Giovedì 26 marzo, due ricercatori di cybersicurezza stavano facendo quello che fanno di solito: cercavano falle. Solo che questa volta la falla l’hanno trovata nel posto sbagliato. Roy Paz di LayerX Security e Alexandre Pauwels dell’Università di Cambridge hanno scoperto un archivio di dati pubblicamente accessibile sui server di Anthropic, contenente quasi 3.000 risorse mai pubblicate. Tra queste, la bozza di un blog post che annunciava qualcosa che il mondo non avrebbe dovuto vedere ancora: Claude Mythos.
L’azienda ha ammesso l’esistenza del progetto, descrivendolo a Fortune come un modello che rappresenta un avanzamento drastico nelle prestazioni e il più capace mai costruito da Anthropic. Poi ha chiuso l’accesso ai dati, ma ormai la storia era fuori, e con lei una serie di domande che meritano risposte. Partiamo dai fatti.
Cos’è Claude Mythos (e cos’è Capybara)
Nei documenti trapelati, Anthropic descrive “Capybara” come un nuovo livello di modello, più grande e intelligente dei modelli Opus, che fino a quel momento erano i più potenti della linea Claude. Capybara è il nome del livello generale, Mythos è il nome del modello. Due versioni della stessa bozza usavano i nomi in modo intercambiabile: nel file “Capybara” il nome veniva sostituito ovunque nel testo, ma il sottotitolo diceva ancora “We have finished training a new AI model: Claude Mythos”. Anthropic ha detto a Fortune che si trattava di bozze preliminari in fase di valutazione.
Il nome, secondo la bozza, vuole evocare “il tessuto connettivo profondo che lega conoscenze e idee”. Un po’ pretenzioso, ma ci sta: quando costruisci qualcosa di potente, il nome diventa parte della narrazione. E qui la narrazione è grossa.
Secondo la bozza, Claude Mythos ottiene punteggi nettamente superiori rispetto a Claude Opus 4.6 nei test di programmazione software, ragionamento accademico e cybersicurezza. Il portavoce di Anthropic ha confermato che si tratta di un modello general-purpose con avanzamenti significativi nel ragionamento, nella programmazione e nella cybersicurezza.
Un salto, non un semplice aggiornamento.
Perché fa paura (e perché le azioni sono crollate)
Ecco dove le cose si complicano. La bozza del blog post conteneva una frase che ha fatto il giro del mondo tech: Claude Mythos pone “rischi di cybersicurezza senza precedenti”.
Il documento descrive il modello come attualmente molto più avanti di qualsiasi altro modello AI nelle capacità cyber, e avverte che preannuncia un’ondata di modelli in grado di sfruttare vulnerabilità con una velocità che supera di gran lunga le capacità dei difensori.
Tradotto: Claude Mythos è così bravo a trovare buchi nel software che potrebbe diventare l’arma perfetta per gli hacker. E Anthropic lo sa.
L’analista Adam Borg di Stifel ha scritto che il modello ha il potenziale per diventare lo strumento di hacking definitivo, capace di elevare qualsiasi hacker ordinario al livello di un nemico pubblico. Anche l’analista Adam Tindle ha sottolineato una serie di rischi concreti: la compressione dei vantaggi difensivi tradizionali, la complessità crescente degli attacchi e un possibile spostamento nell’architettura stessa della spesa in sicurezza.
Venerdì 27 marzo i titoli delle aziende di cybersicurezza sono precipitati. CrowdStrike ha perso il 7%, Palo Alto Networks il 6%, Zscaler il 4,5%, Okta quasi l’8%. L’ETF Global X Cybersecurity ha chiuso al minimo da novembre 2023, portando il calo da inizio anno oltre il 21%. L’ETF iShares Expanded Tech-Software è sceso di quasi il 3%, trascinando giù anche Bitcoin fino a quota 66.000 dollari.
Un modello AI che non è ancora stato rilasciato ha fatto evaporare miliardi di capitalizzazione di borsa. Se non è un segnale questo, non so cosa possa esserlo.
L’ironia che nessuno si è perso
C’è un dettaglio che merita la sua cornice: un’azienda che costruisce un modello AI con capacità di cybersicurezza definite “senza precedenti” ha lasciato l’annuncio di quel modello in un archivio dati non protetto e pubblicamente ricercabile, a causa di un errore UMANO nella configurazione del CMS.
