All’inizio del mese, Anthropic ha annunciato Claude Mythos Preview, un modello di uso generale in grado di scoprire le vulnerabilità software su una scala mai vista prima. In effetti, ha fatto emergere una vulnerabilità software che era passata inosservata per 27 anni. Pochi giorni dopo, Mozilla ha distribuito Firefox 150 con le correzioni per 271 vulnerabilità identificate da Mythos in un unico passaggio di valutazione e ha affermato che l’era degli zero-day ha una data di scadenza, perché i difensori inizieranno a trovare i bug prima degli attaccanti.
È un’affermazione interessante, che riguarda sia una promessa per il futuro relativa alla gestione delle vulnerabilità sia la pressione attuale in materia di sicurezza. Per anni, il machine learning e, più recentemente, gli LLM sono diventati sempre più efficaci nello scoprire le vulnerabilità software. Mythos non si discosta da questa tendenza. Piuttosto, la conferma. Ciò che sorprende non è che l’intelligenza artificiale abbia trovato dei bug che da tempo erano presenti nei sistemi. È la rapidità con cui è arrivato il cambio di passo a soprendere, ed è un segnale chiaro della direzione che prenderanno i modelli AI nei prossimi anni.
La tendenza non rallenterà
Una volta che capacità come questa diventano ampiamente disponibili (attraverso modelli aperti, repliche o innovazioni parallele), entrambi i lati dell’equazione della sicurezza diventeranno più veloci. I difensori e i fornitori utilizzeranno questi strumenti per trovare e correggere le vulnerabilità a una velocità senza precedenti. Gli aggressori utilizzeranno gli stessi strumenti per trovarli e utilizzarli come armi.
L’effetto a valle è un flusso di rilascio molto diverso da quello attuale. Ci si aspetta che gli aggiornamenti del software e del sistema operativo arrivino più frequentemente, risolvendo vulnerabilità che con il vecchio modello avrebbero richiesto mesi o anni per emergere. Firefox 150 è un’anteprima di ciò che sembra in pratica.
È una buona notizia per il futuro della sicurezza. Ma crea un problema immediato per le organizzazioni che devono consumare questi aggiornamenti oggi.
La pressione si sposta sugli ITOps
Se le patch arrivano più velocemente e gli aggressori sfruttano più rapidamente le vulnerabilità, il divario tra la divulgazione e lo sfruttamento si riduce. Le organizzazioni che impiegano giorni o settimane per distribuire gli aggiornamenti saranno esposte come non lo erano prima. La velocità di patching smette di essere una metrica di igiene e diventa una metrica di sopravvivenza.
C’è anche un problema di secondo ordine che spesso viene tralasciato nelle discussioni sulla scoperta delle vulnerabilità da parte dell’AI, ed è probabilmente quello più urgente: Le stesse funzionalità che consentono ai difensori di trovare nuovi bug permettono agli aggressori di trasformare le patch esistenti in exploit. Quando un fornitore invia una correzione, la patch stessa è una descrizione della vulnerabilità, o una tabella di marcia per chiunque sia in grado di leggerla. Le ricerche condotte da Anthropic hanno dimostrato che Mythos ha trasformato i CVE noti in exploit di escalation dei privilegi funzionanti in meno di un giorno, senza alcun intervento umano.
Le implicazioni qui possono essere difficili da digerire. Anche oggi che l’intelligenza artificiale non ha ancora accelerato la scoperta di nuovi “zero-day”, sta già facendo crollare la finestra degli “N-day” (vulnerabilità che sono state divulgate e corrette, ma che rimangono sfruttabili su tutti i sistemi che non sono stati aggiornati). Secondo il report M-Trends 2026 di Mandiant, il tempo medio di sfruttamento di una vulnerabilità è sceso a una stima negativa di sette giorni, il che significa che lo sfruttamento avviene ormai abitualmente prima ancora che venga rilasciata una patch. L’intelligenza artificiale aumenta il divario tra le due estremità. Quanto più velocemente i venditori applicano le patch, tanto più velocemente gli aggressori possono decodificare tali patch e trasformarle in strumenti di attacco diretti a tutti coloro che non le hanno ancora distribuite.
