Per la prima volta dei criminali informatici hanno usato un modello di intelligenza artificiale non solo per scoprire una falla di sicurezza, ma per trasformarla in un exploit funzionante destinato a un attacco su larga scala. Lo ha rivelato l'11 maggio 2026 il Google Threat Intelligence Group (GTIG) nel suo nuovo rapporto sull'uso ostile dell'IA, descrivendo un episodio che secondo l'azienda segna il superamento di "una soglia" nel modo in cui gli aggressori sfruttano questi strumenti.

La vulnerabilita in questione e un bypass dell'autenticazione a due fattori (2FA) in un diffuso strumento open source di amministrazione di sistema via web, implementato in uno script Python. Google dice di averlo individuato prima che fosse usato in modo massiccio, di aver lavorato con il fornitore del software alla correzione e di aver contribuito a interrompere l'operazione del gruppo criminale che stava preparando, testuali parole del rapporto, uno "sfruttamento di massa".

Persona con felpa che programma su due monitor con codice, immagine simbolica di hacking e cybersicurezza assistita dall'IA
Per la prima volta un exploit zero-day risulta costruito con l'aiuto di un modello linguistico. Foto: Julio Lopez / Pexels

Perche proprio uno strumento di amministrazione di sistema

Google non ha rivelato il nome del software per non agevolare altri attacchi, ma la scelta del bersaglio non e casuale. Gli strumenti web di amministrazione di sistema, i pannelli per gestire server, container, backup e utenti, sono installati su decine di migliaia di macchine, spesso esposti su internet e gestiti da piccoli team. Un bypass del secondo fattore di autenticazione su un prodotto del genere significa, in pratica, una chiave che apre molte porte contemporaneamente: esattamente lo scenario che rende appetibile uno "sfruttamento di massa", in cui lo stesso exploit viene lanciato in automatico contro tutti i bersagli vulnerabili prima che arrivino le patch.

Come Google ha capito che dietro c'era un modello linguistico

Gli analisti non hanno trovato una "firma" esplicita, ma una serie di indizi tipici del codice prodotto da un large language model. Lo script era pieno di docstring didattiche, i commenti esplicativi che si trovano nei tutorial e non nel malware reale, includeva un punteggio CVSS (l'indice standard di gravita di una vulnerabilita) palesemente inventato dal modello, e aveva quella struttura ordinata "da manuale" che caratterizza il Python su cui questi sistemi sono addestrati. Google ha tenuto a precisare di non ritenere che sia stato usato il proprio modello Gemini.

Cosa cambia rispetto a un anno fa

Fino a poco tempo fa la stessa Google descriveva l'IA soprattutto come un "moltiplicatore di produttivita" per gli attaccanti: aiuta a scrivere email di phishing piu credibili, a tradurre, a fare ricognizione, a generare frammenti di codice malevolo. Restava pero lo scetticismo sul fatto che i modelli sapessero davvero individuare e "armare" falle sconosciute. Questo caso indica che la barriera si sta abbassando. "Chiunque tratti ancora la scoperta di vulnerabilita assistita dall'IA come un problema del futuro e gia in ritardo", ha dichiarato John Hultquist, capo analista del Google Threat Intelligence Group, aggiungendo che "per ogni zero-day che riusciamo a ricondurre all'IA, probabilmente ce ne sono molti altri la fuori che non vediamo".

Non solo criminali comuni: Cina, Corea del Nord e Russia

Il rapporto descrive un panorama in cui gli attori statali usano ormai l'IA lungo l'intera catena d'attacco. GTIG cita gruppi legati a Cina, Corea del Nord e Russia che impiegano i modelli per studiare le CVE gia catalogate, sviluppare strumenti su misura, inserire nei propri malware porzioni di codice "esca" generate dall'IA per depistare gli analisti, e condurre operazioni piu ampie con meno personale. Sono comparsi anche strumenti agentici, sistemi che ricevuto un obiettivo eseguono in autonomia i passaggi di una caccia alla vulnerabilita, usati ormai da entrambe le parti della barricata.

Schermo di computer con interfacce di cybersicurezza e protezione dei dati in tonalita verdi, simbolo del monitoraggio delle minacce informatiche
GTIG monitora l'uso ostile dei modelli da parte di gruppi criminali e statali. Foto: Tima Miroshnichenko / Pexels

Cosa dovrebbero fare aziende e team di sicurezza adesso

La lezione operativa e meno spettacolare del titolo, ma piu utile. Prima di tutto: applicare le patch in fretta, perche il tempo che intercorre tra la pubblicazione di una correzione e i primi sfruttamenti di massa si sta accorciando, e l'IA accelera proprio la fase di "weaponizzazione". Poi: trattare l'autenticazione a piu fattori non come un punto d'arrivo ma come un livello che va a sua volta protetto, chiavi hardware FIDO2 al posto degli SMS, controlli sulle sessioni, monitoraggio dei tentativi anomali. Infine: gli stessi modelli che aiutano gli attaccanti possono accelerare i difensori, dalla revisione del codice alla triage degli alert, a patto di non delegare loro le decisioni. Google sostiene di usare l'IA internamente proprio per individuare schemi come quello dello script incriminato.

OpenAI e Anthropic corrono a fornire modelli "difensivi"

Il rapporto e uscito nella stessa settimana in cui OpenAI ha aperto all'Unione Europea l'accesso a GPT-5.5-Cyber, una variante del suo modello pensata per il lavoro di sicurezza autorizzato, mentre i funzionari finanziari europei premono su Anthropic perche conceda alle organizzazioni del continente l'accesso al suo modello Mythos. La logica e la stessa che attraversa tutto il rapporto GTIG: se l'IA abbassa il costo dell'attacco, i difensori non possono permettersi di restare indietro. Il rapporto completo e disponibile sul blog di Google Cloud dedicato alla threat intelligence ed e stato ripreso, tra gli altri, da The Register e Bloomberg.

Per la cronaca: nessuna delle due grandi novita, l'exploit "fatto con l'IA" e i modelli difensivi, chiude la partita. Come ha sintetizzato Hultquist, la vera notizia non e il singolo caso, ma il fatto che da qui in avanti casi del genere diventeranno la norma.