Google blocca exploit zero-day creato con AI: come funziona

Per la prima volta, Google ha individuato e bloccato un exploit zero-day creato con l’aiuto dell’intelligenza artificiale. Non è fantascienza e non è un’ipotesi teorica: è quello che ha documentato il Google Threat Intelligence Group (GTIG) in un report pubblicato di recente, e le implicazioni per chi si occupa di sicurezza digitale sono tutt’altro che trascurabili.

L’obiettivo dell’attacco era aggirare l’autenticazione a due fattori di uno strumento di amministrazione web open source non identificato. Secondo i ricercatori, si trattava di un piano per un’operazione di sfruttamento di massa, non un attacco mirato a un singolo bersaglio.

Come hanno fatto i ricercatori Google a capire che dietro c’era un’AI? Guardando il codice. Nello script Python usato per l’exploit hanno trovato due indizi precisi: un punteggio CVSS “allucinato”, ovvero un valore di gravità della vulnerabilità generato dall’AI in modo errato ma plausibile, e una formattazione strutturata e didattica, tipica dei testi prodotti dai modelli linguistici di grandi dimensioni.

Non è il tipo di codice che scrive un essere umano in fretta: è ordinato, quasi scolastico, e questo ha tradito la sua origine.

La vulnerabilità sfruttata era una falla logica ad alto livello: lo sviluppatore della piattaforma aveva codificato un’assunzione di fiducia nel sistema di autenticazione a due fattori, e qualcuno, con l’aiuto dell’AI, ha trovato il modo di sfruttarla. Google precisa che Gemini non è stato il modello usato per costruire l’exploit.

Questo episodio si inserisce in un contesto più ampio: poche settimane fa avevamo parlato di Claude Mythos di Anthropic, il modello AI progettato per trovare vulnerabilità di sicurezza, e di come strumenti simili stiano ridisegnando il panorama delle minacce informatiche.

Il rapporto GTIG descrive anche altre tecniche in crescita: i criminali usano il “persona-driven jailbreaking”, istruendo l’AI a fingere di essere un esperto di sicurezza per farsi aiutare a trovare falle. Alimentano i modelli con interi archivi di dati sulle vulnerabilità.

E usano strumenti come OpenClaw per affinare i payload generati dall’AI in ambienti controllati, aumentando l’affidabilità degli attacchi prima di lanciarli davvero. A proposito di OpenClaw, ne avevamo già parlato in relazione al fatto che questi agenti AI stiano diventando a pagamento.

C’è poi un fronte che riguarda l’AI come bersaglio, non solo come strumento: il GTIG osserva che gli attaccanti prendono sempre più di mira le componenti che rendono utili i sistemi AI, come le skill autonome e i connettori a dati di terze parti. In pratica, più l’AI si integra con il resto dei nostri sistemi, più diventa una superficie d’attacco appetibile.