L’intelligenza artificiale sta modificando in modo irreversibile la natura degli attacchi informatici. Se fino a pochi mesi fa i modelli linguistici venivano impiegati principalmente come strumenti di supporto, per accelerare la scrittura di codice, la raccolta di informazioni o l’analisi di vulnerabilità, oggi il loro ruolo sta cambiando qualitativamente.
Non si tratta più soltanto di automazione, ma di vera e propria delega operativa. L’AI non assiste più l’attaccante: inizia a sostituirlo in alcune fasi della catena d’attacco.
Questa trasformazione è stata anticipata da diversi report di settore, ma negli ultimi mesi ha trovato riscontri concreti in incidenti reali, segnando un punto di svolta nella storia della cyber security.
Indice degli argomenti
Dall’uso “strumentale” dell’AI al cyber spionaggio assistito
Nel 2025 Anthropic ha pubblicato uno dei primi avvisi strutturati sull’uso offensivo dei propri modelli da parte di attori state-sponsored. L’azienda ha documentato campagne attribuite a gruppi legati alla Cina che sfruttavano il suo modello Claude per supportare attività di cyber spionaggio e intelligence.
“A metà settembre 2025, abbiamo rilevato attività sospette che le indagini successive hanno determinato essere una campagna di spionaggio altamente sofisticata. Gli aggressori hanno utilizzato le capacità “agente” dell’IA a un livello senza precedenti, usando l’IA non solo come consulente, ma per eseguire direttamente gli attacchi informatici.” riporta il rapporto di Anthropic. “L’attore della minaccia, che valutiamo con elevata certezza essere un gruppo sponsorizzato dallo stato cinese, ha manipolato il nostro strumento Claude Code per tentare l’infiltrazione in circa trenta obiettivi globali e ci è riuscito in un piccolo numero di casi”.
In questa fase, l’AI non era ancora autonoma. Il suo ruolo era quello di acceleratore cognitivo: analisi di target, traduzione di contenuti, generazione di script e supporto alla pianificazione. Come evidenziato più volte, mancava la componente strategica dell’attacco.
Tuttavia, già allora emergeva un elemento cruciale: la riduzione drastica della soglia di competenza necessaria per condurre operazioni sofisticate.
Ransomware, il salto qualitativo: l’emergere degli AI agent offensivi
La fase successiva è rappresentata dagli AI agent, sistemi capaci non solo di generare contenuti ma di interagire con ambienti esterni, API, sistemi operativi e infrastrutture cloud. Questo passaggio introduce una caratteristica fondamentale: la capacità di eseguire sequenze operative complesse in modo semi-autonomo.
Un caso emblematico è rappresentato dall’operazione denominata JADEPUFFER, analizzata dall’azienda di sicurezza Sysdig. Secondo il report, si tratterebbe della prima campagna ransomware end-to-end guidata da un modello linguistico.
L’agente ha compromesso un server vulnerabile, raccolto credenziali cloud, esplorato infrastrutture interne, compromesso servizi secondari, ottenuto privilegi elevati e infine cifrato e distrutto dati, senza intervento umano diretto.
La caratteristica più rilevante non è la singola tecnica, ma il comportamento adattivo del sistema.
Sysdig evidenzia come l’agente sia stato in grado di correggere autonomamente i propri errori operativi:
“L’intervallo tra il tentativo di accesso fallito e la corretta correzione in più fasi è di 31 secondi. Tale operazione consiste in 15 righe di codice coordinate: eliminazione, diagnosi, ricostruzione e reinserimento. Un operatore umano che legge un messaggio di errore, identifica la causa principale come un problema di PATH del sottoprocesso, redige uno script correttivo e lo invia impiega molto più di 31 secondi”, afferma Sysdig. “Lo stesso schema si ripete per tutta la sessione”.
Questo comportamento segna un cambio di paradigma: non più script statici, ma sistemi capaci di “ragionare” sul risultato delle proprie azioni.
Come l’AI può cambiare un attacco ransomware
Storicamente, un attacco ransomware richiedeva competenze specialistiche e una netta separazione tra fasi: accesso iniziale, escalation, movimento laterale, esfiltrazione e cifratura. Ogni fase implicava strumenti diversi e operatori distinti.
Con gli AI agent questa separazione si riduce drasticamente. Un singolo sistema può oggi individuare vulnerabilità pubbliche sfruttabili (CVE), sfruttarle automaticamente, raccogliere credenziali e token cloud, esplorare ambienti interni e identificare asset critici. Può inoltre esfiltrare dati, eseguire cifratura o distruzione delle informazioni e, infine, generare note di riscatto e gestire le comunicazioni legate all’estorsione.
La conseguenza è una compressione della cyber kill chain, che passa da un processo multi-attore a un flusso continuo automatizzato.