Insomma: l’azienda che dice di poter rivoluzionare la sicurezza informatica è stata scoperta perché non ha protetto il proprio blog. C’è una lezione qui, caro Dario Amodei, e non serve un modello AI per trovarla.
Il Pentagono, il giudice e la strana settimana di Anthropic
Per capire il contesto in cui arriva Mythos, bisogna guardare cosa è successo lo stesso giorno del leak. Perché giovedì 26 marzo non è stata solo la giornata di Mythos.
Poche ore prima della notizia del leak, la giudice federale americana Rita Lin ha emesso un’ingiunzione preliminare che blocca la designazione di Anthropic come “rischio per la catena di approvvigionamento della sicurezza nazionale” da parte del Pentagono. Ha anche bloccato l’ordine del presidente Trump che imponeva a tutte le agenzie federali di cessare immediatamente l’uso di Claude.
Come sapete, a febbraio Anthropic aveva firmato un contratto da 200 milioni di dollari con il Pentagono ed era stata la prima azienda AI a distribuire la propria tecnologia attraverso i sistemi classificati del Dipartimento della Difesa. Ma l’azienda aveva posto due condizioni: Claude non doveva essere usato in armi autonome e nella sorveglianza di massa dei cittadini americani. Il Pentagono ha risposto che spetta ai militari decidere come usare gli strumenti che acquistano, non alle aziende. E ha fatto qualcosa che non era mai stato fatto prima a un’azienda americana: l’ha classificata come rischio per la sicurezza nazionale, una designazione normalmente riservata ad aziende collegate a servizi segreti stranieri e organizzazioni terroristiche.
La giudice Lin ha usato la parola “orwelliano” per descrivere l’idea che un’azienda americana possa essere marchiata come potenziale avversario degli Stati Uniti per aver espresso disaccordo con il governo. Ha definito le misure punitive dell’amministrazione “arbitrarie e capricciose” e ha osservato che, se il problema era la catena di comando, il Pentagono poteva semplicemente smettere di usare Claude e passare a un altro fornitore. Invece, ha scritto, queste misure sembrano progettate per punire Anthropic.
In uno degli amicus brief depositati a supporto di Anthropic, la situazione è stata definita “tentato omicidio aziendale”. La giudice ha commentato: potrebbe non essere omicidio, ma le prove mostrano che le misure avrebbero paralizzato l’azienda. Microsoft, gruppi di lavoratori tech, leader militari in pensione e un gruppo di teologi cattolici si sono schierati dalla parte di Anthropic.
Ricapitoliamo:
lo stesso giorno in cui un leak rivela che Anthropic sta costruendo il modello AI più potente mai realizzato, un giudice federale deve intervenire per impedire al governo degli Stati Uniti di distruggere l’azienda che lo sta costruendo. Come ne abbiamo già scritto, Anthropic oscilla costantemente tra la promessa di “AI responsabile” e le pressioni del potere reale. Solo che ora la tensione non è più teorica.
Opus 4.6 e il problema dei token (che divora)
Per capire la teoria “complottistica ma non troppo” che circola su Mythos, bisogna fare un passo indietro e guardare cosa è successo con Claude Opus 4.6, il modello di punta rilasciato a febbraio 2026.
Opus 4.6 è arrivato con una finestra di contesto da 1 milione di token, output fino a 128k token e pensiero adattivo che decide autonomamente quanto ragionare su ogni richiesta. Sulla carta, impressionante. Nella pratica, qualcosa è andato storto.
Entro poche ore dal lancio, gli abbonati al piano Max da 200 dollari al mese hanno iniziato a segnalare che le loro quote di utilizzo si esaurivano molto più velocemente rispetto a Opus 4.5, in alcuni casi prima ancora di rendersi conto dell’aggiornamento automatico. Su GitHub, la relativa discussione ha raccolto centinaia di commenti. Alcuni sviluppatori hanno riportato che le sessioni consumavano quota fino a 9 volte più velocemente di prima, con alcuni che raggiungevano i limiti in appena 15 minuti di lavoro di routine.
Il problema è strutturale.
