Artificial intelligence è entrata nella stanza con la delicatezza di un elefante in un laboratorio di cristalli e i numeri pubblicati da Anthropic gettano una luce impietosa sulla nuova geografia del rischio digitale. La rivelazione che gli agenti AI hanno replicato la performance di attaccanti umani esperti in più della metà degli exploit su contratti smart degli ultimi cinque anni non sorprende nessuno che lavori davvero nella sicurezza blockchain, ma scuote comunque il settore per la brutalità statistica con cui fotografa la situazione.
Gli agenti non solo riproducono i pattern di attacco conosciuti, si allenano su dataset enormi, interiorizzano le vulnerabilità più iterate e soprattutto costruiscono un vantaggio strategico sulla velocità. Un attaccante umano si stanca, un agente no. Una battuta che circola fra chi si occupa di offensive AI dice che la criminalità informatica ha finalmente trovato il dipendente modello, instancabile, senza ferie, e soprattutto poco incline ai dilemmi morali.
Una serie di numeri merita attenzione. Dei 405 exploit storici utilizzati da Anthropic per testare dieci modelli di frontiera, 207 sono stati replicati con successo dagli agenti. La cifra simulata sottratta supera i 550 milioni di dollari e non serve una retorica apocalittica per capire cosa significhi quando questa capacità diventa economicamente accessibile. Il dato più importante però arriva dal subset di contratti vulnerabili dopo marzo 2025. Qui la correlazione fra data di rilascio del modello e valore totale dell’exploit è una curva che sembra uno scherzo cattivo per i responsabili della sicurezza delle DeFi. Antropicamente ironico che la metrica più rappresentativa non sia il tasso di successo, ma la quantità di denaro potenziale estraibile, ricordando che l’etica non è mai stata un parametro di ottimizzazione di questi sistemi.
Una considerazione cruenta emerge dal commento di esperti come David Schwed. La maggior parte di queste falle è già accessibile, pubblicamente documentata e facilmente reperibile fra CVE, audit report e repository open source. Un agente dotato di un minimo di capacità di correlazione non deve inventare exploit innovativi per generare valore malevolo. Gli basta ritrovare una vecchia vulnerabilità, tracciare i progetti che l’hanno clonata e verificare se qualcuno si è dimenticato di applicare la patch. Una specie di archeologia criminale automatizzata che lavora h24 e non si distrae mai. Una frase di Schwed colpisce per la sua semplicità quasi scomoda. Perché non attaccare anche progetti con TVL medio basso. Un agente non ha lo snobismo dell’hacker umano e considera ogni target come una linea di codice che può o non può essere forzata.
Una parte della community si è sorpresa delle scoperte di zero day effettuate dagli stessi modelli. Claude Sonnet 4.5 e GPT5 hanno identificato due vulnerabilità non note, con un valore simulato di 3.694 dollari. La cifra è irrilevante rispetto ai big exploit, ma il principio è devastante. Un modello che identifica nuovi bug in autonomia non è soltanto uno strumento, è un sistema di scoperta che amplia il perimetro delle superfici d’attacco. Il fatto che il costo API per una di queste operazioni abbia raggiunto i 3.476 dollari dimostra che siamo ancora in una fase relativamente costosa, ma la riduzione di costi del token del 70 percento nelle generazioni Claude dimostra che la curva è in discesa rapida. Ogni trimestre riduce la barriera economica.
Una nota di colore arriva dal caso del contratto con la funzione pubblica di calcolo priva del modificatore view. La vulnerabilità ha permesso a un agente di alterare ciclicamente variabili interne generando bilanci artificialmente gonfiati da scaricare su un DEX. Il valore simulato è di circa 2.500 dollari, ma ciò che conta è la dinamica. Il bug non è un classico reentrancy. È un difetto di logica gestionale, il tipo di problema che gli auditor umani liquidano come edge case trascurabile, finché un agente addestrato a smontare flussi decisionali non lo utilizza per creare una catena di manipolazioni accumulative. Il paradosso è che gli agenti eccellono proprio là dove gli esseri umani falliscono da sempre, nell’analisi predittiva di comportamenti emergenti derivanti da condizioni limite.
Una riflessione più ampia riguarda l’impatto sull’intero ecosistema software. Anthropic afferma che gli stessi meccanismi che permettono di sfruttare vulnerabilità in contratti smart si applicano senza sforzo a qualsiasi codice. L’era in cui il tempo fra deploy e exploit si misurava in giorni è finita. Stiamo entrando in una fase in cui l’attacco parte prima ancora che qualcuno twitti l’annuncio del nuovo progetto. Un responsabile della sicurezza che si preoccupa di un audit pre lancio oggi si comporta come chi nel Novecento metteva un lucchetto alla porta per proteggere un caveau. Una misura psicologica, più che tecnica.
Una nota di ottimismo arriva comunque dalla posizione di Schwed, che rifiuta la narrazione catastrofista. Gli stessi agenti sono a disposizione dei difensori. La simmetria è perfetta. Se un agente può trovare una falla, un altro può trovarla prima. Se un attaccante usa un ciclo automatizzato per individuare fork vulnerabili, un difensore può usarne uno più rapido per scansionare l’intero ecosistema ogni ora, e bloccare in tempo reale ogni condizione sospetta. Una delle frasi più intelligenti del dibattito è che la sicurezza moderna richiede di pensare e agire in maniera diversa. Non è un invito al fatalismo. È un modo elegante per dire che il vecchio modello reattivo non ha più senso in un contesto in cui l’avversario è un cluster di agenti capaci di lavorare su task a lungo orizzonte con tassi di errore in continuo calo.
Una curiosità degna di una nota a piè di pagina riguarda il consumo di risorse. Gli agenti più avanzati integrano tool use, auto riparazione e pianificazione profonda. Una triangolazione che ha ridotto i fallimenti logici e ampliato la capacità di correggere on the fly strategie di attacco inefficaci. Queste capacità sono gli stessi mattoni che le aziende vogliono per l’automazione interna. La linea fra applicazioni di sicurezza e applicazioni di produttività si assottiglia al punto che diventa difficile capire cosa sia difesa e cosa sia ingegneria.
Una provocazione finale vale la pena lasciarla sospesa. Forse il vero punto non è che gli agenti AI abbiano imparato a comportarsi come attaccanti esperti. Forse è che gli attaccanti esperti stanno diventando irrilevanti. Un agente non cerca fama, non vuole entrare nella hall of fame degli hacker, non si vanta su forum clandestini. Esegue, impara, scala. Tutto ciò che la criminalità informatica ha sempre sognato, ma senza i fastidi umani. Chi si occupa di smart contract security farebbe bene a considerare che la nuova corsa agli armamenti digitali non si combatte più a colpi di patch, ma di orchestrazione di intelligenze agentiche. Una frase spesso attribuita a Sun Tzu afferma che la suprema eccellenza consiste nel vincere senza combattere. In un mondo dominato dagli ai agents, potrebbe diventare l’unica strategia rimasta.
AI agents find $4.6M in blockchain smart contract exploits