Chi ha provato Mytos dice che è la cosa migliore che potesse accadere alla cybersecurity

Mythos, il modello AI di Anthropic che si è dimostrato bravissimo nel trovare le vulnerabilità, è sulla bocca di tutti. Inizialmente messo a disposizione di poche aziende (raggruppate nel “progetto Glasswing”) perché provvedessero a mettere in sicurezza i sistemi critici degli USA, è stato recentemente ritirato dalla disponibilità per timori sulla sicurezza nazionale. Chi l’ha provato, però, ne è entusiasta e dice che è la cosa migliore che poteva accadere alla cybersecurity.

Lo sappiamo perché durante lo Zenith Live 2026, evento annuale di Zscaler tenutosi a Vienna, abbiamo avuto la possibilità di scambiare due chiacchiere con Sam Curry, CISO (responsabile della sicurezza informatica interna) dell’azienda, che non ha esitato a definire il nuovo arrivato una vera e propria rivoluzione per il settore della cybersecurity, predicandone la capacità di trasformarlo sin dalle fondamenta.

Nel panorama della sicurezza informatica attuale, la figura del Chief Information Security Officer di Zscaler si trova a gestire una delle infrastrutture cloud più vaste e critiche al mondo, agendo come un vero e proprio sistema di autorizzazione globale attraverso cui passa ogni singola transazione delle maggiori organizzazioni internazionali.

Con una tale responsabilità, non sorprende che da qualche settimana stia dedicando molto del suo a quella che è stata presentata come una minaccia apocalittica e si è detto sorpreso d’aver scoperto che è, in realtà, una manna dal cielo. Da bravo nerd superspecializzato, quando parla di Mythos non lo descrive non come una semplice evoluzione tecnologica, ma come una rivoluzione paragonabile a quella che fu l’introduzione di Kali Linux per il mondo del penetration testing. Le sue capacità, infatti, sono davvero superumane. Mythos non si limita a identificare singole vulnerabilità, ma intere catene di exploit, collegando rischi medi e bassi che insieme diventano critici, e scrivendo codice di attacco in tempo reale. È come se organizzando furti in banca, il sistema di AI non fosse solo in grado di aprire la cassaforte, ma anche di pianificare tutto il resto della rapina: dall’identificazione dei complici, al percorso per arrivare al caveau, fino alla fuga con il malloppo. E gli elementi che lo distingue radicalmente dai software che finora rappresentavano l’avangardia nella caccia alle vulnerabilità, come Qualys o Rapid7, sono l’accuratezza e la quantità: mentre questi ultimi hanno spesso un tasso di veri positivi che si aggira intorno al venti per cento, Mythos raggiunge l’ottantadue per cento, rendendo quasi ogni sua segnalazione un pericolo reale e dimostrabile. A questo bisogna aggiungere che se prima si trovavano 10 vulnerabilità al mese, adesso Mythos ne trova almeno 100 (di cui 82 pericolose).

Questa trasformazione sta cambiando radicalmente il rapporto tra uomo e macchina nel campo degli attacchi informatici, segnando il passaggio da un’era in cui l’intelligenza artificiale assisteva l’uomo a una in cui gli umani assistono l’intelligenza artificiale in attacchi collaborativi e complessi. “Per le aziende,” – dice Curry – “questo significa dover affrontare un volume di patch e aggiornamenti senza precedenti; se prima si gestivano pochi interventi critici a settimana, con Mythos si passerà a doverne gestire decine o centinaia ogni giorno, mettendo a dura prova la continuità operativa di molte organizzazioni che non sono strutturate per ritmi simili.” La postura di sicurezza dovrà diventare irreprensibile, con una particolare attenzione al fatto che nessuno potrà permettersi di restare al passo, almeno inizialmente, e che quindi si dovrà ricorrere a un abbondante uso delle migliori pratiche per evitare danni dalle intrusioni. Una di queste, quella di elezione secondo lui, è quella dello Zero Trust. Certo, questa impostazione è stata teorizzata e immessa sul mercato proprio da Zscaler, ma nonostante l’apparente conflitto di interesse, l’architettura Zero Trust è stata riconosciuta come una dei tasselli fondamentali per raggiungere una protezione di altissimo livello.