L'11 maggio 2026 il Google Threat Intelligence Group ha pubblicato un rapporto destinato a entrare nei manuali di sicurezza informatica: per la prima volta è stato documentato un caso in cui un gruppo di criminali ha usato un modello di intelligenza artificiale per costruire un zero-day, ossia una vulnerabilità sconosciuta al vendor, e lo ha integrato in uno strumento di attacco pronto per uno sfruttamento su larga scala. L'operazione è stata fermata dal team Big Sleep di Google DeepMind e Project Zero, che ha individuato il bug prima che venisse usato e lo ha comunicato al fornitore del software interessato.
Il bug e l'arma costruita intorno
Il difetto era un bypass dell'autenticazione a due fattori in una popolare piattaforma open source di amministrazione web, usata da hosting provider, piccole aziende e team IT di mezzo mondo. Significa che un attaccante poteva entrare nel pannello di amministrazione di un server fingendosi un utente legittimo, senza il secondo fattore. Il gruppo criminale aveva preparato un exploit completo, parametrico, già impacchettato in uno script Python pronto a colpire centinaia di migliaia di installazioni in pochi minuti: un classico evento di mass exploitation che, se andato a segno, avrebbe potuto trasformarsi in una campagna di ransomware o cryptomining su scala continentale.
Come Google ha capito che era opera di un'IA
Nel rapporto, Google scrive di avere "alta confidenza" sull'origine artificiale dell'exploit. Le prove sono tre. Primo, lo stile del codice: una formattazione "da manuale", indentazione e nomi delle variabili coerenti, l'uso di argparse ed eccezioni esplicite, con un tono pedagogico tipico delle risposte degli LLM. Secondo, gli abbondanti docstring educativi sui motivi di ogni passaggio, francamente strani in un exploit reale. Terzo, e quasi divertente, una allucinazione: il codice contiene un punteggio CVSS inventato, un dettaglio che un hacker umano non scriverebbe mai e che resta un'impronta digitale dei modelli quando "riempiono" un campo con un valore plausibile.
Big Sleep: la difesa che corre alla stessa velocità
L'altro protagonista della vicenda è Big Sleep, l'agente di scoperta vulnerabilità sviluppato da DeepMind insieme a Project Zero, presentato nel 2024 e progressivamente perfezionato. Big Sleep analizza in continuazione progetti open source diffusi, individua condizioni anomale, riproduce bug e suggerisce patch. Nel caso recente, l'agente ha trovato lo stesso difetto prima che venisse sfruttato pubblicamente: una corsa contro il tempo che Google, nel suo blog "Cloud CISO Perspectives", chiama proactive counter discovery. La differenza fra avere o non avere Big Sleep, nel caso specifico, è la differenza fra una campagna che parte e una che muore prima di nascere.
Cosa significa per le aziende italiane
Per i CISO italiani la lezione è precisa. Primo: i tempi di reazione si stanno comprimendo perché chi attacca può ora prototipare exploit con un LLM, anche se non è uno sviluppatore esperto. Secondo: i tool difensivi devono integrare modelli di ragionamento al pari di chi attacca, altrimenti il divario si amplia. Terzo: la patch governance, ossia la velocità con cui un'organizzazione applica gli aggiornamenti dei software open source che usa, diventa ancora più centrale, perché il margine di tolleranza fra disclosure e exploit pubblico si riduce a poche ore. Non a caso, nello stesso giorno della rivelazione di Google, il governo USA ha annunciato l'estensione del programma con cui testerà i modelli di Microsoft, Google e xAI prima del rilascio per ridurre il rischio che capacità offensive arrivino al pubblico senza filtri.
Sul piano regolatorio, la vicenda alimenta le discussioni sull'AI Act: la Commissione potrebbe spingere per linee guida specifiche sulle capacità duali e per obblighi di reporting più stringenti quando un modello viene usato per produrre codice di attacco. È in questo contesto che ieri OpenAI ha sbloccato l'accesso a GPT-5.5-Cyber per la UE.
Il segnale agli altri attori
Il rapporto di Google parla anche di tentativi di gruppi statali: APT45 della Corea del Nord avrebbe usato modelli per validare migliaia di exploit, e attori cinesi sperimentano in modo simile. La differenza, per ora, è che gli attaccanti criminali "di mercato" sono i primi a tradurre la capacità di un LLM in un'azione di guadagno immediata: il ransomware su scala. Big Sleep ha fermato il primo caso; nessuno crede che sarà l'ultimo.
