Microsoft sta preparando un prodotto di sicurezza informatica basato sull’intelligenza artificiale che si chiama Project Perception, e la notizia, anticipata da The Information e ripresa il 17 luglio da diverse testate di settore, ha un dettaglio che vale più dell’annuncio in sé: lo strumento non si appoggerà a un solo modello, ma smisterà ogni singola richiesta verso il modello più adatto, pescando dal catalogo di Anthropic, da quello di OpenAI e da quello interno di Microsoft.
L’obiettivo dichiarato è abbassare il prezzo. Il concorrente diretto è Mythos, il modello di Anthropic pensato per la ricerca di vulnerabilità, che secondo le stime riportate ha un costo di utilizzo via API circa il 100 per cento superiore a quello di Opus e l’82 per cento superiore a quello di GPT, cioè due tra i modelli commerciali già considerati costosi. Se sei responsabile della sicurezza in un’azienda di medie dimensioni, questa è la differenza tra uno strumento che puoi permetterti e uno che resta sulla lavagna dei desideri.
Microsoft non ha ancora confermato pubblicamente disponibilità, prezzi, carichi di lavoro supportati o requisiti per i clienti, quindi conviene trattare Project Perception come un prodotto in arrivo e non come qualcosa che puoi provare oggi. Quello che invece è già pubblico, documentato e verificabile è la tecnologia che ci sta sotto, e questa merita attenzione molto più del nome in codice.
Perché il routing tra modelli diversi cambia l’economia della sicurezza
L’idea alla base di Project Perception è semplice da spiegare e complicata da realizzare. In un’analisi di sicurezza automatizzata non tutte le operazioni hanno lo stesso peso: leggere migliaia di file per costruire una mappa del codice è un lavoro ripetitivo, mentre capire se un puntatore usato in una funzione del kernel possa già essere stato liberato da un altro thread richiede un ragionamento profondo. Usare il modello più potente e più costoso per entrambe le cose significa pagare tariffe da ragionamento avanzato anche quando serve solo forza bruta.
Il routing tra modelli risolve proprio questo. Ogni compito viene assegnato al modello che offre il miglior rapporto tra capacità e costo, e la spesa complessiva scende senza che la qualità del risultato finale crolli. È la stessa logica che molte aziende tecnologiche stanno adottando in generale, spesso affiancando ai modelli di frontiera occidentali alternative open source più economiche per le operazioni quotidiane. Applicata alla sicurezza, dove le scansioni sono continue e il volume di codice da analizzare è enorme, la differenza di costo si accumula in fretta.
Il vantaggio competitivo non è il modello, è il sistema che gli sta intorno
C’è una conseguenza strategica che vale la pena mettere a fuoco. Se il tuo prodotto vive o muore in base a quale modello ci hai messo dentro, ogni sei mesi devi ricostruirlo, perché la classifica dei modelli migliori cambia con quella frequenza. Se invece il valore sta nell’architettura che coordina i modelli, allora ogni nuovo modello che esce diventa un miglioramento gratuito: cambi una configurazione, rifai un test comparativo e vai avanti.
Microsoft ha scritto questa tesi nero su bianco mesi fa, e non in un comunicato di marketing ma in un post tecnico del Microsoft Security Blog firmato da Taesoo Kim, vicepresidente per la sicurezza agentica dell’azienda. La frase che riassume tutto è netta: il sistema è il prodotto, il modello è solo uno degli ingredienti.
MDASH, la macchina che Microsoft ha già messo alla prova su Windows
Prima di Project Perception c’è MDASH, nome in codice del sistema agentico multi-modello sviluppato dal team Autonomous Code Security di Microsoft. Non è un prototipo teorico: è stato usato dai team di ingegneria interni e messo a disposizione di un gruppo ristretto di clienti in anteprima privata. La struttura, descritta nel dettaglio dall’azienda, è una catena di montaggio in cinque fasi.
Nella fase di preparazione il sistema indicizza il codice sorgente e ricostruisce la superficie di attacco analizzando la cronologia delle modifiche. Nella fase di scansione, agenti specializzati in ruolo di revisori passano al setaccio i percorsi di codice sospetti e producono ipotesi. Nella fase di validazione entra in gioco l’idea più interessante: una seconda squadra di agenti fa da avvocato del diavolo e discute a favore e contro la raggiungibilità e la sfruttabilità di ogni segnalazione. Segue una fase di deduplicazione che accorpa le segnalazioni equivalenti, e infine una fase di prova in cui il sistema costruisce ed esegue davvero gli input che innescano il bug.