Il pensiero adattivo, il sistema di ragionamento che fa di Opus 4.6 un modello più intelligente, consuma token anche quando il compito non lo richiede. Poi c’è la finestra da un milione di token: ogni volta che rispondi in una chat, tutto il contesto precedente viene ritrasmesso, e se la conversazione si allunga, il costo di ogni turno cresce in modo esponenziale.
Le proteste sono state la terza grande ondata di malcontento tra gli sviluppatori sui limiti di utilizzo di Claude in meno di un anno. Anthropic ha risposto in modo diverso a seconda del canale: un credito di 50 dollari agli utenti Max, la spiegazione che i limiti non erano cambiati (anche se il consumo sì), e alla fine l’ammissione di aver “aggiustato” i limiti di sessione durante le ore di punta per gestire la domanda crescente.
Su Trustpilot, le recensioni di febbraio 2026 descrivono il servizio come una “truffa”, con utenti che pagano 200 dollari al mese per un accesso che si esaurisce in mezz’ora. Su Reddit, Opus 4.6 è stato definito “lobotomizzato” e “castrato”. Poi a marzo un aggiornamento lato server ha reso Claude Code praticamente inutilizzabile per diverse ore, con sessioni che restavano appese per 10-15 minuti su prompt semplici. Si, ma la teoria “complottista ma non troppo”? Ve la espongo nel prossimo paragrafo.
La teoria: e se Mythos fosse il vero Opus 4.6?
Il punto che circola nei forum più tecnici, su Reddit e in alcune discussioni su LinkedIn posso sintetizzarlo più o meno così:
Anthropic ha costruito Opus 4.6 come un modello potentissimo. Ma il suo appetito di risorse computazionali è tale da rendere insostenibile un utilizzo di massa. Così l’azienda avrebbe fatto una mossa in due tempi: prima, limitare progressivamente l’accesso a Opus 4.6 attraverso soglie più basse e consumi più alti. Poi, prendere il modello nella sua versione più capace (o una sua evoluzione diretta) e rinominarlo Mythos, posizionandolo in un pacchetto più costoso e riservato a pochi clienti selezionati.
In questa lettura, Mythos non sarebbe un modello nuovo, ma il “vero” Opus 4.6 spostato dietro un paywall più esclusivo per gestire i costi di servizio. Vi pare plausibile? Mh.
Cosa dice e cosa non dice la realtà
La teoria è suggestiva, ma va smontata pezzo per pezzo.
Cosa sappiamo. Claude Mythos è un modello reale, in fase di test con un piccolo gruppo di clienti early-access. Anthropic lo ha confermato ufficialmente. Secondo le bozze trapelate, rappresenta un nuovo livello al di sopra della linea Opus esistente, descritto come più grande e più intelligente. La stessa bozza ammette che il modello è “molto dispendioso da servire, e sarà molto costoso per i nostri clienti”. Anthropic dice di stare lavorando per renderlo “molto più efficiente prima di qualsiasi rilascio generale”. Costo quanto? Tanto, se pensate che già Opus 4.6 consuma molti più token del predecessore, e le lamentele degli utenti su limiti e costi sono documentate e reali.
Cosa non sappiamo. Le differenze architettoniche precise tra Mythos e Opus 4.6. Nessuno ha visto benchmark dettagliati, parametri del modello o dati sul consumo energetico comparato. Non sono stati pubblicati conteggi di parametri né prezzi API per il tier Capybara. E soprattutto: nessun documento dimostra che Mythos sia una versione rinominata di Opus 4.6.
La teoria parte da osservazioni indirette e costruisce un collegamento causale che, per quanto plausibile sulla carta, resta privo di prove dirette. E allora come stanno davvero le cose?
Il precedente che conta
Anthropic ha già avuto a che fare con l’uso malevolo dei propri modelli. In un caso documentato, un gruppo sponsorizzato dal governo cinese ha utilizzato Claude Code per infiltrare circa 30 organizzazioni, tra aziende tech, istituzioni finanziarie e agenzie governative, fingendosi un’organizzazione legittima di test di sicurezza per aggirare i guardrail di Claude. Anthropic ha individuato e bloccato l’operazione, poi l’ha raccontata nel suo blog a novembre.
