Ieri mattina l'FBI non ha arrestato nessuno. Google ha pubblicato qualcosa di più inquietante: la prima prova documentata nella storia che un gruppo criminale ha usato l'intelligenza artificiale per sviluppare un exploit zero-day. Prima volta. Il Google Threat Intelligence Group (GTIG) ha identificato il codice Python dell'exploit e ne ha riconosciuto immediatamente la provenienza: docstrings eccessivamente educativi, un CVSS score allucinato che non esiste in nessun database, un formato da manuale che nessun developer umano scriverebbe mai così. L'AI ha firmato il proprio lavoro. L'attacco era diretto contro un popolare strumento di amministrazione web open-source, non identificato da Google, e avrebbe permesso a chiunque con credenziali valide di bypassare il 2FA. Non è andato a segno. Google ha lavorato con il vendor per patchare la vulnerabilità prima del lancio della campagna.
John Hultquist, chief analyst di GTIG, ha messo il punto fermo subito: «C'è l'idea sbagliata che la corsa alle vulnerabilità AI sia imminente. La realtà è che è già iniziata.» E poi ha aggiunto la parte che fa più rumore: «Per ogni zero-day che riusciamo a ricondurre all'AI, probabilmente ce ne sono molti altri là fuori.»
Come Google ha riconosciuto il codice AI-generato
Non è stato il tipo di vulnerabilità che buca i radar per definizione. Non era un memory corruption bug, non era un input sanitization failure. Era qualcosa di più sottile: un errore di logica semantica, una trust assumption hardcodata dallo sviluppatore originale che contraddiceva la logica di autenticazione dell'applicazione. Gli scanner tradizionali non lo avrebbero visto. Cercano crash, sink points, corruzione di memoria. Non leggono il codice come lo scriverebbe un developer, non cercano contraddizioni tra l'intenzione di design e l'implementazione. Gli LLM sì. Possono correlare intento con implementazione, trovare contraddizioni, far emergere errori logici latenti che sembrano corretti a qualsiasi tool automatizzato in circolazione.
A tradire l'attaccante è stato lo stile. Il codice Python conteneva commenti sovradimensionati, come se il modello stesse spiegando ogni riga a uno studente. Conteneva un CVSS score inventato, con un numero di versione che non esiste nei database CVE reali. Aveva la struttura pulita e simmetrica tipica degli output LLM, quella che un developer umano interromperebbe con variabili bruttissime e commenti in tre lingue diverse. GTIG ha alta confidenza che un modello AI abbia assistito sia alla scoperta che all'armarsi della vulnerabilità. L'AI usata non era Gemini. Non era Claude Mythos, il modello di Anthropic bloccato ad aprile 2026 proprio perché trovava vulnerabilità critiche a una velocità inaccettabile. Si ipotizza l'uso di OpenClaw o di un modello equivalente.
Non un incidente isolato: lo scenario più ampio del report GTIG
Il caso zero-day è un punto su una mappa più grande. Il report GTIG dell'11 maggio documenta un ecosistema di attività AI-assistite che copre attori statali e criminali in parallelo.
APT45, il gruppo militare nordcoreano, invia «migliaia di prompt ripetitivi» ai modelli AI per analizzare CVE in modo ricorsivo e validare proof-of-concept, costruendo un arsenale di exploit a scala industriale che sarebbe operativamente impraticabile senza AI. UNC2814, attore legato alla Cina, usa tecniche di jailbreak da "persona esperta" per spingere Gemini a cercare vulnerabilità di esecuzione remota nel firmware TP-Link e nei protocolli OFTP. APT27, sempre China-nexus, ha usato Gemini per sviluppare un'applicazione di gestione di rete per instradare traffico attraverso IP residenziali, un sistema di copertura difficile da smascherare.
Sul fronte criminale, i gruppi russi hanno distribuito le famiglie di malware CANFAIL e LONGSTREAM, entrambe imbottite di codice AI-generato usato come padding per confondere l'analisi dei ricercatori. Poi c'è PromptSpy: un backdoor Android identificato da ESET che chiama direttamente le Gemini API per navigare autonomamente il dispositivo infetto, interpretare lo schermo in tempo reale e determinare le azioni successive. Autonomo. Non teleguidato dall'attaccante ma diretto dal modello in risposta allo stato del sistema.
AI-Assisted Attack Timeline 2026
Come fanno gli hacker a usare l'AI per sviluppare exploit?
Il processo documentato da GTIG ha tre fasi. Nella prima, l'attaccante fornisce al modello il codice sorgente del sistema target o la documentazione pubblica, e chiede di identificare possibili superfici di attacco logiche, non solo di tipo classico (buffer overflow, injection).
Gli LLM sono in grado di leggere il codice come fa uno sviluppatore: capiscono l'intenzione, confrontano intenzione e implementazione, e individuano dove i due divergono. Nella seconda fase, il modello genera un proof-of-concept in Python con codice strutturato, commentato e funzionale, con l'unica differenza rispetto a un developer umano che i commenti sono troppo didattici e il CVSS score è inventato.
Nella terza fase, l'attaccante testa il PoC in ambienti controllati, eventualmente usa strumenti agentici come OpenClaw per automatizzare la validazione, e prepara il payload finale. Il tutto in ore, non in settimane. APT45 nordcoreano usa esattamente questa pipeline: migliaia di prompt ripetitivi che analizzano CVE in parallelo e validano PoC automaticamente. Il costo operativo si abbassa, la scala aumenta. Per capire come questa dinamica si intreccia con gli agenti AI che operano già in modo autonomo nel crypto, il punto di connessione è LiteLLM.
LiteLLM, wallet crypto e il rischio che molti non hanno ancora considerato
LiteLLM è la libreria che connette le applicazioni software ai provider di modelli AI. Se usi un agente AI che gestisce un exchange, un wallet, un monitor di portafoglio o qualsiasi sistema che interagisce con API crypto, c'è una probabilità concreta che LiteLLM sia nel mezzo.
TeamPCP lo ha compromesso a marzo 2026 attraverso pacchetti PyPI avvelenati. Il credential stealer SANDCLOCK ha estratto chiavi AWS e token GitHub direttamente dagli ambienti di build. Chi aveva integrato la versione compromessa di LiteLLM nei propri sistemi potenzialmente ha esposto le API keys degli exchange, i webhook, e ogni segreto configurato nell'ambiente di CI/CD. GTIG lo descrive come il pattern emergente: i modelli frontier sono difficili da compromettere direttamente. I connettori, i wrapper e i layer API che ci girano attorno non lo sono. Per chi gestisce agenti AI che effettuano pagamenti autonomi in crypto, la supply chain delle dipendenze AI è diventata parte della superficie di attacco tanto quanto il wallet stesso.
L'IMF ha pubblicato il 7 maggio una dichiarazione esplicita: la sicurezza informatica nell'era AI è una questione di stabilità finanziaria sistemica, non più solo un problema tecnico da delegare ai reparti IT. Il NIST ha già standardizzato i primi algoritmi post-quantistici. Google usa Big Sleep e CodeMender per trovare e patchare vulnerabilità in modo automatico prima che lo facciano gli attaccanti. Il prossimo update del GTIG AI Threat Tracker, basato su Q3 2026, fotograferà quanto la capability trajectory è cresciuta da maggio in poi. Hultquist ha detto che la aspetta come un dato che cambierà la conversazione. La partita è iniziata prima di quanto chiunque pensasse.