Gli agenti coinvolti sono oltre cento, ciascuno con il proprio ruolo, i propri strumenti e i propri criteri di arresto. E il disaccordo tra modelli diversi non viene considerato un problema da nascondere ma un segnale da leggere: quando un revisore segnala qualcosa e il contraddittore non riesce a smontarlo, la credibilità di quella segnalazione sale.
I numeri che rendono la vicenda credibile
Qui la storia smette di essere una promessa commerciale e diventa misurabile. Microsoft ha provato il sistema su StorageDrive, un driver di esempio usato nei colloqui di assunzione per ricercatori di sicurezza offensiva, che contiene ventuno vulnerabilità inserite di proposito. Trattandosi di codice mai pubblicato, nessun modello può averlo visto durante l’addestramento. Il sistema le ha trovate tutte e ventuno, senza falsi positivi in quella esecuzione.
Sul codice reale i risultati sono altrettanto concreti. Nel Patch Tuesday del 12 maggio 2026 sono confluite sedici vulnerabilità individuate con MDASH nello stack di rete e autenticazione di Windows, quattro delle quali classificate come critiche e riconducibili a esecuzione di codice da remoto. Dieci riguardano codice in modalità kernel, sei componenti in spazio utente, e la maggior parte è raggiungibile da un attaccante di rete senza credenziali.
Ci sono poi due prove retrospettive, cioè test in cui il sistema viene rimesso davanti a codice non ancora corretto per vedere se avrebbe scoperto bug che poi sono stati trovati e sistemati davvero. Su clfs.sys il tasso di recupero è del 96 per cento su ventotto casi confermati dal Microsoft Security Response Center nell’arco di cinque anni. Su tcpip.sys arriva al 100 per cento su sette casi. Sul benchmark pubblico CyberGym, che raccoglie 1.507 attività di riproduzione di vulnerabilità reali tratte da 188 progetti open source, il sistema raggiunge l’88,45 per cento, il punteggio più alto della classifica pubblicata al momento della misurazione e circa cinque punti sopra il secondo classificato, fermo all’83,1 per cento.
Vale la pena notare l’onestà con cui Microsoft accompagna questi dati. L’azienda specifica che i benchmark retrospettivi dicono che il sistema sarebbe stato utile se fosse esistito allora, non che i prossimi bug verranno trovati alla stessa velocità. E nell’analisi del 12 per cento di fallimenti su CyberGym ammette che l’82 per cento degli errori di localizzazione arrivava da descrizioni vaghe delle attività, un limite del contesto fornito più che della capacità di ragionamento.
Lo scontro con Anthropic passa anche dalla geopolitica
La partita tra Project Perception e Mythos non si gioca solo sul prezzo. Il modello di Anthropic si è trovato in mezzo a una vicenda regolatoria complicata: Fable 5, addestrato con un approccio simile a Mythos ma con protezioni aggiuntive, è stato bloccato all’esportazione fuori dagli Stati Uniti, e Anthropic ha dovuto sospenderne l’accesso mentre verificava con il governo americano che l’uso fosse sicuro. Se vuoi il quadro completo di quella famiglia di modelli, ne abbiamo parlato quando Anthropic ha presentato Claude Fable 5 e Mythos 5.
Microsoft parte da una posizione diversa. Difficilmente incontrerà le stesse resistenze nel portare un prodotto di sicurezza sui mercati internazionali, anche se potrebbe dover passare per un processo di verifica simile a quello affrontato da OpenAI con GPT-5.6. In Europa, dove istituzioni finanziarie e amministrazioni pubbliche hanno dovuto negoziare per ottenere accesso a Mythos, un’alternativa disponibile senza attriti diplomatici ha un valore che va oltre la scheda tecnica.
