Claude Mythos individua la CVE-2026-5194 tra oltre 10.000 vulnerabilità

Claude Mythos individua la CVE-2026-5194 tra oltre 10.000 vulnerabilità

Il Progetto Glasswing di Anthropic ha prodotto un risultato sorprendente: il suo modello di IA Claude Mythos ha identificato più di 10.000 vulnerabilità di gravità elevata o critica in importanti infrastrutture software in un solo mese. Tra queste scoperte c'era la CVE-2026-5194, una falla critica nella diffusa libreria crittografica wolfSSL che potrebbe consentire agli aggressori di falsificare certificati e impersonare servizi legittimi. Per chiunque faccia affidamento su una VPN o su un'applicazione crittografata, quella singola scoperta illustra qualcosa di importante: le vulnerabilità crittografiche delle VPN scoperte dall'IA non sono più un problema teorico. Stanno arrivando più velocemente di quanto la maggior parte dei cicli di patch possa tenere il passo.

Cosa significa la CVE-2026-5194 in wolfSSL per gli utenti di VPN e servizi crittografati

wolfSSL è una libreria TLS e SSL leggera utilizzata in sistemi embedded, dispositivi IoT e, sì, in diverse implementazioni VPN e applicazioni critiche per la sicurezza. Il suo ingombro ridotto la rende interessante per ambienti con risorse limitate, il che significa che spesso viene eseguita in luoghi dove la revisione della sicurezza è minima e i cicli di aggiornamento sono lenti.

La falla identificata come CVE-2026-5194 è particolarmente grave perché prende di mira la convalida dei certificati, il meccanismo che conferma che un server è chi dice di essere. Quando tale processo può essere sovvertito, un aggressore può eseguire un attacco man-in-the-middle: intercettare il traffico crittografato presentando un certificato falsificato che il client accetta come legittimo. Per gli utenti VPN, questo non è un piccolo inconveniente. Una catena di certificati compromessa significa che il tuo tunnel crittografato potrebbe terminare su un server controllato dall'aggressore invece che sull'endpoint previsto, con tutto ciò che invii visibile in chiaro dall'altra parte.

La gravità qui è aggravata dalla natura della distribuzione di wolfSSL. Le librerie integrate nel firmware o negli appliance di rete legacy raramente ricevono la stessa attenzione del software per utenti finali. Le patch possono essere rilasciate ma impiegano mesi o anni per raggiungere i dispositivi sul campo.

Come Claude Mythos ha trovato oltre 10.000 falle critiche in un mese

Il Progetto Glasswing rappresenta l'incursione di Anthropic nella ricerca di vulnerabilità assistita dall'IA. Il modello Claude Mythos, progettato per un ragionamento tecnico approfondito, è stato utilizzato per analizzare sistematicamente l'infrastruttura software su una scala e a una velocità che nessun team umano potrebbe eguagliare. Il risultato, più di 10.000 vulnerabilità di gravità elevata o critica in 30 giorni, non è solo un numero elevato. Segnala un cambiamento fondamentale nella rapidità con cui è possibile mappare la superficie d'attacco dell'infrastruttura internet.

La scoperta tradizionale di vulnerabilità si basa sulla revisione manuale del codice, su strumenti di fuzzing e su ricercatori di sicurezza che analizzano i codebase un componente alla volta. L'analisi assistita dall'IA può lavorare su più codebase contemporaneamente, identificare sottili errori logici che gli scanner automatici non rilevano e correlare i risultati tra le dipendenze. La scoperta di wolfSSL è un buon esempio: i bug di convalida dei certificati spesso richiedono la comprensione di complesse catene logiche attraverso più funzioni, esattamente il tipo di ragionamento in cui i modelli linguistici di grandi dimensioni con capacità di comprensione del codice possono aggiungere valore.

Le implicazioni sono duplici. Se il modello di Anthropic può trovare queste vulnerabilità, lo stesso possono fare gli strumenti di IA gestiti da attori malevoli. La corsa tra difensori e aggressori ha appena accelerato il suo ritmo. Vale la pena notare che la stessa Anthropic ha recentemente rafforzato i controlli di accesso alla sua piattaforma IA; l'azienda ha introdotto requisiti di verifica dell'identità per alcuni utenti di Claude, riflettendo la più ampia tensione tra apertura e sicurezza nell'implementazione dell'IA, come illustrato in Il lancio della verifica dell'identità con nome reale di Anthropic per gli utenti di Claude.

