Il dato più interessante non è che gli agenti di intelligenza artificiale stiano migliorando. Quello era inevitabile. Il dato realmente destabilizzante è la velocità con cui stanno comprimendo decenni di competenze offensive in una finestra temporale che, nel mondo corporate, equivale a un ciclo di budgeting. Diciotto mesi. Non è un salto tecnologico, è una mutazione operativa.

Il recente studio longitudinale dell’AI Security Institute britannico introduce un elemento che molti leader tecnologici fingono ancora di non vedere: l’automazione dell’attacco sta entrando nella sua fase industriale. Non più tool assistivi, non più script evoluti, ma agenti capaci di concatenare azioni, adattarsi al contesto e, soprattutto, perseverare. La perseveranza è sempre stata una qualità umana. Ora è diventata una feature.

Nel 2024 un modello come GPT-4o si fermava mediamente a meno di due step su una catena di attacco composta da trentadue passaggi. Un comportamento quasi rassicurante, quasi umano nella sua inefficienza. Nel 2026, Opus 4.6 arriva a sfiorare i dieci step medi, con picchi di ventidue in una singola esecuzione. Tradotto in linguaggio manageriale, significa passare da un proof of concept a una pipeline operativa.

Non è solo una questione quantitativa. La qualità del salto suggerisce qualcosa di più sottile. Gli agenti non stanno semplicemente diventando più bravi, stanno iniziando a sviluppare una forma rudimentale di strategia. Non nel senso romantico del termine, ma nella capacità di mantenere uno stato, di adattare il comportamento in funzione del feedback e di perseguire un obiettivo multi-step senza perdere coerenza. Questo, storicamente, era il collo di bottiglia.

L’industria della cybersecurity ha sempre costruito le proprie difese su un presupposto implicito: l’attacco complesso richiede tempo, competenza e coordinamento umano. Tre variabili costose, difficili da scalare. L’intelligenza artificiale sta erodendo tutte e tre simultaneamente. E lo sta facendo con una semplicità quasi offensiva.

Il secondo punto dello studio è, se possibile, ancora più inquietante. Le performance crescono in modo log-lineare con il tempo di inferenza. Tradotto: più lasci lavorare il modello, più diventa efficace. Non serve un PhD in sicurezza informatica. Non serve nemmeno particolare creatività. Basta aumentare il budget computazionale. È l’equivalente digitale di lasciare una squadra di penetration tester lavorare per settimane, ma senza costi marginali umani.

Qui emerge un paradosso interessante. Per anni abbiamo ottimizzato i modelli per essere più veloci, più economici, più efficienti. Ora scopriamo che, dal punto di vista offensivo, l’inefficienza controllata è un vantaggio competitivo. Più token, più tentativi, più iterazioni. Una sorta di brute force cognitivo che, combinato con capacità emergenti, diventa sorprendentemente efficace.

La barriera d’ingresso si abbassa. Sempre. È una legge non scritta della tecnologia. Quello che cambia è la velocità con cui accade. E qui la velocità è tale da rendere obsolete intere categorie di difesa prima ancora che vengano pienamente implementate. Il ciclo di innovazione difensiva è semplicemente troppo lento rispetto a quello offensivo automatizzato.

Il terzo elemento dello studio introduce una soglia psicologica che il settore dovrà metabolizzare. Il completamento di ventidue step su trentadue non è un risultato accademico. È un indicatore di capacità operativa. Parliamo di task che richiederebbero ore di lavoro a un esperto umano. Ore che, nel mondo reale, sono spesso il fattore che separa un attacco teorico da uno praticabile.

La narrativa dominante tende ancora a minimizzare queste capacità, sottolineando le difficoltà residue in ambiti come la crittografia o il reverse engineering. È un errore di prospettiva. Non serve che un agente sia perfetto in tutto. Basta che sia sufficientemente competente in abbastanza cose da costruire una catena di attacco plausibile. L’attacco perfetto è un mito. L’attacco sufficiente è una realtà operativa.

C’è una citazione attribuita a un vecchio strategist militare che torna utile: “Non devi vincere tutte le battaglie, devi vincere quella che conta.” Gli agenti AI stanno iniziando a capire quali battaglie contano. O, più precisamente, stanno diventando abbastanza bravi da provarle tutte fino a trovare quella giusta.

Il quarto punto, relativo ai sistemi industriali, offre un’illusione di conforto. Gli ambienti ICS restano difficili. Le reti legacy, le configurazioni proprietarie, la mancanza di standardizzazione continuano a rappresentare un ostacolo. Ma è un vantaggio temporaneo. La storia della tecnologia insegna che ogni complessità è, prima o poi, modellizzabile.

Negli anni novanta, molti consideravano le reti aziendali troppo complesse per essere automatizzate. Poi sono arrivati gli scanner, i worm, le botnet. La complessità non è una barriera, è un’opportunità per chi sa sfruttarla. Gli agenti AI stanno iniziando a farlo.

Il vero cambiamento, però, non è tecnico. È culturale. Le organizzazioni continuano a pensare alla sicurezza in termini reattivi, mentre l’attacco sta diventando proattivo, persistente e, soprattutto, autonomo. È una dissonanza strategica che ricorda quella delle aziende tradizionali di fronte al cloud nei primi anni 2010. Tutti capivano che qualcosa stava cambiando, pochi agivano con la velocità necessaria.

Nel contesto attuale, la domanda non è se questi agenti diventeranno più capaci. Lo diventeranno. La domanda è quanto velocemente le organizzazioni saranno in grado di adattare i propri modelli operativi. Non basta aggiungere un layer di AI alla difesa. Serve ripensare l’intero paradigma.

La sicurezza, in un mondo di agenti autonomi, diventa un problema di controllo dei processi, non solo di protezione degli asset. Significa monitorare flussi, identificare pattern, anticipare comportamenti. Significa, in ultima analisi, combattere automazione con automazione.

Esiste una certa ironia in tutto questo. Per anni la Silicon Valley ha venduto l’idea che l’AI avrebbe liberato gli esseri umani dai lavori ripetitivi. Sta succedendo. Solo che uno dei primi lavori a essere automatizzati è l’attacco informatico. Una scelta di carriera non prevista nei pitch deck.

Dal punto di vista economico, l’impatto è altrettanto significativo. Il costo marginale di un attacco complesso tende verso zero. Questo altera completamente l’equilibrio tra attaccante e difensore. Tradizionalmente, difendere è più costoso che attaccare. Ora la forbice si allarga ulteriormente.

Le aziende che continuano a trattare la cybersecurity come una voce di costo inevitabile stanno sottovalutando la natura del cambiamento. In un contesto di attacchi automatizzati, la sicurezza diventa un fattore competitivo. Non proteggere adeguatamente i propri sistemi non è solo un rischio operativo, è una scelta strategica discutibile.

La realtà, come spesso accade, è meno spettacolare ma più pericolosa. Non assisteremo a un’esplosione improvvisa di attacchi AI-driven. Vedremo una lenta, inesorabile crescita. Più attacchi, più sofisticati, più persistenti. Una pressione costante che erode le difese nel tempo.

La domanda finale, quella che ogni board dovrebbe porsi, non è come fermare questi agenti. È come convivere con loro. Perché, a questo punto, la loro presenza è inevitabile. Ignorarli è un lusso che poche organizzazioni possono permettersi.

La sicurezza informatica, da disciplina tecnica, si trasforma definitivamente in questione strategica. E, come tutte le questioni strategiche, premia chi si muove prima e punisce chi aspetta conferme.

Link: https://www.aisi.gov.uk/research/measuring-ai-agents-progress-cyber-attack-scenarios