Dalla campagna malware che sfrutta i brand AI più noti all'attacco supply chain su LiteLLM, fino ai rischi dell'AI cognitiva: il quadro presentato a Roma da Kaspersky.
Autore: Redazione SecurityOpenLab
L’evento romano Kaspersky Horizons ha avuto come filo conduttore l'Intelligenza Artificiale, usata sia come strumento di difesa che di attacco, come canale attraverso cui si infiltra il malware e come ampliamento della superficie che espone vulnerabilità spesso inesplorate. I dati presentati dal Global Research and Analysis Team (GReAT) di Kaspersky durante l'evento hanno delineato un quadro in cui la fiducia che utenti e aziende ripongono nei grandi brand dell'AI viene sistematicamente sfruttata, le supply chain degli ecosistemi AI sono sotto pressione crescente e le implicazioni a lungo termine dell'AI cognitiva iniziano a porre domande che il settore non è ancora attrezzato a rispondere.
Tra gennaio e inizio maggio 2026, le soluzioni Kaspersky hanno rilevato a livello globale oltre 92.000 attacchi malware distribuiti, mascherati da strumenti e agenti AI noti, tra cui versioni contraffatte di ChatGPT, Claude, Gemini e OpenClaw: le applicazioni che simulano ChatGPT rappresentano il 49% degli attacchi rilevati, mentre le false versioni di Claude e Gemini incidono per il 18% ciascuna.
Il meccanismo è stato dettagliatamente documentato a marzo 2026, quando Kaspersky ha identificato una campagna attiva contro sviluppatori alla ricerca di istruzioni per installare Claude Code, lo strumento di sviluppo basato su AI prodotto da Anthropic. Chi cercava Claude Code download sui motori di ricerca trovava in cima ai risultati inserzioni pubblicitarie che conducevano a pagine visivamente identiche alla documentazione ufficiale di Anthropic. Erano ospitate su Squarespace e installavano un infostealer differente a seconda del sistema operativo. In particolare, su Windows veniva distribuito Amatera, un Malware-as-a-Service che raccoglie dati dai browser, dalle directory dell'utente e dai wallet di criptovalute e li invia a un server remoto; su macOS veniva invece distribuito AMOS, un infostealer già documentato in numerose campagne contro dispositivi Apple.
Campagne analoghe hanno preso di mira altri strumenti popolari, tra cui OpenClaw e Doubao. In tutti i casi lo schema era lo stesso: registrazione di domini convincenti, pagine di documentazione replica e istruzioni da riga di comando apparentemente legittime che, una volta eseguite, installano malware invece dello strumento desiderato. Il rischio non riguarda solo i singoli utenti: gli sviluppatori professionali lavorano con chiavi API aziendali, codice sorgente proprietario e credenziali di accesso a infrastrutture cloud; un'infezione su un loro dispositivo può esporre interi ambienti di produzione.
A maggio 2026, GReAT ha inoltre scoperto una campagna condotta dal gruppo APT Silver Fox, che ha distribuito false applicazioni Claude AI per Windows, macOS e Linux. Una volta avviati, i programmi di installazione diffondevano malware che garantiva accesso persistente ai sistemi compromessi.
Accanto al malvertising, i ricercatori Kaspersky hanno presentato un secondo fronte di rischio, più insidioso perché colpisce la supply chain del software. Il caso più significativo è quello di LiteLLM, una libreria Python usata come gateway universale per accedere a oltre cento modelli di linguaggio di grandi dimensioni (API di OpenAI, Anthropic, Google, AWS e altri) che registrava circa 97 milioni di download mensili a livello globale. Il 24 marzo 2026, il gruppo TeamPCP ha pubblicato su PyPI (il principale registro dei pacchetti Python) due versioni malevole della libreria. Il vettore di accesso era nel sistema di sicurezza usato per proteggerla: gli attaccanti avevano compromesso in precedenza Trivy, lo scanner open source che LiteLLM usava nella propria pipeline di sviluppo e distribuzione, sottraendo il token di pubblicazione su PyPI. Grazie a quel token, hanno potuto pubblicare le versioni malevole bypassando l'intero processo di rilascio ufficiale.
