Google identifica il primo exploit zero-day sviluppato dall'intelligenza artificiale
Google ha confermato il primo caso noto di un exploit zero-day sviluppato utilizzando l'intelligenza artificiale. Il Threat Intelligence Group dell'azienda, GTIG, ha pubblicato il suo rapporto AI Threat Tracker l'11 maggio 2026, dettagliando come un importante gruppo di criminali informatici abbia utilizzato un modello AI per identificare e armare una falla di sicurezza in un popolare strumento di amministrazione web open-source. La vulnerabilità aggirava l'autenticazione a due fattori. Google ha collaborato con il fornitore interessato per applicare una patch e ritiene che il suo intervento possa aver interrotto la campagna di sfruttamento di massa pianificata dal gruppo prima che venisse lanciata.
GTIG ha dichiarato è altamente fiducioso che un modello AI, non un ricercatore umano, abbia scritto lo script di exploit in Python. Il codice lo ha rivelato. Conteneva un'abbondanza di documenti didattici, un punteggio di gravità CVSS allucinato, menu di aiuto dettagliati e uno stile di formattazione pulito e strutturato, caratteristico dei dati di addestramento dei modelli linguistici di grandi dimensioni. Queste non sono cose che un essere umano che scrive uno strumento di attacco includerebbe. La falla in sé era un errore di logica semantica - uno sviluppatore aveva codificato un presupposto di fiducia nel flusso di autenticazione, creando una contraddizione con la logica di applicazione del 2FA che gli scanner di sicurezza tradizionali non hanno notato, ma che l'AI ha apparentemente individuato leggendo l'intento dello sviluppatore piuttosto che analizzando il codice meccanicamente. Secondo il rapporto, gli aggressori non hanno utilizzato né i modelli Gemini di Google né Mythos di Anthropic.
Perché ha quasi funzionato e perché non ha funzionato
Gli aggressori hanno pianificato una campagna di sfruttamento di massa, prendendo di mira lo strumento open-source su scala con l'exploit generato dall'AI. La contro-scoperta proattiva di GTIG sembra aver interrotto questo piano prima che prendesse piede. Anche gli errori nell'implementazione dell'exploit hanno probabilmente interferito. "La parte imbarazzante per tutti gli altri è che questa sembra essere ancora una fase iniziale maldestra", ha osservato The Register nel suo servizio. Gli errori di esecuzione hanno salvato molte potenziali vittime questa volta. Questo potrebbe non reggere. Il capo analista di GTIG John Hultquist ha detto chiaramente: "C'è l'idea sbagliata che la corsa alle vulnerabilità dell'AI sia imminente. La realtà è che è già iniziata. Per ogni zero-day che possiamo ricondurre all'AI, probabilmente ce ne sono molti altri in circolazione"
Il difetto di logica semantica al centro dell'exploit indica qualcosa di più preoccupante di un incidente isolato. Gli scanner tradizionali sono costruiti per rilevare gli affossamenti, i crash e la corruzione della memoria. Non leggono il codice come lo scrive uno sviluppatore. Gli LLM invece sì. Possono mettere in relazione l'intento con l'implementazione, individuare le contraddizioni tra la progettazione e l'esecuzione e far emergere errori logici latenti che sembrano funzionalmente corretti a tutti gli strumenti automatizzati attualmente in uso. Il GTIG ha descritto questa capacità crescente che gli strumenti di sicurezza tradizionali non sono strutturalmente in grado di contrastare.
Il quadro più ampio dal rapporto GTIG
Il caso zero-day è una parte di un modello più ampio che il rapporto documenta. Il gruppo nordcoreano APT45 ha inviato migliaia di richieste ripetitive ai modelli AI per analizzare ricorsivamente le vulnerabilità e costruire un arsenale di exploit su una scala che sarebbe impraticabile da gestire manualmente. Un attore legato alla Cina, identificato come UNC2814, ha utilizzato richieste di jailbreak da parte di esperti per spingere Gemini a ricercare falle di esecuzione di codice remoto pre-autenticazione nel firmware del router TP-Link. I gruppi russi hanno utilizzato l'audio generato dall'AI inserito in filmati di notizie legittime per le operazioni di influenza. Oltre a queste, GTIG ha documentato le backdoor di Android che utilizzano chiamate API Gemini per navigare autonomamente nei dispositivi infetti, e famiglie di malware imbottite di codice generato dall'AI appositamente per confondere le analisi.
Nel marzo 2026, il gruppo criminale TeamPCP ha compromesso LiteLLM, una libreria gateway AI molto utilizzata, incorporando un ruba-credenziali attraverso pacchetti PyPI avvelenati e richieste di pull maligne. Le chiavi AWS e i token GitHub rubati sono stati monetizzati attraverso partnership ransomware. L'attacco ha preso di mira il livello di integrazione dei sistemi di AI piuttosto che i modelli stessi, un modello che secondo GTIG sta diventando standard. I modelli di frontiera sono difficili da compromettere direttamente. I connettori, i wrapper e i livelli API che li circondano non lo sono.
L'AI non è solo un'arma per gli aggressori. Viene anche utilizzata come esca. Notebookcheck ha analizzato il modo in cui un falso sito web Claude AI ha spinto la backdoor Beagle Windows attraverso i risultati di ricerca sponsorizzati da Google la scorsa settimana, utilizzando un programma di installazione troianizzato per distribuire uno strumento di accesso remoto mirato agli sviluppatori che cercano gli strumenti di Claude Code