Perché la sicurezza delle VPN dipende da librerie crittografiche prive di vulnerabilità

Le VPN sono spesso descritte come uno strumento di privacy e sicurezza, ma la loro effettiva garanzia di sicurezza è solo tanto forte quanto le librerie crittografiche che le supportano. Un client VPN potrebbe implementare la segretezza perfetta forward, utilizzare la crittografia AES-256 e adottare una politica di zero log, ma se la libreria TLS che gestisce la verifica dei certificati contiene una falla falsificabile, tutto questo viene compromesso nella fase di handshake.

Questo è il problema delle dipendenze nella sicurezza del software. Nessuna applicazione è un'isola. Ogni client VPN, ogni app di messaggistica crittografata, ogni server abilitato HTTPS si basa su librerie di terze parti per le operazioni crittografiche. wolfSSL, OpenSSL, BoringSSL, mbedTLS: ognuna di queste ha avuto vulnerabilità significative nella sua storia. Heartbleed, che ha colpito OpenSSL nel 2014, è ancora l'esempio più famoso, ma non è stato un incidente isolato.

I risultati del Progetto Glasswing suggeriscono che il volume di vulnerabilità non scoperte presenti all'interno di queste librerie fondamentali potrebbe essere molto più grande di quanto la comunità della sicurezza abbia precedentemente ipotizzato. Diecimila falle critiche in un mese di revisione assistita dall'IA indicano un arretrato di problemi che i processi di revisione manuale non hanno intercettato.

Cosa dovrebbero fare gli utenti e i fornitori di VPN mentre le patch vengono distribuite

Per gli utenti individuali, il passo più concreto è scegliere un fornitore VPN che si impegni pubblicamente a condurre regolari audit di sicurezza di terze parti e sia trasparente riguardo alle librerie crittografiche utilizzate dal proprio software e alla rapidità con cui applicano le patch. I fornitori che pubblicano i risultati degli audit, mantengono una chiara politica di divulgazione delle vulnerabilità e comunicano sugli aggiornamenti delle librerie sono materialmente in una posizione migliore rispetto a quelli che non lo fanno.

Per i fornitori di VPN e i team di sicurezza aziendali, le priorità immediate sono semplici: verificare la distinta base software per identificare eventuali dipendenze da wolfSSL, monitorare la divulgazione della CVE-2026-5194 per la disponibilità delle patch e dare priorità alla distribuzione su tutti i componenti esposti a Internet o che gestiscono certificati. Se il vostro prodotto utilizza wolfSSL in firmware o componenti embedded, quella tempistica di aggiornamento deve essere accelerata.

Più in generale, i risultati di Claude Mythos sono un segnale che la scoperta di vulnerabilità assistita dall'IA diventerà una parte standard del toolkit di ricerca sulla sicurezza. I fornitori che non stanno già utilizzando l'analisi automatizzata per rivedere i propri codebase e le dipendenze rimarranno indietro rispetto ai difensori che utilizzano questi strumenti e, criticamente, rispetto agli aggressori che non stanno aspettando.

Cosa significa questo per te

La scoperta della CVE-2026-5194 è un promemoria concreto che gli strumenti per la privacy sono costruiti su strati di software, e lo strato più debole determina la tua sicurezza effettiva. Una vulnerabilità di falsificazione dei certificati in una libreria crittografica non è una minaccia astratta: è il tipo di falla che consente la sorveglianza e il furto di credenziali ai danni di utenti che credono di essere protetti.

Il punto pratico è questo: chiedete al vostro fornitore VPN quali librerie utilizza, quando ha completato l'ultimo audit di sicurezza di terze parti e come gestisce gli aggiornamenti critici delle librerie. La trasparenza su queste domande è uno dei segnali più affidabili dell'effettivo livello di sicurezza di un fornitore. Poiché gli strumenti di IA accelerano sia la scoperta che lo sfruttamento delle vulnerabilità, quella trasparenza conta più che mai.