// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
Un'AI cinese sfida Mythos sulla sicurezza
GLM-5.2, il nuovo modello di Zhipu AI (Z.ai), ha registrato risultati comparabili a Mythos di Anthropic nei principali benchmark di sicurezza informatica. Nei test condotti da Semgrep e Graphistry, il modello cinese ha ottenuto un 39% di F1 nell'individuazione di vulnerabilità IDOR, superiore alle versioni precedenti di Claude Code, che si fermavano tra il 28% e il 37% a seconda della versione. Il risultato è tecnicamente significativo. Il clamore che ci si costruisce sopra, molto meno.
GLM-5.2 è un modello a pesi aperti, liberamente scaricabile da chiunque nel mondo, con capacità di rilevamento di vulnerabilità che fino a pochi mesi fa si attribuivano solo a sistemi frontier accessibili a un numero ristretto di organizzazioni. La democratizzazione di questo tipo di capacità ha implicazioni reali, sia per i team di sicurezza offensiva che per chi deve difendersi da attori che usano strumenti AI.
Da quando Anthropic ha presentato Mythos nella primavera del 2026, attorno al modello si è costruita una narrazione di eccezionalità che andava ben oltre i dati. Il modello ha segnato 93,9% su SWE-Bench verified — il punteggio più alto mai registrato su quel benchmark al momento del rilascio — e ha dimostrato capacità autonome di identificare vulnerabilità software con guida umana minima. Risultati reali, non inventati.
Ma la macchina del marketing, e l'ecosistema di commentatori che amplifica ogni comunicato stampa frontier come se fosse un evento geologico, ha trasformato questi risultati in qualcosa di diverso. Mythos veniva descritto come una soglia, una discontinuità, quasi un confine tra il prima e il dopo. Il fatto che il modello non fosse distribuito pubblicamente (Anthropic lo ha tenuto sotto accesso controllato, ufficialmente per ragioni di sicurezza) ha alimentato ulteriormente la narrativa: il modello troppo pericoloso per il mondo, l'AI che i governi dovevano imparare a controllare prima che fosse tardi.
Era una storia utile. Era anche esagerata. Mythos è un modello frontier con capacità eccezionali su specifici benchmark di sicurezza. Non è una svolta civilizzatoria, non è un'arma autonoma, non è qualcosa di categoricamente diverso da quello che veniva prima. È il prodotto atteso di anni di scaling e affinamento. La sua capacità di trovare vulnerabilità IDOR è reale e rilevante, ma si esprime in contesti controllati, con pipeline strutturate, non come sistema autonomo che "sfonda" difese enterprise da solo.
Ora arriva GLM-5.2 e ottiene risultati simili su quegli stessi benchmark. La reazione in alcuni settori è stata prevedibile: le export control americane hanno fallito, la Cina ha "sorpassato" gli USA, siamo a un punto di svolta. Di nuovo: la stessa narrativa, ribaltata di segno.
GLM-5.2 è un modello MoE (Mixture-of-Experts) con circa 750 miliardi di parametri totali e circa 40 miliardi attivi per token. Il rapporto prestazioni/costo è notevole: Semgrep stima circa 0,17 dollari per vulnerabilità individuata. È un'applicazione efficiente di tecniche già note, ottimizzata su un dominio specifico, niente di più.
La comparazione con Mythos sui benchmark di cybersecurity dice due cose distinte. La prima è che i laboratori cinesi (Zhipu AI, Baidu, ByteDance e altri) hanno raggiunto la capacità tecnica di competere sui benchmark frontier in domini specifici. Non è una sorpresa per chi segue il settore: lo stesso era già avvenuto con DeepSeek e l'open source cinese, che aveva già dimostrato come la competenza tecnica non fosse monopolio americano. Il gap di eccellenza si è ridotto, e l'accesso aperto ai pesi accelera ulteriormente la diffusione di queste capacità.
La seconda cosa che dice è che Mythos non era l'oggetto singolare che la narrazione aveva costruito. Se un modello rilasciato un giorno dopo il blocco delle export control americane eguaglia le sue prestazioni su benchmark di sicurezza specifici, allora la distanza tecnica reale era molto più piccola di quella suggerita dai comunicati stampa e dai titoli catas