Il Progetto Glasswing di Anthropic ha identificato più di 10.000 vulnerabilità software utilizzando il suo sistema AI Claude, ha rivelato l'azienda. Questo risultato sottolinea un divario crescente: l'IA è in grado di individuare difetti molto più velocemente di quanto le squadre umane possano risolverli.
Cosa ha scoperto il Progetto Glasswing
All'interno del progetto, Claude ha analizzato i codebase e segnalato vulnerabilità di sicurezza a una velocità che nessuna revisione umana potrebbe eguagliare. Le oltre 10.000 vulnerabilità coprono diversi livelli di gravità, sebbene l'azienda non abbia specificato quante fossero critiche. Secondo i responsabili, ciò che conta è il volume complessivo. Il rilevamento automatizzato su questa scala è una novità e pone la questione di come fare fronte a questa situazione.
Il Divario delle Patch
I numeri rivelano un collo di bottiglia. Le scoperte guidate dall'IA superano ormai di gran lunga la capacità delle squadre di sviluppo e sicurezza di applicare patch o mitigare ciascun problema. Una singola vulnerabilità può richiedere giorni o settimane per essere risolta adeguatamente, a seconda della sua complessità e del sistema interessato. Moltiplicando per 10.000, i conti non tornano con l'attuale organico e strumenti a disposizione. Il risultato è un accumulo di problemi irrisolti che lascia le organizzazioni esposte.
Le squadre di cybersecurity faticano già a causa dell'affaticamento da allarmi e delle risorse limitate. Il Progetto Glasswing dimostra che l'IA può potenziare notevolmente la fase di rilevamento del problema, ma la fase di risoluzione rimane bloccata in flussi di lavoro manuali. Senza un progresso parallelo nel patching automatizzato o nella triage, il divario continuerà ad allargarsi. Anthropic non ha proposto una soluzione specifica, ma i risultati del progetto rendono impossibile ignorare lo squilibrio.
L'azienda prevede di pubblicare ulteriori dettagli tecnici sulle vulnerabilità scoperte nelle prossime settimane. Per ora, il settore si trova di fronte a una domanda semplice ma difficile: come applicare patch più velocemente di quanto un'IA possa individuare i difetti?
