A maggio 2026, Google Threat Intelligence Group ha annunciato un risultato inedito: il blocco del primo exploit zero-day sviluppato con il supporto dell’intelligenza artificiale. L’attacco era destinato a colpire uno strumento open-source di amministrazione web, con l’obiettivo di aggirare l’autenticazione a due fattori su larga scala.
Pertanto, questo episodio segna un cambiamento strutturale nel panorama delle minacce digitali. I criminali informatici stanno adottando i modelli linguistici per accelerare la scrittura di codice malevolo. Tuttavia, gli stessi strumenti AI vengono già impiegati in difesa. I ricercatori di Google hanno identificato l’impronta dell’AI nell’exploit analizzando anomalie tipiche degli LLM: un CVSS score allucinato e una formattazione eccessivamente strutturata.
In sintesi, le PMI italiane non possono più considerare la cybersecurity come un tema riservato alle grandi imprese. Noi di SHM Studio monitoriamo costantemente l’evoluzione del rischio digitale per supportare le aziende clienti nella costruzione di una presenza online sicura e resiliente. Dunque, comprendere questa svolta è il primo passo per adottare contromisure adeguate.
Cosa è cambiato: l’AI entra nell’arsenale offensivo
Fino a pochi mesi fa, l’utilizzo dell’intelligenza artificiale nella cybersecurity era associato principalmente alla difesa. Tuttavia, un rapporto pubblicato da The Verge il maggio 2026 ha ribaltato questa prospettiva. Google Threat Intelligence Group (GTIG) ha dichiarato di aver individuato e neutralizzato il primo exploit zero-day sviluppato con il supporto di un modello linguistico di grandi dimensioni.
L’exploit prendeva di mira uno strumento open-source di amministrazione web, non ancora identificato pubblicamente. L’obiettivo era aggirare l’autenticazione a due fattori in un evento di sfruttamento di massa. In altre parole, si trattava di un attacco progettato per colpire simultaneamente un numero elevato di istanze vulnerabili.
Pertanto, questo episodio non è un caso isolato da archiviare rapidamente. Al contrario, rappresenta un segnale di discontinuità che merita analisi approfondita, in particolare per le PMI italiane che gestiscono infrastrutture web esposte.
Come i ricercatori hanno riconosciuto la firma dell’AI
Il team GTIG ha identificato l’impronta dell’intelligenza artificiale attraverso l’analisi dello script Python utilizzato per l’exploit. Infatti, due elementi hanno attirato l’attenzione degli analisti.
- Un CVSS score allucinato: il punteggio di severità della vulnerabilità era stato generato in modo errato, con una precisione apparente ma sostanzialmente inventata. Questo comportamento è tipico degli LLM quando operano su dati tecnici non verificati.
- Formattazione testbook: la struttura del codice e dei commenti era eccessivamente ordinata, coerente con i pattern di output dei modelli linguistici addestrati su documentazione tecnica standardizzata.
Dunque, l’AI non ha scritto l’exploit in autonomia. Ha piuttosto accelerato e strutturato il lavoro di attori criminali già competenti. Questo distinguo è rilevante: abbassa la soglia di ingresso per chi vuole condurre attacchi sofisticati.
Inoltre, come evidenziato da MIT Technology Review, la democratizzazione degli strumenti AI sta riducendo il gap tecnico tra cybercriminali esperti e attori meno qualificati.
L’impatto immediato sul panorama delle minacce digitali
Questo episodio ha implicazioni dirette su tre livelli. Prima di tutto, cambia la velocità con cui vengono prodotti gli exploit. Un attore malevolo può ora delegare all’AI la fase di prototipazione del codice, riducendo i tempi di sviluppo.
In seguito, cambia il profilo di rischio per le tecnologie open-source. Gli strumenti di amministrazione web, i CMS, i framework e i plugin sono bersagli privilegiati proprio perché ampiamente diffusi. Di conseguenza, una vulnerabilità sfruttata con AI può scalare rapidamente su migliaia di installazioni.
Infine, cambia il modello difensivo necessario. Le soluzioni tradizionali basate su signature e aggiornamenti periodici non sono più sufficienti. Secondo Gartner, la spesa globale in sicurezza informatica è in crescita costante, ma la velocità di adattamento delle difese fatica a tenere il passo con quella degli attacchi.
Cosa fare ora: il perimetro di rischio delle PMI italiane
Le PMI italiane operano spesso con risorse IT limitate. Tuttavia, questo non le rende un bersaglio secondario. Al contrario, la loro minore capacità di risposta le rende obiettivi attraenti per attacchi automatizzati e scalabili.
In particolare, le aziende che utilizzano strumenti open-source per la gestione del sito, del CRM o dell’e-commerce dovrebbero considerare alcune azioni prioritarie.
- Audit delle dipendenze software: verificare quali strumenti open-source sono attivi nell’infrastruttura e se sono aggiornati all’ultima versione stabile.
- Revisione della strategia di autenticazione: l’exploit in questione puntava a bypassare il 2FA. Pertanto, è opportuno valutare soluzioni di autenticazione più robuste, come i token hardware o i sistemi passwordless.
- Monitoraggio continuo: implementare strumenti di threat monitoring che analizzino il comportamento anomalo in tempo reale, non solo a intervalli programmati.
- Formazione del personale: molti attacchi iniziano da un errore umano. Quindi, aggiornare la consapevolezza del team sulle nuove tipologie di minaccia è una misura a basso costo e alto impatto.
Noi di SHM Studio affianchiamo le PMI nella costruzione di architetture digitali sicure, a partire dalla
Articoli correlati
Scopri altri articoli che approfondiscono temi simili, selezionati per offrirti una visione più completa e stimolante. Ogni contenuto è scelto con cura per arricchire la tua esperienza.