A questo si aggiunge il posizionamento commerciale più ampio. Microsoft ha spostato il baricentro della propria offerta AI verso il cliente aziendale, una direzione che avevamo raccontato analizzando l’investimento da 2,5 miliardi nella divisione dedicata alle imprese. Mustafa Suleyman, che guida le attività AI dell’azienda, ha dichiarato di voler arrivare a modelli di frontiera propri senza dipendere dalla distillazione da modelli altrui, mentre Satya Nadella ha accusato apertamente i concorrenti di usare i dati dei clienti per migliorare i propri modelli. La leva su cui Microsoft insiste è quindi doppia: costiamo meno e siamo più affidabili sulla governance dei dati.
Un settore che si sta affollando in fretta
Project Perception non arriva in un campo vuoto. OpenAI si muove sullo stesso terreno con Daybreak, il sistema che non si limita a segnalare le falle ma propone le correzioni, e ne abbiamo scritto quando OpenAI ha presentato Daybreak. Anthropic presidia la fascia alta con Mythos. Google lavora da tempo su strumenti analoghi. Nel giro di pochi mesi la scoperta automatica di vulnerabilità è passata da esercizio accademico a categoria di prodotto con almeno tre concorrenti seri.
Il motivo di questa corsa è meno rassicurante di quanto sembri. Gli stessi modelli che permettono a un difensore di analizzare milioni di righe di codice sono a disposizione di chi attacca, che li usa per trovare le stesse falle con lo stesso metodo. La conseguenza pratica è che il tempo che passa tra la scoperta di una vulnerabilità e il suo sfruttamento si accorcia, e la difesa manuale, per quanto competente, non regge il confronto con la scala. Se vuoi capire come si sta ridisegnando l’intero settore, la nostra guida su AI e cybersecurity nel 2026 ricostruisce il quadro completo.
Cosa dovresti guardare davvero quando valuti uno strumento di questo tipo
Se lavori in un’azienda che dovrà scegliere tra Project Perception, Mythos, Daybreak o qualsiasi altro strumento che uscirà nei prossimi mesi, c’è una domanda che vale più delle altre, ed è la stessa che Microsoft suggerisce nel proprio post tecnico: non chiederti quale modello usa lo strumento, chiediti cosa ci fa con quel modello e cosa resta in piedi quando arriverà il modello successivo.
In concreto, questo significa verificare tre cose. La prima è se lo strumento si limita a segnalare candidati o se arriva a dimostrare che il bug è reale costruendo l’input che lo innesca, perché uno scanner che produce solo segnalazioni ti consegna un arretrato di verifiche invece di un problema risolto. La seconda è se puoi estenderlo con la conoscenza specifica del tuo codice, dato che nessun modello generico conosce le convenzioni interne dei tuoi sistemi. La terza è se l’investimento che fai in configurazioni e regole sopravvive al cambio di modello, oppure se dovrai rifare tutto da capo alla prossima generazione.
Il dato più significativo dell’intera vicenda, in fondo, è che l’88,45 per cento su CyberGym è stato ottenuto usando modelli disponibili a tutti. Non c’era un modello segreto, c’era un’architettura costruita bene. E questo è incoraggiante, perché significa che il vantaggio non è riservato a chi possiede il modello più potente del momento.
Conclusioni
Project Perception è ancora un prodotto annunciato per vie indirette, senza conferme ufficiali su prezzi e disponibilità, e finché Microsoft non parlerà apertamente conviene mantenere prudenza sui dettagli commerciali. La direzione, però, è chiara e poggia su fondamenta già verificabili: la scoperta automatica di vulnerabilità funziona, produce correzioni che finiscono negli aggiornamenti reali di Windows, e il fattore decisivo si è spostato dal singolo modello all’orchestrazione di modelli diversi.
Per te che segui questo settore, il momento è buono per iniziare a farti le domande giuste prima che i commerciali vengano a bussare. Guarda i benchmark, ma guarda soprattutto come sono stati costruiti, chiedi quante segnalazioni arrivano con una prova di sfruttabilità allegata e quante restano ipotesi da verificare a mano. Continua a seguirci per gli aggiornamenti: quando Microsoft ufficializzerà Project Perception con numeri, prezzi e condizioni di accesso, troverai qui l’analisi di cosa cambia concretamente per chi deve proteggere sistemi reali.
Fonte primaria: Microsoft Security Blog.
Intelligenza Artificiale Tutto su AI e machine learning