La notizia che Google Threat Intelligence Group abbia individuato e bloccato quello che definisce il primo zero-day sviluppato con assistenza AI rappresenta uno spartiacque molto più importante di quanto sembri a una lettura superficiale. Non perché i criminali abbiano improvvisamente scoperto ChatGPT o Gemini, dettaglio quasi folkloristico a questo punto, ma perché emerge chiaramente una mutazione strutturale del modello operativo dell’attacco informatico. Il malware non è più soltanto codice; sta diventando un sistema semi autonomo di ricerca, adattamento e persuasione.
Il mito culturale dell’hacker è stato costruito come una figura quasi artigianale, metà matematico, metà sociopatico cinematografico. Kevin Mitnick, i forum IRC, le notti davanti ai terminali CRT, il romanticismo tossico del “genio contro sistema”. Oggi quel paradigma sta evaporando con una velocità impressionante. L’intelligenza artificiale trasforma la vulnerabilità informatica in una commodity scalabile. Non serve più un’élite di reverse engineer ossessionati; basta una pipeline ben orchestrata, accesso a modelli avanzati e una discreta infrastruttura cloud. Silicon Valley ama definire tutto questo “democratizzazione tecnologica”. Anche i ransomware gang sembrano apprezzare il concetto.
Il dettaglio più interessante del report GTIG non è nemmeno l’exploit in sé, ma gli indizi che hanno permesso ai ricercatori di identificare l’assistenza AI. Un CVSS score allucinato, formattazione “da manuale”, sintassi troppo ordinata, quasi scolastica. Chi lavora da anni nella sicurezza riconosce immediatamente quel pattern. Gli esseri umani competenti scrivono codice sporco, pieno di scorciatoie, commenti sarcastici e incongruenze sintattiche; gli LLM invece producono ancora una forma di perfezione innaturalmente pedagogica, una specie di malware scritto da un consulente McKinsey che ha letto troppi tutorial GitHub.
La parte davvero inquietante è un’altra. Google sostiene che questo exploit avrebbe consentito di bypassare l’autenticazione a due fattori sfruttando una “trust assumption hardcoded” nella logica dell’applicazione. Tradotto in termini meno diplomatici: qualcuno aveva progettato il sistema assumendo che certi comportamenti sarebbero sempre stati affidabili. La sicurezza moderna continua a fallire per motivi quasi medievali. Non mancano algoritmi sofisticati; manca la paranoia ingegneristica.
La cybersecurity contemporanea sta entrando in una fase simile a quella vissuta dalla finanza quantitativa nei primi anni Duemila. Quando l’automazione entra in sistemi complessi, il vantaggio non deriva più dall’intelligenza individuale ma dalla velocità di iterazione. Hedge fund, high-frequency trading, AI-driven exploits; la logica economica è identica. Vince chi automatizza il ciclo scoperta-sfruttamento-adattamento più rapidamente degli altri.
Google parla apertamente di “industrial-scale application of generative models within adversarial workflows”. È una frase burocratica, quasi anestetica, ma nasconde un cambiamento enorme. Significa che gli attaccanti stanno usando AI non come gadget sperimentale ma come parte stabile della supply chain offensiva. Vulnerability discovery, evasione difensiva, malware polimorfico, social engineering sintetico, jailbreak persona-driven; tutto sta convergendo verso architetture semi autonome.
Qui emerge il lato quasi comico della cultura AI contemporanea. Per due anni il dibattito pubblico è stato monopolizzato dalla paura che i modelli sostituissero copywriter, illustratori e stagisti HR. Nel frattempo, gruppi criminali sponsorizzati da stati e organizzazioni ransomware hanno iniziato a trasformare gli LLM in motori offensivi adattivi. La storia tecnologica tende spesso a umiliare le priorità mediatiche.
Il riferimento a OpenClaw Github è particolarmente significativo. Gli attaccanti stanno testando payload AI-generated in ambienti controllati per migliorarne l’affidabilità prima del deployment reale. In pratica stanno costruendo pipeline CI/CD del cybercrimine. DevSecOps criminale. Kubernetes probabilmente arriverà tra poco anche nei ransomware kits, e qualcuno a Palo Alto presenterà la cosa come “cyber resilience ecosystem”.
La dimensione geopolitica del report è altrettanto importante. Google cita esplicitamente attività associate a Cina, Corea del Nord e gruppi russi. Nulla di sorprendente; le potenze revisioniste vedono nell’AI un moltiplicatore asimmetrico perfetto. Costi relativamente bassi, scalabilità enorme, attribution problematica e ritorni strategici potenzialmente giganteschi. Clausewitz con GPU Nvidia.
La Corea del Nord in particolare continua a rappresentare uno dei casi più affascinanti della storia contemporanea. Un paese economicamente isolato riesce a finanziare porzioni rilevanti delle proprie operazioni tramite cybercrime avanzato. Lazarus Group è sostanzialmente la startup più profittevole della nazione. Se fosse quotata al Nasdaq probabilmente riceverebbe un round Series C guidato da qualche fondo entusiasta dell’“efficienza operativa”.
