Ogni sistema operativo principale ha vulnerabilità critiche non scoperte
Non è un'ipotesi teorica. È il risultato di un progetto di ricerca condotto da Anthropic nelle ultime settimane.
Claude Mythos — il modello di frontiera di Anthropic — ha trovato una vulnerabilità nel kernel Linux che permette a un utente normale di prendere il controllo completo del sistema. Una falla in FreeBSD classificata come Remote Code Execution. Un bug in OpenBSD presente da 27 anni. Un bug in FFmpeg sopravvissuto a cinque milioni di test automatici per 16 anni.
All'uscita del rapporto, oltre il 99% delle vulnerabilità trovate era ancora aperto.
Il punto non è la tecnologia. Il punto è la premessa su cui si basa quasi tutta la tech due diligence nel Private Equity: che il software usato dalle portfolio company sia ragionevolmente sicuro se è diffuso, aggiornato e privo di CVE note. Questa premessa è fragile.
Cosa significa per chi investe in aziende technology-dependent
Quasi ogni azienda nel 2026 è technology-dependent, anche se non è una tech company. Gestionale, CRM, sistema di produzione, infrastruttura cloud, sito e-commerce — se uno di questi si ferma o viene compromesso, l'EBITDA ne risente.
La tech due diligence tradizionale cerca tre cose: che i sistemi funzionino, che siano scalabili e che non abbiano debito tecnico evidente. È una valutazione corretta ma incompleta. Non misura l'esposizione a rischi sconosciuti — esattamente la categoria che Project Glasswing ha dimostrato essere significativa anche nel software più maturo e revisionato al mondo.
Per un fondo PE, questo si traduce in una domanda concreta: se investiamo in un'azienda con una codebase proprietaria sviluppata internamente negli ultimi dieci anni, qual è la probabilità che contenga vulnerabilità critiche non scoperte? La risposta onesta, alla luce dei dati Anthropic, è molto alta.
Come cambia la tech due diligence
Il problema con la tech due diligence attuale non è la competenza di chi la fa — è la scala. Un team di 3-4 persone in 4 settimane può analizzare architettura, qualità del codice, documentazione. Non può fare vulnerability research sistematica su 500.000 righe di codice proprietario.
L'AI cambia questa equazione.
Claude può analizzare codebase intere alla ricerca di categorie di vulnerabilità note: gestione degli input non sanitizzata, uso di librerie con CVE aperte, configurazioni di autenticazione rischiose. Non è equivalente a un penetration test completo, ma è un ordine di grandezza più scalabile.
Il risultato pratico è che durante una due diligence è oggi possibile ottenere una mappa del rischio tecnologico che include non solo il debito tecnico visibile, ma anche categorie di rischio di sicurezza che tradizionalmente venivano ignorate per mancanza di tempo.
Per i team che già usano Claude per la due diligence documentale, aggiungere una dimensione di security analysis è un'estensione naturale del workflow esistente.
Stai rivalutando il tech risk nelle tue portfolio company?
30 minuti per discutere il tuo caso specifico.
AI per accelerare la DD e il portfolio monitoring
La tech due diligence potenziata dall'AI non si esaurisce nella fase pre-closing. Il valore si estende lungo l'intero ciclo di vita dell'investimento.
Durante la due diligence, Claude può analizzare la codebase proprietaria della target, mappare le dipendenze da librerie di terze parti, valutare la maturità delle pratiche di sicurezza del team di sviluppo.
Post-closing, il monitoring del rischio tecnologico può essere parzialmente automatizzato. Claude può analizzare periodicamente i log di sicurezza, monitorare l'emergere di nuove CVE che impattano le librerie usate, produrre report di stato per il team di gestione.
L'integrazione con i sistemi esistenti — tramite MCP — permette a Claude di accedere in modo strutturato ai dati delle portfolio company senza richiedere trasferimenti manuali di informazioni.
Il rischio reputazionale e operativo che spesso si sottovaluta
Un incidente di sicurezza in una portfolio company non è solo un problema operativo. Ha implicazioni più ampie.
Sul fronte regolamentare, NIS2 — entrata in vigore in Europa — impone obblighi significativi alle aziende in settori critici. Una portfolio company non conforme espone il fondo a rischi che non sempre emergono nella due diligence standard.
Sul fronte delle exit, un acquirente che fa due diligence post-incidente troverà il problema e lo userà come leva negoziale sul prezzo. Risolvere il problema prima dell'exit — anche parzialmente — migliora la qualità del processo.
Le considerazioni sulla due diligence AI nel PE si applicano anche qui: l'AI non elimina il rischio, ma abbassa il costo di identificarlo prima che diventi un problema.
Come Maverick AI lavora con i fondi Private Equity
Maverick AI è l'implementation partner di riferimento in Italia per l'ecosistema Anthropic. Lavoriamo con fondi PE su due fronti principali.
Nella tech due diligence, affianchiamo i deal team nella costruzione di workflow Claude per l'analisi delle codebase target, l'identificazione di dipendenze rischiose e la produzione di report di security risk integrabili nei memo di investimento standard.
Nel portfolio monitoring, aiutiamo a costruire sistemi di supervisione del rischio tecnologico nelle portfolio company che si integrino con i processi di reporting esistenti.
Abbiamo clienti attivi in ambito M&A advisory e pipeline nel PE. Se stai rivalutando il tech risk nelle tue portfolio company o vuoi capire come integrare Claude nella due diligence, contattaci.