Il Google Threat Intelligence Group (GTIG) ha identificato e documentato per la prima volta un caso in cui un gruppo di cybercriminali ha utilizzato un modello AI per scoprire e trasformare in arma una vulnerabilità zero-day all’interno di un popolare strumento open-source di amministrazione web. Lo scopo era un’operazione di sfruttamento di massa che avrebbe potuto colpire un numero potenzialmente enorme di sistemi.
Google è riuscita ad avvertire il vendor interessato prima che la campagna potesse decollare. Il bug consentiva di aggirare la protezione a due fattori (2FA), ma richiedeva comunque credenziali valide per essere sfruttato. In sé, non è la falla più devastante che si possa immaginare; tuttavia, il suo valore simbolico e strategico non è trascurabile.
Dimostra che la corsa agli armamenti AI nel mondo della sicurezza informatica è un fatto presente. Come ha dichiarato John Hultquist, capo analista di GTIG, probabilmente si tratta solo della punta dell’iceberg.
Le impronte digitali dell’AI nel codice malevolo
Uno degli aspetti più interessanti di questa vicenda è il modo in cui Google ha stabilito il coinvolgimento di un LLM. Lo script Python che implementava l’exploit non era scritto come scrive un umano.
Presentava un’abbondanza di docstring a carattere didattico, uno stile di codice ordinatissimo e tipicamente “libresco”. Inoltre, il punteggio CVSS era allucinato, ovvero un indice di severità della vulnerabilità inventato dal modello, che non corrispondeva a nessun CVE reale. Questi elementi sono fortemente caratteristici del modo in cui i grandi modelli linguistici producono codice. In pratica, l’AI aveva lasciato la sua firma involontaria.
La natura stessa del bug è altrettanto rivelatrice. Non si trattava di un errore di corruzione della memoria o di un problema di sanitizzazione degli input, tipologie di falle che i tradizionali strumenti di fuzzing e analisi statica sono attrezzati per trovare. Era invece un difetto logico semantico di alto livello, una scorciatoia hardcoded nella logica di autenticazione da parte dello sviluppatore.
I modelli linguistici avanzati eccellono proprio nell’identificare questo tipo di anomalie, perché sono capaci di ragionare contestualmente sul codice, intuire l’intento del programmatore e individuare la contraddizione tra ciò che il codice dovrebbe fare e ciò che fa davvero. Quel genere di ragionamento rimane fuori dalla portata dei classici scanner automatici, ma rientra perfettamente nelle capacità di un LLM moderno.
Un ecosistema di minacce potenziato dall’AI su scala globale
Il caso dello zero-day non è che la testa visibile di un fenomeno molto più ampio documentato da GTIG. Gruppi legati alla Repubblica Popolare Cinese, come APT27, hanno usato modelli AI per accelerare lo sviluppo di infrastrutture di rete pensate per anonimizzare le proprie operazioni.
Il gruppo nordcoreano APT45, invece, ha adottato un approccio quasi industriale. Migliaia di prompt ripetitivi inviati ai modelli per analizzare CVE noti, validare proof-of-concept e costruire un arsenale di exploit sempre più robusto. Un’attività che sarebbe semplicemente impraticabile senza l’automazione fornita dall’AI.
Sul fronte russo, i ricercatori hanno documentato famiglie di malware come CANFAIL e LONGSTREAM, arricchite con codice “esca” generato dall’AI per confondere gli analisti e sfuggire ai controlli. L’operazione “Overload”, sempre di matrice russa, ha combinato clonazione vocale AI e deepfake per imbastire campagne di disinformazione pro-Mosca, inserendo audio fasullo in filmati di giornalisti reali.
Sul fronte mobile, la backdoor Android PROMPTSPY, già documentata da ESET, integra le API di Gemini per interagire autonomamente con il dispositivo infetto, usando un prompt hardcoded per aggirare i filtri di sicurezza del modello. A completare il quadro, gruppi come TeamPCP stanno prendendo di mira direttamente gli ambienti AI e le dipendenze software come vettore di accesso iniziale, un approccio da supply chain attack che apre scenari nuovi e inquietanti.
Una corsa agli armamenti che riguarda anche i difensori
Il quadro che emerge da questo report è la fotografia di una transizione strutturale: l’AI è ormai integrata nei workflow offensivi a livello industriale. È usata per scoprire vulnerabilità, sviluppare malware evasivo, automatizzare operazioni di spionaggio e produrre disinformazione su scala.
La buona notizia è che la stessa logica vale anche per la difesa. Google stessa impiega agenti AI come Big Sleep per identificare vulnerabilità nel software, e usa le capacità di ragionamento di Gemini attraverso strumenti come CodeMender per correggerle automaticamente. La corsa è quindi simmetrica, almeno in potenza.
Tuttavia, va mantenuto un certo realismo. Anche in questo caso specifico, Google rileva che errori nell’implementazione dell’exploit hanno probabilmente ostacolato i piani dei criminali; è una vittoria parziale dovuta in parte alla goffaggine di una fase ancora acerba di questa tecnologia.
Quindi, gli aggiornamenti tempestivi, la revisione critica dei meccanismi di autenticazione e il monitoraggio attivo non sono più best practice opzionali. Sono la risposta minima a un panorama di minacce che si muove, letteralmente, alla velocità di un modello linguistico.