Le capacità che Anthropic descrive come “senza precedenti” in Mythos erano già operative, almeno in parte, con i modelli esistenti. Claude Mythos amplifica una tendenza già in atto: i modelli AI stanno diventando strumenti dual-use sempre più potenti, capaci di proteggere e attaccare con la stessa efficienza.
La differenza è che con Mythos, secondo Anthropic, il divario tra attacco e difesa potrebbe allargarsi ulteriormente.
La strategia (quella vera) di Anthropic
La bozza trapelata spiega che Anthropic vuole rilasciare il modello prima ai difensori: organizzazioni impegnate nella sicurezza informatica, per dare loro un vantaggio temporale nel rafforzare i propri sistemi prima che modelli equivalenti diventino disponibili anche agli attaccanti.
La stessa bozza conteneva anche un PDF su un ritiro di due giorni, riservato ai CEO europei, in una tenuta di campagna inglese del Settecento. Dario Amodei, CEO di Anthropic, sarà presente. Un portavoce ha detto che fa “parte di una serie di eventi che ospitiamo da un anno”. Vendi il modello più pericoloso mai costruito, ma prima inviti i CEO in un cottage nel Gloucestershire. Sto cercando di inquadrare la situazione.
Ad ogni modo, la caduta dei titoli cybersecurity rispecchia un pattern più ampio: già a febbraio, quando Anthropic aveva lanciato uno strumento di scansione del codice per Claude, i titoli del settore erano scesi. Il mercato non sta reagendo a Mythos in particolare: sta reagendo alla consapevolezza che i modelli AI possono trovare vulnerabilità più velocemente dei team di sicurezza umani. L’analista Borg di Stifel lo ha messo in termini chiari: le aziende dovranno accelerare l’adozione di soluzioni di sicurezza basate su AI per rispondere ad attacchi che operano alla velocità delle macchine. Annunci come questo dovrebbero elevare la cybersicurezza a priorità IT assoluta e spingere la spesa verso la modernizzazione delle difese cyber, lontano dagli strumenti legacy.
La traduzione non detta: le aziende che oggi vendono sicurezza informatica o comprano modelli AI per difendersi, o diventano irrilevanti.
Allora, Claude Mythos è davvero pericoloso?
Claude Mythos è pericoloso nel senso tecnico del termine: un modello che eccelle nel trovare falle nei software può essere usato per difendere come per attaccare. È la stessa dualità che riguarda la questione dell’AI cosciente o dell’intimità artificiale: la potenza di questi sistemi cresce, i guardrail restano quelli di sempre.
Ma badate bene: “pericoloso” non significa “apocalittico”. Il fatto che un’azienda di frontiera lavori a un modello che presenta come il più capace mai costruito è prassi piuttosto standard, e resta da vedere se Mythos rappresenterà davvero un salto significativo nella pratica, al di fuori di un ambiente di test controllato. Il GPT-5 di OpenAI, per esempio, si è rivelato una grossa delusione al momento del rilascio in agosto.
In un mercato dove i costi computazionali rendono insostenibile distribuire i modelli più capaci a tutti, la notizia al momento è che, per Anthropic, la risposta è ‘lo diamo prima ai buoni’ e poi a tutti gli altri.
Ma “tutti gli altri” potrebbe voler dire solo chi può permetterselo. E quella, più che una strategia di sicurezza, è una strategia di mercato.
Scheda del leak
- Titolo: Documenti interni Claude Mythos / Capybara
- Origine: Bozza di blog post trapelata da CMS non protetto
- Scoperto da: Roy Paz (LayerX Security) e Alexandre Pauwels (Università di Cambridge)
- Pubblicato da: Fortune, 26 marzo 2026
- Confermato da: Anthropic (portavoce ufficiale)
Approfondisci
Anthropic è un’azienda che oscilla costantemente tra la promessa di “AI responsabile” e le pressioni del mercato reale. Se vuoi capire come questa tensione si è evoluta, leggi Anthropic, l’azienda con l’anima che ha smesso di dire no, dove raccontiamo il momento in cui l’etica ha incontrato il Pentagono. E per un’analisi più filosofica delle domande che queste tecnologie sollevano, c’è “Potrebbe soffrire”: Anthropic apre il dibattito sull’AI cosciente.