In questo modo si rimodula il mandato del patching. Non si tratta solo di stare al passo con le minacce sconosciute. Si tratta di non essere il bersaglio più facile delle minacce note.
Ma la velocità senza capacità di giudizio è un rischio. Chiunque abbia vissuto l’esperienza di una patch sbagliata sa che l’invio aggressivo di aggiornamenti in un ambiente può bloccare le operazioni aziendali critiche con la stessa efficacia di un aggressore. La risposta non è quella di patchare tutto nel momento in cui una patch diventa disponibile. Si tratta di applicare le patch in modo rapido e sicuro, sapendo cosa è sfruttabile nel tuo ambiente, quali patch sono sicure da distribuire e disponendo dell’automazione necessaria per agire in base a queste conoscenze senza dover aspettare una verifica manuale prima di ogni modifica.
Come significa questo nella pratica
È qui che diventa importante il lavoro che NinjaOne sta svolgendo sulla gestione delle vulnerabilità e delle patch guidate da AI. Tre funzionalità affrontano direttamente il problema della velocità e della sicurezza:
- Un inventario software accurato è la base. L’intelligenza artificiale analizza la telemetria degli endpoint per identificare i prodotti, le versioni e le dipendenze tra i vari dispositivi, normalizzando i nomi incoerenti, in modo che la stessa applicazione venga riconosciuta ovunque si trovi. Senza questo passaggio, la corrispondenza delle vulnerabilità non potrebbe essere precisa.
- L’identificazione delle vulnerabilità in tempo reale si basa su questo inventario. Quando vengono resi noti nuovi CVE, l’AI li correla continuamente con i dati degli endpoint in tempo reale, facendo emergere le risorse interessate nel giro di pochi minuti anziché durante la successiva scansione pianificata.
- Patch Intelligence AI chiude il cerchio. Non tutte le patch sono sicure da distribuire immediatamente e non tutte le vulnerabilità comportano lo stesso rischio. Valutando la qualità delle patch e il rischio di distribuzione in base ai segnali dei fornitori, al feedback della community e ai dati di distribuzione reali, i team IT possono agire rapidamente sulle patch importanti e funzionanti, evitando quelle che potrebbero causare danni operativi.
Insieme, queste funzionalità consentono ai team di ridurre la durata del periodo che intercorre tra la divulgazione delle vulnerabilità e la loro correzione, senza dover procedere per tentativi.
Dalla consapevolezza all’esecuzione
La gestione delle vulnerabilità e il patch management sono sempre stati trattati come discipline adiacenti. Nel panorama che Mythos punta a ridefinire, devono operare come un unico circuito chiuso. Visibilità in tempo reale su ciò che è esposto, abbinata a patching autonomo e consapevole del rischio che si muove alla velocità delle minacce.
Le organizzazioni che riusciranno a gestire al meglio questa situazione non sono quelle con il maggior numero di scanner o di patch in backlog. Sono quelli che possono passare dalla consapevolezza all’esecuzione più velocemente degli aggressori, con sufficiente fiducia nei loro strumenti per farlo autonomamente e sufficienti dati per farlo in modo sicuro.
I prossimi anni saranno diversi. Il volume delle patch aumenterà. La finestra per distribuirle sarà sempre più stretta. La posta in gioco per chi sbaglia, in entrambe le direzioni, aumenterà. Una patch presente nelle note di rilascio di un fornitore non serve a nulla finché non viene distribuita in modo sicuro nel tuo ambiente.
Mythos e i modelli che lo seguiranno rimodelleranno la velocità e la gravità delle minacce informatiche. Questo è chiaro. Le organizzazioni che resteranno un passo avanti non saranno quelle con il maggior numero di scanner o con i team di sicurezza più grandi. Saranno quelle le cui operazioni IT sono in grado di muoversi alla stessa velocità delle minacce, senza sacrificare la stabilità dell’azienda.