Mythos, Fable e la nuova generazione di modelli “agentici”
L’evoluzione dei modelli verso capacità agentiche è accelerata dall’emergere di sistemi sempre più orientati al ragionamento e all’uso di strumenti.
Modelli come Mythos e Fable, insieme ad altre architetture emergenti nel panorama dei LLM avanzati, rappresentano una tendenza chiara: la trasformazione del modello da semplice generatore di contenuti a componente centrale di sistemi decisionali complessi.
Questi modelli sono progettati per mantenere lo stato operativo su task articolati, utilizzare strumenti esterni come browser, API e terminali, pianificare sequenze di azioni multi-step, correggere dinamicamente errori e collaborare con altri agenti all’interno di workflow coordinati.
In ambito offensivo, ciò si traduce in una capacità potenziale di orchestrare campagne cyber end-to-end con minima supervisione umana.
Il rischio non è solo tecnico, ma strutturale: la possibilità di replicare intere TTP (Tactics, Techniques and Procedures) di gruppi APT in modo automatizzato.
Il contesto geopolitico: AI come moltiplicatore di potenza offensiva
La dimensione geopolitica è ormai inseparabile da quella tecnologica. Stati Uniti e Cina stanno investendo massicciamente nello sviluppo di modelli proprietari, con implicazioni dirette sul piano della sicurezza informatica.
Se i modelli occidentali sono sempre più regolati da policy di safety e controlli sull’uso dual-use, l’emergere di modelli cinesi ottimizzati per efficienza e autonomia operativa introduce un elemento di competizione asimmetrica.
In uno scenario di conflitto ibrido, un modello AI non è soltanto uno strumento software, ma un moltiplicatore di capacità:
- riduce il tempo necessario per operazioni di intrusione;
- abbassa la soglia di competenza tecnica;
- aumenta la scala delle campagne;
- automatizza il ciclo di attacco completo.
In questo contesto, la disponibilità di modelli meno vincolati da restrizioni etiche o normative può rappresentare un vantaggio strategico significativo per attori statali o para-statali.
Dalla sicurezza reattiva alla sicurezza adattiva
La conseguenza più importante di questa evoluzione è la crisi dei modelli difensivi tradizionali.
La sicurezza basata su signature, IOC statici o regole predefinite è sempre meno efficace contro attori che non seguono più pattern deterministici.
Gli AI agent possono modificare il proprio comportamento in tempo reale, adattandosi alle difese che incontrano lungo il percorso. Questo significa che non seguono più schemi fissi, ma possono generare continuamente varianti diverse delle stesse tecniche di attacco, rendendo più difficile il riconoscimento basato su firme o pattern statici. Inoltre, sono in grado di simulare il comportamento umano, replicando tempi, interazioni e modalità operative credibili per eludere i sistemi di detection.
Di fronte a questa evoluzione, diventa necessario un cambio di paradigma nella sicurezza. Le organizzazioni devono spostarsi verso modelli di detection comportamentale avanzata (User and Entity Behavior Analytics, UEBA), capaci di analizzare ciò che un utente o un sistema fa nel tempo e non solo ciò che è.
Serve, inoltre, una capacità di analisi delle anomalie in tempo reale, un controllo molto più rigoroso delle identità secondo principi di Zero Trust esteso e l’isolamento dei workload legati all’AI e dei sistemi CI/CD.
A questo si aggiunge la necessità di un monitoraggio continuo delle catene di supply chain software, oggi uno dei punti più esposti agli attacchi automatizzati.
L’ingresso nell’era degli attacchi autonomi
L’insieme delle evidenze disponibili indica un trend chiaro: l’intelligenza artificiale sta entrando in una fase sempre più operativa nei sistemi digitali complessi, con impatti che vanno oltre il solo ambito della sicurezza informatica.
Nel 2025 l’AI era principalmente uno strumento di supporto, utile per accelerare analisi, automazione e decisioni. Nel 2026 inizia a diventare un attore operativo, integrato in flussi di lavoro, infrastrutture e processi decisionali.
Nel prossimo futuro potrebbe evolvere in un agente autonomo capace di gestire intere sequenze operative in modo continuo, con livelli crescenti di autonomia.
Questo cambiamento non implica la scomparsa del fattore umano, ma una sua trasformazione: da esecutore diretto a supervisore di sistemi automatizzati sempre più complessi, con responsabilità spostate verso il controllo, la validazione e la governance dei processi.
La conseguenza più rilevante è che velocità, scala e complessità delle operazioni digitali, in ambito economico, industriale, informativo e anche di sicurezza, cresceranno più rapidamente della capacità di adattamento dei modelli tradizionali di gestione e controllo.
In questo scenario, la cyber security diventa solo una parte di un quadro più ampio: un elemento della resilienza digitale e organizzativa, strettamente legato alla stabilità operativa delle infrastrutture e, in ultima analisi, alla stabilità economica e geopolitica globale.









Partecipa alla community