Un nuovo checkpoint della Claude Mythos Preview di Anthropic è diventato il primo modello di IA a risolvere entrambe le simulazioni di cyberattacco del governo del Regno Unito, sollevando nuove domande sull’hacking autonomo.
AISI segnala la svolta di Mythos
L’AI Security Institute del Regno Unito ha segnalato mercoledì che il nuovo checkpoint di Mythos ha completato il suo attacco alla rete aziendale in 32 passaggi, “The Last Ones”, in 6 tentativi su 10. La versione precedente era riuscita solo in 3 tentativi su 10.
Il modello aggiornato ha inoltre superato “Cooling Tower”, un cyber range per sistemi di controllo industriale che nessun modello precedente aveva passato, in 3 tentativi su 10.
Il rivale GPT-5.5 di OpenAI è stato testato sullo stesso esercizio. Ha risolto “The Last Ones” in 3 tentativi su 10 ma non ha completato “Cooling Tower”.
L’AISI ha eseguito i range con un budget di calcolo di 100 milioni di token per tentativo e ha notato che le prestazioni continuavano a crescere a quel tetto, suggerendo che budget più alti aumenterebbero ulteriormente i tassi di successo.
Vedi anche: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok
Il tempo di raddoppio continua a ridursi
L’AISI monitora i progressi nel cyber attraverso benchmark di orizzonte temporale, misurando quanto a lungo può essere un compito autonomo che un modello riesce a completare con l’80% di affidabilità. Nel novembre 2025, l’agenzia aveva stimato un tempo di raddoppio di 8 mesi. A febbraio 2026, questa cifra si era compressa a 4,7 mesi e sia Mythos sia GPT-5.5 da allora hanno superato anche questa traiettoria più rapida.
L’agenzia ha riconosciuto l’incertezza sul fatto che i risultati più recenti indichino una nuova accelerazione o un salto una tantum.
L’ente di ricerca non profit METR, che monitora l’IA su compiti software anziché su cyber range, ha prodotto una stima simile di circa 4,2 mesi. L’AISI ha affermato che questa convergenza rafforza l’idea che la tendenza rifletta reali aumenti di capacità piuttosto che una particolarità di una singola suite di valutazione.
L’istituto ha sottolineato che i suoi range non includono difensori attivi, quindi i risultati mostrano ciò che i modelli possono fare contro reti debolmente protette piuttosto che contro sistemi aziendali ben difesi.
Perché i salti di capacità contano
Il nuovo checkpoint di Mythos non è arrivato con una nuova release del modello. L’AISI ha utilizzato la stessa versione che Anthropic ha distribuito il mese scorso con Project Glasswing, il suo programma di partnership per la sicurezza, dopo aver ricevuto una build aggiornata dello stesso modello.
“Salti di capacità degni di nota non richiedono sempre nuove release del modello”, ha scritto l’istituto. Questo contraddice l’assunzione che i difensori possano sincronizzarsi con i cicli di rilascio.
Anthropic ha introdotto Mythos Preview il 7 aprile, presentando il modello come un punto di svolta per il settore della sicurezza dopo che, nei test interni, aveva identificato vulnerabilità zero-day sui principali sistemi operativi e browser. L’azienda ha dichiarato di averne ritardato il lancio più ampio proprio a causa di queste capacità, e la valutazione dell’AISI di aprile aveva indicato Mythos come un chiaro passo avanti rispetto ai precedenti sistemi di frontiera.
Da leggere dopo: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO