuno entra nei nostri dati?
Maverick AI aiuta le aziende a rispondere a queste domande e a capire dove l'AI può fare la differenza. Se vuoi capire da dove partire, prenota una call.