Nell’amministrazione Trump esplode il caso sulle vulnerabilità di Anthropic Mythos, mentre il Tesoro e la Fed spingono Wall Street a usarlo proprio mentre il Pentagono tenta di escluderlo.
Summary
La richiesta di Tesoro e Fed alle grandi banche americane
Il segretario al Tesoro Scott Bessent e il presidente della Federal Reserve Jerome Powell hanno convocato i vertici di JPMorgan Chase, Goldman Sachs, Citigroup, Bank of America e Morgan Stanley. Secondo Bloomberg, hanno chiesto esplicitamente di sperimentare il nuovo modello Mythos di Anthropic per individuare falle di sicurezza informatica nei sistemi bancari.
La raccomandazione è sorprendente, perché arriva mentre il Pentagono porta avanti una dura battaglia legale contro la stessa società. Il Dipartimento della Difesa, guidato da Pete Hegseth, ha infatti classificato Anthropic come “rischio per la supply chain”, etichetta che blocca l’accesso ai contratti militari e invita gli appaltatori a sospendere l’uso della sua tecnologia.
La designazione è scattata dopo il rifiuto di Anthropic di rimuovere due vincoli di sicurezza sui propri modelli: niente impiego in armi completamente autonome e nessuna attività di sorveglianza di massa sui cittadini statunitensi. Tuttavia, i principali responsabili di politica economica della Casa Bianca spingono ora la finanza a utilizzare proprio questi strumenti.
Cosa fa davvero Mythos
Claude Mythos Preview è un modello avanzato che Anthropic non ha addestrato esplicitamente per la cybersicurezza. Le capacità di individuare vulnerabilità sono emerse come effetto collaterale dei progressi nella logica del codice e nel funzionamento autonomo. Nei test interni, Mythos ha identificato migliaia di vulnerabilità zero-day, cioè falle sconosciute agli sviluppatori, in tutti i principali sistemi operativi e browser.
Le potenzialità sono state giudicate talmente sensibili che la società ha rinunciato a un rilascio pubblico del modello. Al suo posto è nato Project Glasswing, un programma controllato che offre accesso a circa 50 organizzazioni, tra cui Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco, CrowdStrike, Palo Alto Networks e JPMorgan Chase.
Anthropic ha promesso fino a 100 milioni di dollari in crediti d’uso e 4 milioni in donazioni dirette a organizzazioni open source attive sulla sicurezza. Inoltre, l’iniziativa è presentata come un tentativo di coniugare ricerca avanzata e responsabilità nella gestione dei rischi.
Scetticismo sulla narrativa del modello “troppo pericoloso”
Il racconto di un modello “troppo pericoloso per essere rilasciato” ha però suscitato dubbi in parte della comunità tecnologica. Il sito Tom’s Hardware ha osservato che il numero di “migliaia” di gravi zero-day si basa su appena 198 verifiche manuali. Inoltre, molte vulnerabilità segnalate riguardavano software datato o difficilmente sfruttabile.
Alcuni esperti di sicurezza hanno suggerito che il rilascio limitato assomigli più a una strategia commerciale che a un esercizio di governance responsabile. In questa lettura, si crea scarsità, si enfatizzano i rischi e si lascia che siano i grandi clienti enterprise a farsi avanti. Detto ciò, la domanda da parte di banche e big tech conferma un reale interesse per l’uso difensivo di questi strumenti.
Il paradosso del Pentagono e la lista nera
Lo scontro tra la raccomandazione di Bessent e Powell e la designazione voluta da Hegseth non è un semplice problema di comunicazione interna. Si tratta di due rami della stessa amministrazione che perseguono politiche apertamente confliggenti verso la stessa azienda.
La controversia con il Pentagono inizia a febbraio, quando Hegseth impone al CEO Dario Amodei una scadenza entro il venerdì per revocare i vincoli di sicurezza o perdere un contratto da 200 milioni di dollari. Amodei rifiuta. In risposta, Hegseth dichiara Anthropic “rischio per la supply chain” e il presidente Donald Trump ordina alle agenzie federali di smettere di usare la sua tecnologia.
Un funzionario del Pentagono accusa Amodei di avere un “complesso di Dio”, mentre Trump definisce Anthropic una società “radical left, woke”. Nel frattempo, la battaglia legale si sposta nelle aule giudiziarie, con esiti contrastanti e conseguenze operative rilevanti.
