>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

L'AI da assistente a operatore: cosa cambia negli attacchi

L’AI negli attacchi ha fatto un salto di qualità, passando in almeno un caso dal supporto agli attaccanti al ruolo di operatore autonomo delle intrusioni.

L'AI da assistente a operatore: cosa cambia negli attacchi
Tecnologie/Scenari

Negli ultimi dodici mesi Check Point Research ha rilevato intrusioni in cui l'AI ha gestito autonomamente fra l'80 e il 90% del lavoro tattico di una campagna di spionaggio, generando migliaia di comandi in decine di sessioni con supervisione umana minima. Nello stesso periodo un singolo sviluppatore ha prodotto, affidandosi a un tool di coding commerciale, un framework di comando e controllo da 88mila righe in meno di una settimana, a un livello che i ricercatori avevano inizialmente attribuito a un team di più persone al lavoro per mesi.

Sono due dei dati che aprono l'AI Security Report 2026 di Check Point Research e che segnano un importante cambio di passo rispetto al 2025. Un anno fa l'AI veniva descritta come moltiplicatore di forza per gli attaccanti, capace di rendere tecniche già note più veloci e più economiche. Oggi è entrata nella catena d'attacco come esecutore, e nella maggior parte dei casi documentati è stato un errore operativo dell'attaccante, non un controllo messo in atto dalla vittima, a rivelarne il coinvolgimento.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Le violazioni dei modelli

Il punto di partenza per un attaccante resta l'accesso a un modello utilizzabile. Per farlo, la strada più diffusa è l'abuso di modelli commerciali come ChatGPT, Gemini o Claude, accessibili legittimamente o tramite credenziali rubate. La seconda strada è l'auto-hosting di modelli open source come Qwen o Kimi: è molto dibattuta nei forum del darkweb, con threat actor che segnalano prestazioni inferiori e costi hardware elevati, tanto da avere convinto la maggior parte degli operatori a tornare su strumenti commerciali, nonostante i rischi. La terza passa per l'acquisto di servizi dark LLM come WormGPT, che è cresciuta e poi calata di credibilità, complice la violazione che ha esposto i dati di pagamento di oltre 19mila clienti dello stesso WormGPT.

Ottenuto l'accesso, bisogna rimuovere le protezioni del modello, che è un passaggio per il quale sono disponibili diverse tecniche. La più classica è quella del jailbreak testuale, che aggira le regole con una sequenza di domande apparentemente innocue riuscendo in oltre il 90% dei casi contro diversi tool leader di mercato. Più rapida è la tecnica che sfrutta la capacità di agenti di coding come Claude Code di leggere automaticamente file come CLAUDE.md all'apertura di un progetto: un attaccante può inserire il jailbreak una sola volta in quel file, e ogni sessione successiva lo eredita senza bisogno di un nuovo prompt.

AI per tutte le stagioni

Sul fronte del malware, il ruolo dell'AI è passato dalla fase sperimentale a quella operativa. Nella forma più diffusa l'AI interviene solo in sviluppo, scrivendo e raffinando il codice, e il programma finale non contiene tracce del suo utilizzo. Più raramente il malware stesso interroga un modello mentre è in esecuzione sul sistema della vittima, generando comandi o riscrivendo codice sul momento, come nei casi ancora sperimentali di LameHug e PromptLock. Il gruppo Ransomware-as-a-Service FunkSec ha probabilmente usato l'AI per costruire il proprio tool di cifratura già a fine 2024. Il caso più maturo resta VoidLink, framework C2 modulare per Linux con oltre 30 plugin di post-exploitation individuato da Check Point Research a gennaio 2026. La qualità del codice aveva fatto inizialmente pensare a un team al lavoro per mesi, finché un errore operativo dello stesso sviluppatore non ha rivelato che si trattava di una sola persona, che aveva usato il tool commerciale seguendo un processo disciplinato di specifiche dettagliate affidate all'AI per implementazione e test.

Il gruppo ransomware The Gentlemen, che ha all’attivo oltre 330 vittime pubblicate fino a maggio 2026, ha mostrato lo stesso schema su scala minore nelle comunicazioni interne analizzate da Check Point Research: preferenza per modelli commerciali cinesi meno vincolati, tentativo di self-hosting rimasto teorico per mancanza di competenze, e un tool di gestione dell'operazione scritto in tre giorni con l'aiuto dell'AI, con l'amministratore del gruppo che avvertiva comunque i membri di dover capire cosa stessero facendo.

Il salto più netto riguarda il ruolo dell'AI come operatore in tempo reale delle intrusioni. Anthropic ha reso pubblica a novembre 2025 la campagna di spionaggio legata alla Cina GTG-1002, in cui Claude Code avrebbe gestito l'80-90% del lavoro tattico su circa 30 organizzazioni bersaglio, dalla ricognizione all'esfiltrazione dei dati. Nell'operazione Bissa Scanner, invece, l'AI restava un passo indietro rispetto allo sfruttamento vero e proprio, con Claude Code e l'assistente open source OpenClaw usati come ambiente di lavoro per leggere il codice dello scanner e definire le priorità di accesso su una campagna di mass-exploitation.

Un incidente separato ha mostrato un agente autonomo condurre attività di post-exploitation ed esfiltrare un intero database in meno di un'ora senza intervento umano, mentre in altre intrusioni su larga scala DeepSeek e Claude sono stati usati insieme per compromettere dispositivi FortiGate a livello globale. Lo stesso schema agente-operatore è ora disponibile anche come framework open source. Raptor, rilasciato a fine 2025 da un team di ricercatori di sicurezza legittimi per trasformare Claude Code in un agente offensivo e difensivo autonomo, genera patch tanto quanto exploit, ma il suo pattern configuration-as-control, in cui il comportamento dell'agente è definito da file markdown e non da codice compilato, è già stato notato dalle comunità criminali.

