Il Threat Intelligence Group di Google (GTIG) ha annunciato l'11 maggio di aver individuato il primo zero-day in natura sviluppato con il supporto di un modello di intelligenza artificiale. La vulnerabilita' colpiva un popolare strumento open-source di amministrazione web e, secondo gli analisti, era pronta per essere usata in un attacco di massa contro migliaia di sistemi.
L'episodio segna un punto di non ritorno. Per due anni le agenzie di sicurezza hanno parlato di IA come force multiplier per le difese, ma anche del rischio che diventasse uno strumento offensivo. Bloomberg riporta che e' la prima volta che Google trova una catena completa scoperta e armata grazie all'IA prima della pubblicazione di una patch.
La falla: un errore di logica nel controllo dei permessi
La vulnerabilita' permetteva di bypassare l'autenticazione a due fattori una volta in possesso di credenziali valide, prendendo il controllo dell'intera console di amministrazione. La radice tecnica era un errore semantico: uno sviluppatore aveva inserito un'assunzione di fiducia hardcoded che contraddiceva la policy di autenticazione del resto dell'applicazione. E' il tipo di bug che gli strumenti tradizionali di analisi statica raramente colgono, perche' richiede di capire il significato di un'intera funzione, non solo controllare pattern di codice.
Il GTIG non ha rivelato il nome del prodotto perche' la patch e' ancora in fase di distribuzione: rendere pubblica la falla anticiperebbe gli attaccanti rimasti senza accesso al codice di sfruttamento. La descrizione ("popolare strumento open-source di amministrazione web") fa pensare a software come Cockpit, Webmin o simili, in uso su milioni di server Linux.
Come gli attaccanti hanno usato il modello
Google non ha pubblicato il nome del modello sfruttato. Ha pero' detto due cose nette: i propri modelli Gemini non sono stati usati, e gli analisti hanno "alta confidenza" che un sistema di IA generativa abbia avuto un ruolo sia nella scoperta della vulnerabilita' sia nella creazione del codice di exploit. Negli ultimi mesi GTIG aveva documentato gruppi affiliati alla Repubblica Popolare Cinese e alla Corea del Nord che provavano jailbreak persona-based e dataset specializzati su exploit per piegare i modelli all'uso offensivo.
Il piano di attacco di massa fermato sul nascere
Secondo The Register, l'attore criminale stava preparando una campagna definita mass exploitation event: scansionare la rete per trovare tutte le istanze vulnerabili e bucarle prima che gli amministratori applicassero la patch. Sono le campagne che avevano caratterizzato l'epoca dei worm come Mirai o Hafnium, ora pero' costruite a costo zero da un piccolo gruppo invece che da una squadra specializzata di reverse engineer.
Il GTIG ha lavorato con il vendor del software per produrre la patch e con i provider cloud per bloccare gli indicatori di compromissione gia' individuati. CNBC scrive che la patch e' stata distribuita prima che si vedessero exploit nei log pubblici.
Cosa cambia per gli amministratori di sistema
Il consiglio operativo che gli analisti danno e' tre passi rapidi. Primo: aggiornare immediatamente qualunque tool di amministrazione web esposto su internet (Cockpit, Webmin, cPanel, Plesk, console Kubernetes pubbliche). Secondo: rivedere i log di accesso degli ultimi quattro mesi cercando login riusciti senza 2FA dove la 2FA era attiva. Terzo: ridurre la superficie di attacco mettendo dietro VPN o reverse proxy con allowlist tutto cio' che non deve essere pubblico.
Per i CISO la vera sfida e' un'altra: la finestra tra scoperta e sfruttamento massivo di una vulnerabilita' si sta restringendo drasticamente. Un ricercatore di sicurezza con un buon modello in mano puo' replicare in qualche ora un lavoro che un anno fa richiedeva una squadra di ingegneri per un mese. Il patch-Tuesday mensile non basta piu' per i servizi critici esposti.
La risposta degli USA: CAISI e test pre-rilascio
L'avviso di Google e' arrivato a pochi giorni di distanza dall'annuncio di Microsoft, Google e xAI di voler permettere al governo americano di testare i modelli prima del rilascio pubblico, tramite il Center for AI Standards and Innovation (CAISI). I tre laboratori si aggiungono a OpenAI e Anthropic, che gia' avevano un accordo simile rinegoziato di recente.
L'obiettivo dichiarato del CAISI e' proprio limitare il rischio che un modello di frontiera, ancora prima della disponibilita' pubblica, possa essere usato per ricerca offensiva su exploit, sintesi di armi biologiche o chimiche, attacchi alle infrastrutture critiche. Il caso del GTIG dimostra che lo scenario non e' piu' teorico.
Cosa fanno OpenAI e Anthropic
OpenAI a inizio mese ha rilasciato GPT-5.5-Cyber in preview a un piccolo gruppo di team di sicurezza verificati. L'idea e' usare un modello messo a punto su red team per accelerare il vulnerability hunting dei difensori. Anthropic, dal canto suo, ha presentato Claude Mythos Preview, un modello pubblicato in beta sui temi di sicurezza, e a marzo aveva annunciato Daybreak per la cybersicurezza difensiva con sconti per partner come CrowdStrike e Cloudflare.
La gara, in altre parole, va in entrambe le direzioni: chi attacca usa l'IA piu' in fretta, chi difende ci sta provando con strumenti specializzati. Il caso del GTIG e' un avviso a chiunque tenga su un server esposto un software open-source di amministrazione: la sicurezza basata sulla scarsa visibilita' del codice non e' mai stata un buon piano. Adesso e' un piano da incubo.
