Mythos arriva al Financial Stability Board: Anthropic a rapporto dai ministri delle finanze del G20

Un articolo del Financial Times pubblicato ieri indica che Anthropic si appresta a illustrare al Financial Stability Board le vulnerabilità identificate dal proprio modello Mythos nel sistema finanziario globale. L'incontro è stato richiesto da Andrew Bailey, governatore della Bank of England e presidente in carica dell'FSB, e sarà rivolto ai ministeri delle finanze e alle banche centrali del G20 sotto l'egida del board. Né Anthropic né l'FSB hanno commentato la tempistica esatta della sessione.

Mythos, presentato formalmente come Claude Mythos Preview il 7 aprile, è un modello frontier non specificamente addestrato per la sicurezza informatica, ma le cui capacità di ragionamento e coding si sono rivelate tali, in test interni, da riuscire a individuare e sfruttare vulnerabilità zero-day in tutti i principali sistemi operativi e browser. Anthropic dichiara di aver scoperto migliaia di falle di severità alta e critica, inclusi bug rimasti latenti per decenni: uno in OpenBSD risale a ventisette anni fa. Nell'83% dei casi (in crescita rispetto al 72% del lancio) il modello, che non è mai stato rilasciato al pubblico, riesce a produrre exploit funzionanti al primo tentativo.

L'intervento di Bailey alla Columbia University del 14 aprile rappresenta probabilmente uno spartiacque tra dibattito accademico e azione coordinata di vigilanza. Bailey ha citato Mythos accanto all'escalation nel Golfo come uno degli eventi che hanno spostato il rischio cyber in cima alle priorità dei regolatori "più rapidamente di qualsiasi altra categoria negli ultimi anni". Secondo Bailey il nuovo modello di Anthropic "potrebbe aver trovato il modo di scoperchiare il vaso di Pandora dell'intero mondo del rischio cyber".

Nelle settimane successive al discorso, le maggiori banche britanniche hanno ricevuto un briefing dedicato. La Federal Reserve e il Tesoro statunitense hanno convocato i CEO delle principali banche americane sullo stesso tema. I ministri delle finanze dell'area euro hanno avanzato proprie richieste di accesso mentre ASIC, l'autorità di vigilanza dei mercati australiani, si è aggiunta alla lista di osservazione all'inizio di maggio. Mythos è stato infine consegnato ai colossi bancari giapponesi. L'incontro FSB rappresenta la prima sede in cui tutte queste istanze nazionali confluiscono in un unico tavolo multilaterale, anziché essere negoziate Stato per Stato.

Project Glasswing e il nodo dell'accesso

Il programma di distribuzione controllata che governa Mythos si chiama Project Glasswing. Dodici partner di lancio (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, oltre alla stessa Anthropic) hanno accesso diretto, mentre oltre quaranta organizzazioni ulteriori di infrastruttura software critica possono utilizzare il modello per scansionare i propri codebase. Anthropic ha stanziato fino a 100 milioni di dollari in crediti di utilizzo e 4 milioni in donazioni a progetti open source. Antrhropic ha accettato di non estendere ulteriormente la distribuzione dopo una richiesta esplicita della Casa Bianca. I supervisori bancari fuori da questo perimetro chiedono accesso diretto o un meccanismo mediato dal regolatore.

Tutto ciò accade con un sottotesto politico altrettanto significativo. Il modello che verrà illustrato ai regolatori G20 è di matrice statunitense ed è oggetto di confronto tra Anthropic e l'amministrazione Trump sul profilo di esportazione e sull'accesso militare. E' bene tenere presente che i regolatori ascolteranno una società che, mentre si presenta come interlocutore neutro sulla stabilità finanziaria, sta contemporaneamente negoziando con Washington il proprio perimetro strategico.

Il briefing FSB eleva Mythos da problema di cybersecurity aziendale a questione di stabilità sistemica. La sede multilaterale, però, non risolve il nodo che la motiva: chi può effettivamente usare il modello, e contro quali codici, resta una decisione condivisa tra Anthropic e Washington, non delegabile al tavolo G20.