Sul fronte della ricerca di vulnerabilità, l'AI accorcia la finestra fra la scoperta di una falla e il suo sfruttamento da entrambi i lati della corsa. Il progetto interno Glasswing di Anthropic, che utilizza il modello non rilasciato pubblicamente Claude Mythos Preview, ha identificato in modo autonomo oltre 10mila vulnerabilità zero-day di severità alta o critica su tutti i principali sistemi operativi e browser nel primo mese di attività, producendo un exploit funzionante al primo tentativo in circa l'83% dei casi. Anthropic ha tenuto il modello fuori dal rilascio pubblico proprio per il rischio di abuso, mettendolo a disposizione di un numero ristretto di organizzazioni fidate insieme a 100 milioni di dollari in crediti d'uso. La stessa capacità, però, è disponibile anche agli attaccanti; Google Threat Intelligence Group ha segnalato il primo zero-day assistito dall'AI costruito per lo sfruttamento di massa. L'effetto pratico è una compressione dei tempi di risposta che ha spinto la statunitense CISA a imporre alle agenzie civili federali la remediation delle vulnerabilità più critiche entro tre giorni dalla divulgazione, mentre l'autorità indiana CERT-In è arrivata a chiedere il contenimento dei sistemi più critici entro 12 ore dalla scoperta.

La stessa capacità che rende l'AI utile agli attaccanti la rende bersaglio. Un modello linguistico legge istruzioni e dati come un unico blocco di testo continuo, senza un confine netto fra i due; è questa la debolezza dietro il prompt injection, sia nella forma diretta in cui l'attaccante digita istruzioni pensate per aggirare le regole del modello, sia in quella indiretta in cui l'istruzione malevola è nascosta in un contenuto esterno che l'AI legge, come una pagina web o un invito di calendario.

Un'analisi su 1,2 miliardi di URL ha individuato circa 15.300 payload di indirect injection piantati su pagine pubbliche, il 70% dei quali nascosto in porzioni di HTML che un visitatore umano non vede mai, come header e metadati. La telemetria di Check Point AI Security mostra le rilevazioni di payload lunghi crescere di circa cinque volte fra marzo e maggio 2026, fino a coprire quasi l'1% di tutto ciò che viene osservato: è un andamento coerente con un prompt injection che sta diventando una minaccia operativa concreta.

I browser AI-powered, categoria di prodotto che agisce dentro le sessioni già autenticate dell'utente, sono risultati i più esposti. In un test controllato un singolo invito di calendario malevolo ha indotto il browser Comet di Perplexity a consegnare le password salvate, mentre in un altro test lo stesso tipo di browser ha completato un intero flusso di phishing in meno di quattro minuti senza intervento umano.

Un secondo fronte di rischio riguarda i file di configurazione che gli agenti di coding aprono automaticamente fidandosene. Check Point Research ha individuato due vulnerabilità in Claude Code (CVE-2025-59536 e CVE-2026-21852), che permettevano rispettivamente l'esecuzione di comandi nascosti in .claude/settings.json prima ancora che lo sviluppatore vedesse il file, e il dirottamento silenzioso di una sessione verso un server controllato dall'attaccante con cattura di token e chiavi d'accesso.

In entrambi i casi il vettore d'ingresso era la supply chain software, un file di impostazioni avvelenato in una pull request o in un repository trappola; il pattern di fondo (un agente che carica automaticamente i file di progetto senza revisione umana) è condiviso da altri coding tool come Cursor, Windsurf e GitHub Copilot, ed è sopravvissuto alle singole patch. Mesi dopo, il worm auto-propagante GlassWorm ha confermato il rischio nella pratica, diffondendosi attraverso oltre 150 repository e usando caratteri Unicode invisibili per nascondersi nelle estensioni degli sviluppatori.

Un altro terreno su cui l'AI sta erodendo certezze è quello dell'identità digitale: voce, volto, documenti e interazione in tempo reale possono ormai essere sintetizzati in modo economico e convincente, al punto che nessuno di questi segnali può più fungere da prova a distanza da solo. In uno studio controllato, persino osservatori addestrati a riconoscere volti generati dall'AI ne hanno identificati correttamente solo il 41%, contro il 30% di osservatori non addestrati. La piattaforma ATHR vende agenti vocali AI capaci di condurre da soli, senza operatore umano, chiamate di recupero account leggendo script predisposti, in modo da estrarre codici monouso da clienti di Google, Microsoft e Coinbase.

Sul fronte video, il gruppo nordcoreano UNC1069 ha usato deepfake in videochiamata in tempo reale e account Telegram compromessi per convincere vittime in possesso di criptovalute a cedere le proprie credenziali. Compound di scam nel Sud-est asiatico assumono operatori umani che gestiscono software di face-swapping in tempo reale durante truffe sentimentali e di investimento. Una rete smantellata dalla polizia europea aveva usato deepfake di celebrità per riciclare oltre 700 milioni di euro attraverso schemi di investimento fasulli sui social media.

Sul lato della verifica d'identità, l'operatore del servizio OnlyFake ha ammesso di aver venduto oltre 10mila documenti d'identità falsi generati dall'AI in circa 56 paesi per superare i controlli KYC di banche ed exchange di criptovalute. Il gruppo nordcoreano Jasper Sleet usa AI generativa per scandagliare annunci di lavoro, sostituire volti su documenti d'identità rubati e costruire persone fittizie abbastanza convincenti da superare lo screening HR ed entrare in ambienti cloud aziendali.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.7 - 4.6.4