Google sostiene di aver fermato un gruppo criminale che stava preparando un’operazione di mass exploitation basata su una vulnerabilità zero-day che, secondo il Google Threat Intelligence Group (GTIG), sarebbe stata scoperta e “weaponized” con il supporto di un modello AI.
Per GTIG è la prima volta in cui il gruppo identifica un exploit zero-day che ritiene sviluppato con l’aiuto dell’intelligenza artificiale.
Indice degli argomenti
Google blocca un attacco che sfrutta una zero-day scoperta da un LLM
Il caso è rilevante non solo per il fatto in sé, ma per il tipo di salto che rappresenta.
Finora il grosso del dibattito sull’abuso criminale dell’AI, si era infatti concentrato su phishing, social engineering, traduzioni, malware e automazione.
Qui, invece, il punto è diverso: l’AI entra nel tratto più delicato della catena offensiva, quello della scoperta della falla e della sua trasformazione in exploit operativo.
Secondo Google, la vulnerabilità riguardava un tool open source, web-based, di system administration, e consentiva di aggirare l’autenticazione a due fattori.
L’azienda non ha reso pubblico né il nome del prodotto né quello del gruppo coinvolto, ma afferma di aver lavorato con il vendor per la responsible disclosure, di aver avvisato l’azienda colpita e le forze dell’ordine, e di essere riuscita a interrompere l’operazione prima che producesse danni.
L’attribuzione tecnica
Un elemento centrale è proprio l’attribuzione tecnica. Google dice di non ritenere che sia stato usato Gemini e, secondo l’Associated Press, ritiene anche improbabile l’uso di Claude Mythos; non ha però indicato quale modello sia stato effettivamente impiegato.
La convinzione che un LLM sia stato usato nasce dalla struttura del codice osservato: docstring molto didascaliche, formattazione “da manuale”, help menu particolarmente puliti e perfino un CVSS hallucinated, cioè un punteggio di severità inventato.
Il vantaggio dei modelli AI più evoluti
Il dettaglio forse più interessante, per chi si occupa di difesa, è la natura della falla.
GTIG spiega che non si tratterebbe di un classico bug da memory corruption o input sanitization, ma di un logic flaw ad alto livello, legato a una trust assumption hardcoded.
È proprio qui che Google vede un vantaggio crescente dei modelli AI più evoluti: meno efficaci nel ragionare su architetture complesse end-to-end, ma sempre più capaci di leggere il contesto del codice e individuare contraddizioni semantiche che scanner e fuzzer tradizionali faticano a far emergere.
Come mitigare il rischio: patching più scanning non bastano più
Questo sposta il problema per i team di sicurezza. Se l’AI diventa un acceleratore nella ricerca di vulnerabilità logiche, il vulnerability management non può più limitarsi al binomio patching più scanning.
Servono revisione del codice orientata alla logica di business, threat modeling più vicino ai flussi di autenticazione e autorizzazione, e una verifica più attenta delle eccezioni hardcoded che spesso nascono per comodità operativa e poi restano in produzione.
Gli strumenti difensivi basati solo su pattern noti rischiano di perdere terreno proprio dove la semantica del software conta di più.
Google aggiunge che non ci sono evidenze di un coinvolgimento diretto di un governo avversario in questo caso specifico.
Google sulla zero-day scoperta da LLM: si assottiglia il confine tra sperimentazione e uso operativo
Allo stesso tempo, però, GTIG segnala che attori legati a Cina e Corea del Nord stanno già esplorando l’uso dell’AI per vulnerability research e sviluppo di exploit, anche con prompt ripetuti, dataset specializzati e workflow più automatizzati.
Questo vuol dire che il confine tra sperimentazione e uso operativo si sta assottigliando rapidamente.
Insomma, è la conferma di un timore già registrato. L’AI può già comprimere i tempi tra analisi del software, individuazione della falla e preparazione dell’exploit.
Se questa capacità si diffonde, la finestra a disposizione dei difensori per rilevare e contenere una zero-day rischia di ridursi ancora.
Il caso intercettato da Google arriva mentre il settore sta ancora misurando la portata di modelli come Claude Mythos, presentato da Anthropic ad aprile 2026 come un sistema con capacità eccezionali nell’individuazione di vulnerabilità, tanto da essere distribuito in modo molto limitato.
Se un lato di questa corsa mostra il potenziale difensivo dell’AI per trovare e correggere bug prima degli attaccanti, l’altro lato conferma che la stessa soglia tecnologica può essere riutilizzata in chiave offensiva.
È questo il vero cambio di scenario: una minaccia nuova, perché più veloce, più scalabile e più difficile da intercettare con strumenti pensati per avversari ancora largamente umani.
