Il Threat Intelligence Group di Google ha individuato, per la prima volta, una banda di hacker criminali che usava dal vivo una vulnerabilità zero-day creata dall’IA, riuscendo a neutralizzare un attacco di massa pianificato prima che venisse lanciato.
Questa scoperta si inserisce in un rapporto più ampio che mostra come gli aggressori ormai integrano i large language model in ogni fase di un’intrusione. I difensori corrono per schierare anche loro cacciatori IA nella stessa battaglia.
Come funzionava l’exploit Zero-Day creato dall’IA
Il codice malevolo, scritto in Python, aggirava la autenticazione a due fattori (2FA) su uno strumento di amministrazione di sistema open-source molto noto. Google non ha indicato il vendor coinvolto.
Seguici su X per ricevere le ultime notizie in tempo reale
Diversi indizi facevano pensare a un autore IA basato su modelli linguistici. Lo script includeva docstring in stile tutorial e un punteggio Common Vulnerability Scoring System (CVSS) inventato, un tipo di metrica che nessun ricercatore umano userebbe.
Google ha dichiarato che il suo modello Gemini non è stato utilizzato. John Hultquist, analista capo di GTIG, ha avvertito che intrusioni assistite da IA, ancora più sofisticate, potrebbero già essere in corso senza essere rilevate.
“Ogni nuova generazione di modelli ridurrà la necessità di strumenti creati da esperti, ma quasi certamente sono già là fuori. Dobbiamo riconoscere i limiti della nostra visibilità sul backend di spie e criminali. I segnali non saranno ovvi. La corsa è già iniziata,” ha spiegato.
La difesa reagisce
Lo stesso rapporto ha segnalato famiglie di malware legate alla Russia, PROMPTFLUX e PROMPTSPY, un backdoor per Android che interroga Gemini in tempo reale per pianificare la prossima azione.
Operazioni legate a stati cinesi e nordcoreani stanno addestrando modelli privati su un database di 85.000 vulnerabilità.
Google risponde con Big Sleep, un agente IA che individua vulnerabilità zero-day prima che possano essere scoperte dagli hacker, e CodeMender, un sistema automatico per applicare patch. Big Sleep ha già risolto una falla che i pirati informatici si preparavano a sfruttare.
Perché le crypto dovrebbero prestare attenzione
La forbice tra attacco e difesa si fa più netta. Binance Research ha recentemente scoperto che gli agenti IA riescono a sfruttare gli smart contract due volte meglio di quanto non rilevino le minacce.
Secondo precedenti indagini, gli strumenti IA di Google possono aiutare gli scammer a svuotare wallet, inoltre una nuova falla di Chrome ha esposto chiavi private di recente.
In questo scenario, gli exchange stanno adottando le proprie difese IA, ma il livello di sicurezza richiesto continua a crescere.
Ora che entrambe le parti schierano agenti autonomi, la prossima zero-day potrebbe emergere potenzialmente da una macchina su entrambi i fronti.