Il codice iniettato sottraeva credenziali di database, chiavi SSH, credenziali cloud per AWS, GCP e Azure, configurazioni Kubernetes, chiavi API e wallet di criptovalute, inviando tutto a un server controllato dagli attaccanti. La versione 1.82.8 conteneva inoltre un file che si avviava automaticamente a ogni avvio di qualsiasi processo Python nell'ambiente infettato; un errore nel codice malevolo ha paradossalmente accelerato la scoperta dell'attacco, che altrimenti avrebbe potuto agire silente per settimane.
Un terzo filone della conferenza di Kaspersky ha riguardato un esperimento condotto dal GReAT che pone interrogativi scomodi sull'affidabilità dei sistemi di verifica dell'identità digitale nell'era dell'AI generativa. I ricercatori hanno preso fotografie di volti reali, le hanno modificate con strumenti di AI generativa per simulare scenari di invecchiamento o ringiovanimento e hanno poi verificato se i moderni sistemi di riconoscimento facciale open source fossero in grado di associare le immagini modificate alle identità originali. In tutti e dieci i test condotti, il sistema ha identificato correttamente le persone nonostante le trasformazioni.
Il risultato ha una doppia lettura. Da un lato dimostra che i sistemi di riconoscimento facciale avanzati non si basano sulle caratteristiche visive superficiali che l'occhio umano percepisce, ma su marcatori biometrici geometrici e strutturali profondi (proporzioni cranio-facciali, distanze tra i punti caratteristici del volto) che rimangono stabili anche dopo trasformazioni sintetiche radicali. Dall'altro, apre scenari preoccupanti: se l'AI generativa può produrre immagini che sembrano rappresentare persone diverse ma che i sistemi biometrici riconoscono come la stessa persona, questo crea nuove opportunità per frodi identitarie sofisticate, creazione di identità sintetiche e potenziale elusione dei processi di verifica umana.
La sessione più densa di implicazioni a lungo termine ha riguardato l'impatto dell'AI cognitiva sulla privacy mentale e sull'autonomia delle persone. Il punto di partenza è una distinzione importante: i sistemi AI attuali non sono in grado di leggere i pensieri, ma sono già in grado di influenzare i comportamenti e orientare le decisioni attraverso sistemi di raccomandazione, personalizzazione e controllo dell'informazione su larga scala. GReAT ha identificato quattro rischi emergenti destinati a diventare più rilevanti con il progredire dell'AI cognitiva.
Il primo riguarda il social engineering: i modelli linguistici di grandi dimensioni stanno già rendendo il phishing molto più convincente, con messaggi personalizzati, sensibili al contesto e costruiti su profili psicologici degli obiettivi. I dati del servizio MDR di Kaspersky indicano che il phishing rappresenta circa il 15% delle tecniche di attacco più diffuse e costituisce un vettore di accesso iniziale privilegiato per campagne APT e crimeware sofisticato.
Il secondo rischio riguarda la manipolazione cognitiva su scala: l'AI consente di influenzare l'opinione pubblica sfruttando i bias cognitivi e i fattori emotivi dell'intera popolazione, non solo dei singoli. Le piattaforme social dimostrano già come i sistemi algoritmici possano amplificare la polarizzazione; con l'evoluzione delle capacità di micro-targeting comportamentale, il confine tra prevedere i comportamenti e plasmarli attivamente diventa progressivamente più sfumato.
Il terzo rischio è la profilazione predittiva: aggregando dati da fonti diverse, l'AI può costruire profili identitari dettagliati degli individui, amplificando le possibilità di doxxing, molestie mirate e attacchi personalizzati sulle vulnerabilità specifiche di ciascun obiettivo. Il rischio non è solo la perdita di privacy, ma la perdita di controllo sulla propria identità e sul modo in cui viene costruita e usata contro di sé.
Il quarto scenario riguarda le interfacce cervello-computer (BCI): ancora prevalentemente sperimentali, stanno già dimostrando la capacità di interpretare segnali neurali per consentire la comunicazione a pazienti con disabilità motorie. Quando queste interfacce si integreranno con l'IoT e con dispositivi connessi, la superficie di attacco si estenderà oltre l'infrastruttura digitale fino a interessare i sistemi fisici e l'azione umana stessa.