Il report introduce anche un concetto che molti sottovalutano: gli attaccanti non prendono di mira soltanto i modelli AI, ma soprattutto i componenti integrati che li rendono utili. Connector, plugin, skill autonome, pipeline dati. È il problema classico della complessità software; il punto debole raramente è l’algoritmo principale. Stuxnet non colpì Internet genericamente; colpì PLC Siemens specifici. Allo stesso modo, l’AI enterprise rischia di diventare vulnerabile attraverso integrazioni costruite troppo velocemente da aziende ossessionate dal time-to-market.
Osservando il panorama enterprise globale emerge un dettaglio quasi tragicomico. Molte aziende stanno implementando agenti AI con privilegi enormi senza possedere una cultura minima di compartmentalization. LLM collegati a CRM, ERP, repository documentali, workflow finanziari; un paradiso offensivo. Si continua a ripetere “AI transformation” mentre interi ecosistemi aziendali vengono assemblati come castelli di Lego cognitivi.
PROMPTSPY, citato nel report, rappresenta probabilmente l’anticipazione più interessante del prossimo quinquennio. Malware che interpreta lo stato del sistema e genera dinamicamente comandi adattivi. Qui il salto qualitativo è evidente. Non si parla più di script statici ma di orchestrazione offensiva contestuale. Una forma embrionale di autonomia tattica.
Storicamente il malware evolve sempre verso maggiore modularità e adattabilità. Dai virus DOS primitivi ai worm autoreplicanti, dai trojan bancari ai ransomware-as-a-service. L’AI accelera semplicemente una traiettoria già inevitabile. La differenza è quantitativa ma anche qualitativa; quando un modello può improvvisare variazioni operative in tempo reale, la detection basata su signature entra definitivamente in crisi esistenziale.
Google menziona anche “persona-driven jailbreaking”, cioè tecniche di manipolazione psicologica applicate ai modelli. È un passaggio culturalmente magnifico. Dopo aver trascorso anni a spiegare agli esseri umani come riconoscere phishing e social engineering, ora bisogna educare le AI a non farsi manipolare emotivamente da prompt costruiti bene. Freud probabilmente non aveva previsto questo scenario.
Il fenomeno delle infrastrutture clandestine per accesso anonimo ai modelli premium è un altro segnale di maturazione criminale. Middleware professionali, account cycling, abuse automation. L’economia sommersa dell’AI sta assumendo caratteristiche sorprendentemente simili a quelle delle botnet commerciali degli anni 2010. Cambiano gli strumenti, non la logica economica.
Una delle implicazioni più sottovalutate riguarda la compressione temporale del ciclo offensivo. Tradizionalmente scoprire una vulnerabilità seria richiedeva settimane o mesi di analisi. Con modelli specializzati e agentic workflows, il tempo necessario potrebbe collassare drasticamente. La sicurezza enterprise continua invece a muoversi con processi burocratici trimestrali. È come affrontare Formula 1 con governance da ministero anni Ottanta.
Google tenta naturalmente di bilanciare la narrativa sottolineando strumenti difensivi come Big Sleep e CodeMender, sistemi AI capaci di identificare vulnerabilità o correggere codice automaticamente. La dinamica ricorda la corsa agli armamenti nucleari durante la Guerra Fredda; deterrenza algoritmica reciproca. Il problema è che gli attaccanti possiedono un vantaggio strutturale: devono avere successo una volta sola. I difensori devono riuscirci sempre.
Nel lungo termine il vero rischio potrebbe non essere nemmeno il super malware autonomo hollywoodiano, ma qualcosa di molto più banale e devastante: l’automazione di massa della mediocrità offensiva. Migliaia di attaccanti semi competenti che improvvisamente acquisiscono capacità operative prima riservate a gruppi sofisticati. La democratizzazione dell’offesa digitale è probabilmente il fenomeno più destabilizzante dell’intera rivoluzione generativa.
La Silicon Valley continua però a vendere ottimismo computazionale. Ogni crisi viene reinterpretata come opportunità di mercato. Cybersecurity AI-native, trust architecture, autonomous resilience, adaptive zero-trust cognition; il vocabolario enterprise produce sempre nuove formule linguistiche per descrivere la stessa realtà: sistemi sempre più complessi tentano di proteggersi da sistemi ancora più complessi creati dagli stessi esseri umani che avevano promesso semplicità.
Alla fine, il report GTIG racconta qualcosa di molto antico sotto una patina futuristica. Ogni tecnologia sufficientemente potente produce inevitabilmente una controeconomia offensiva. Accadde con la stampa, con il telefono, con Internet, con la crittografia e ora con l’intelligenza artificiale generativa. La differenza è che stavolta il sistema offensivo può apprendere, adattarsi e improvvisare. Non serve coscienza artificiale per creare caos sistemico; basta automazione statistica applicata abbastanza bene.
William Gibson scriveva che “the future is already here, it’s just not evenly distributed”. Nel 2026 il futuro sembra distribuito piuttosto equamente tra cloud hyperscaler, gruppi ransomware e agenzie di intelligence. Una convergenza che dovrebbe inquietare chiunque abbia ancora password riutilizzate e board meeting dedicati esclusivamente al metaverso.
Blog Google: https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access