Blog Perché rimandare gli aggiornamenti software mette a rischio la tua azienda | Insight

Un collega ha condiviso questo messaggio in una chat di gruppo l'altro giorno, riscuotendo un coro di consensi:

"Ho l'impressione che il mio lavoro a tempo pieno sia installare aggiornamenti."

Fastidioso? Sì. Distruttivo per l'effettivo svolgimento del lavoro? Senza dubbio. Necessario? Al 100%. Non negoziabile. E in questo momento, più urgente che mai.

Ecco perché.

Cos'è Project Glasswing?

Il motivo per cui le notifiche di aggiornamento sono così incessanti in questo periodo non è casuale. Non si tratta di fornitori che stanno finalmente smaltendo gli arretrati di manutenzione. È il risultato directo di qualcosa chiamato Project Glasswing.

Il 7 aprile 2026, Anthropic ha annunciato di aver distribuito silenziosamente il suo modello di IA più potente, Claude Mythos Preview, non al pubblico, ma a una coalizione controllata di aziende che gestiscono le infrastrutture software più critiche del mondo: Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Palo Alto Networks e circa altre 40. La missione era interamente difensiva: usare Mythos to trovare le vulnerabilità prima che potessero farlo i malintenzionati.

Ciò che ha scoperto è sbalorditivo.

Nel giro di poche settimane, Mythos ha identificato migliaia di vulnerabilità critiche e precedentemente sconosciute in ogni principale sistema operativo e in ogni browser principale, inclusi difetti nascosti sotto gli occhi di tutti per anni, a volte per decenni. Un bug di 27 anni fa in OpenBSD, ormai corretto e a lungo considerato uno dei sistemi operativi più protetti dal punto di vista della sicurezza, permetteva a un aggressore remoto di mandare in crash qualsiasi macchina su cui fosse in esecuzione semplicemente connettendosi ad essa. Una vulnerabilità di 16 anni fa in FFmpeg, la libreria di codifica video alla base di quasi tutte le principali piattaforme video, è sopravvissuta a anni di intensa ricerca sulla sicurezza senza mai essere individuata (anch'essa corretta). Il red team di Anthropic lo ha documentato direttamente: questi bug non erano sviste sottili in codici marginali. Erano in software che utilizzate ogni singolo giorno.

I fornitori stanno ora ricevendo le segnalazioni secondo un programma strettamente controllato e stanno correndo per rilasciare le patch. Quell'ondata di notifiche di aggiornamento? È esattamente questo. È la risposta a tutto ciò.

Perché rimandare le patch aumenta i rischi in questo momento

C'è sempre stato un divario temporale tra il momento in cui una vulnerabilità viene scoperta e quello in cui un aggressore può trasformarla in un'arma. Quella finestra temporale si sta riducendo rapidamente.

Mythos stesso ha dimostrato quanto velocemente possa muoversi lo sviluppo di un exploit quando è l'IA a fare il lavoro. Lo stesso modello che ha trovato autonomamente un bug di 27 anni fa in OpenBSD ha anche scritto 181 exploit funzionanti per Firefox in un unico test, rispetto ai soli 2 della precedente generazione di modelli IA. Chi si occupa di difesa ed è abituato a misurare i tempi di risposta in giorni o settimane si trova ora a operare in un contesto completamente diverso. Una volta che una patch diventa pubblica, il tempo scorre, e chi si trova dall'altra parte non aspetterà di certo la prossima finestra di manutenzione del vostro team IT.

Può sembrare allarmista. Ma la risposta corretta in questo caso non è il panico.

"Non credo che Mythos sia un momento di panico, quanto piuttosto un campanello d'allarme", afferma Will Pocknell, Sr. Mgr IT, Security & Compliance presso Insight. "I team IT, gli sviluppatori e i team di sicurezza vedono da tempo la necessità di aumentare la velocità di distribuzione di patch, aggiornamenti e correzioni, ma ora ci troviamo in un mondo in cui questo è un 'imperativo assoluto' piuttosto che un'aspirazione."

La gestione delle patch è rimasta a lungo nella colonna dei desideri. Cicli di distribuzione più rapidi, finestre più strette tra il rilascio e l'installazione, non consentire agli utenti finali di rimandare gli aggiornamenti critici: questi erano gli obiettivi della roadmap, non scadenze tassative sul calendario.

Questo discorso è ormai superato.

Come colmare il divario nella distribuzione delle patch

La questione più difficile è come rendere operativa questa urgenza su larga scala, soprattutto quando il tasto "più tardi" fa ormai parte della memoria muscolare di chiunque abbia mai cliccato su quella piccola X in una notifica di aggiornamento.

Alcune cose utili da fare subito:

Sapere cosa si sta patchando. La vostra massima esposizione risiede nelle infrastrutture critiche e nei software di base: browser, endpoint, sistemi operativi e qualsiasi cosa sia esposta a Internet. Se non avete un quadro chiaro e aggiornato di ciò che state eseguendo e di quali sistemi stanno ricevendo segnalazioni attive di vulnerabilità, questo è il primo divario da colmare.

Accorciare il ciclo di vita della distribuzione. Il tempo che intercorre tra "patch disponibile" e "patch distribuita" rappresenta la vostra finestra di esposizione. La vecchia cadenza settimanale o mensile non si adatta più all'attuale panorama delle minacce. Questa è la metrica che conta, e quella che è cambiata più radicalmente con l'avvento dello sviluppo di exploit assistito dall'IA.

Smettere di consentire i rinvii per le patch critiche. L'opzione "ricordamelo domani" deve essere eliminata per gli aggiornamenti ad alta gravità. Definire le aspettative con gli utenti finali è importante tanto quanto la distribuzione tecnica: le persone fanno meno resistenza quando capiscono il motivo per cui la politica è cambiata.

Valutare chiaramente cosa gestire internamente e cosa esternalizzare. Se il dibattito sui servizi gestiti per gli endpoint si sta facendo più intenso in questo momento, c'è un motivo. Tenere il passo con un'ondata di patch coordinata e multi-vendor in un'intera organizzazione, con tempi di sfruttamento delle vulnerabilità così ridotti, non è un compito secondario. È una priorità assoluta.

Il mio collega non aveva torto. Gli aggiornamenti sono incessanti in questo periodo e probabilmente continueranno a esserlo per un po'. Ci troviamo nel bel mezzo di una risposta di patching diversa da qualsiasi cosa il settore abbia mai visto a questa scala o a questa velocità.

Ciò che Mythos ha rivelato non è solo un elenco di bug. È qualcosa di più inquietante: le vulnerabilità ci sono sempre state. Nascoste in software di cui ci fidiamo da anni, invisibili a strumenti che le hanno esaminate milioni di volte. La differenza, ora, è che ne siamo a conoscenza e abbiamo la possibilità di risolverle.