Le decisioni dei tribunali e il perimetro operativo di Anthropic
Un giudice federale in California emette un’ingiunzione preliminare che sospende la designazione come rischio di supply chain. Nella motivazione, scrive che “nulla nello statuto di riferimento supporta l’idea orwelliana che un’azienda americana possa essere bollata come potenziale avversario e sabotatore degli Stati Uniti per aver espresso dissenso dal governo”.
Un tribunale d’appello a Washington D.C. respinge però la richiesta di Anthropic di congelare temporaneamente la messa al bando mentre il processo è in corso. Nel complesso, il risultato pratico è che Anthropic resta esclusa dai contratti del Dipartimento della Difesa, ma può continuare a lavorare con altre agenzie federali.
È in questo spazio intermedio, fuori dal perimetro del Pentagono ma ancora accessibile a Tesoro e Fed, che si inserisce l’iniziativa di Bessent e Powell di coinvolgere gli istituti finanziari.
Cosa stanno facendo davvero le banche con Mythos
Tra le banche, solo JPMorgan Chase figura ufficialmente come partner di Project Glasswing. Bloomberg riferisce però che Goldman Sachs, Citigroup, Bank of America e Morgan Stanley stanno già testando internamente Mythos. Gli utilizzi riguarderebbero individuazione di vulnerabilità, segnalazione di rischi di frode e automazione di processi di conformità.
La rapidità di adozione riflette un timore concreto. Se Mythos è in grado di scoprire vulnerabilità zero-day in sistemi operativi e browser, è plausibile che possa farlo anche nelle infrastrutture bancarie. Inoltre, qualsiasi modello sufficientemente avanzato potrebbe in futuro replicare capacità analoghe.
La logica difensiva è lineare: meglio identificare le falle prima che lo faccia l’intelligenza artificiale di un avversario. Proprio per questo, molte banche sembrano considerare le vulnerabilità di Anthropic Mythos come uno strumento utile per rafforzare i propri sistemi invece che come un rischio da evitare.
La risposta dei regolatori nel Regno Unito
La reazione regolatoria non è solo statunitense. Il Financial Times riferisce che funzionari della Bank of England, della Financial Conduct Authority e dell’HM Treasury stanno collaborando con il National Cyber Security Centre per valutare le potenziali vulnerabilità evidenziate da Mythos.
Secondo le indiscrezioni, rappresentanti delle principali banche britanniche, compagnie assicurative e borse valori dovrebbero ricevere un briefing entro un paio di settimane. Inoltre, Londra sembra intenzionata a definire un quadro di riferimento condiviso per l’uso di modelli di intelligenza artificiale nella sicurezza informatica delle infrastrutture critiche.
L’implicazione strutturale per la politica AI dell’amministrazione
L’episodio Mythos mette in luce un problema strutturale nell’approccio dell’amministrazione alla regolazione dell’intelligenza artificiale. Lo stesso governo che ha bollato Anthropic come minaccia alla sicurezza nazionale per il rifiuto di allentare le protezioni ora invita il sistema finanziario a dipendere dalla sua tecnologia per difendersi da attacchi digitali.
Il segnale inviato all’azienda è contraddittorio: troppo rischiosa per l’apparato militare, ma al tempo stesso così strategica che il segretario al Tesoro interviene personalmente presso i CEO bancari per raccomandarne l’adozione. Inoltre, ogni nuovo istituto che integra Mythos nelle proprie difese rende sempre più difficile sostenere la narrativa della società come pericolo sistemico.
Per l’amministrazione, il caso mostra le conseguenze di una politica di sicurezza nazionale plasmata da tensioni personali più che da una strategia coerente. Un ramo mette un fornitore in lista nera, mentre un altro lo promuove come componente chiave delle difese cyber.
Le banche tra realpolitik tecnologica e pressioni istituzionali
Gli istituti finanziari appaiono poco turbati dalla contraddizione. Quando il segretario al Tesoro e il presidente della Fed invitano a testare una determinata tecnologia, la reazione standard è seguire la raccomandazione, a prescindere dalle posizioni del Pentagono.
Nel complesso, l’adozione pilota di Mythos da parte di banche globali e big tech consolida il ruolo di Anthropic nell’infrastruttura digitale critica degli Stati Uniti. Tuttavia, il caso solleva interrogativi più ampi su come Washington intenda bilanciare, nei prossimi anni, innovazione, sicurezza nazionale e libertà delle aziende di imporre limiti etici all’uso dei propri modelli.
