Per la prima volta documentata, criminali informatici hanno usato un modello linguistico per scoprire e armare una vulnerabilità zero-day. L'annuncio è arrivato lunedì 11 maggio 2026 dal Google Threat Intelligence Group (GTIG), che ha pubblicato il report Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access. Il documento racconta come un gruppo cybercrime, etichettato come UNC4899, abbia tentato un attacco di massa contro un popolare progetto open source in Python sfruttando un bug ancora ignoto al maintainer.
Come ha funzionato l'attacco con OpenClaw
Secondo le ricostruzioni di Bloomberg e di The Register, il gruppo ha utilizzato un modello LLM open weight chiamato OpenClaw, basato su DeepSeek-V3.2 e specializzato in audit di codice tramite fine tuning sul dataset CVE Explained. Il modello è girato in locale, su una infrastruttura non collegata a fornitori cloud occidentali, ed ha analizzato decine di migliaia di repository GitHub alla ricerca di pattern di vulnerabilità logiche.
L'output di OpenClaw ha identificato uno script Python responsabile della generazione di codici TOTP in un widget di autenticazione a due fattori usato in produzione da centinaia di servizi. Il bug, ora corretto e identificato come CVE-2026-30417, permetteva di ricostruire il seed condiviso a partire da una manciata di codici legittimi consecutivi. Una volta ottenuto il seed, il gruppo poteva generare codici 2FA validi senza accesso al telefono della vittima, di fatto annullando la protezione.
Cosa ha bloccato il mass exploitation
GTIG è intervenuto due settimane prima dell'esecuzione pianificata. Secondo il dirigente John Hultquist, chief analyst del gruppo, l'attacco era organizzato come infrastruttura di credential stuffing automatizzata: una volta validati gli account, sarebbero stati riutilizzati per scalare verso servizi bancari e cloud aziendali. Il blocco è avvenuto grazie a un'attività di monitoraggio di canali Telegram in lingua russa dove il gruppo cercava acquirenti dell'exploit.
Google ha condiviso il dettaglio del bug con il maintainer del progetto open source il 28 aprile, ottenuto una patch privata il 2 maggio e atteso la pubblicazione coordinata l'11 maggio per disclosure. Hultquist riassume così il significato: «C'è un equivoco diffuso secondo cui la corsa alle vulnerabilità con l'IA sia imminente. La realtà è che è già iniziata».
Il quadro più ampio: APT45, Cina e modelli open
Il report non si limita all'episodio. GTIG documenta che APT45, il gruppo legato all'esercito nordcoreano già noto per il malware Andariel, sta usando LLM per validare in automatico migliaia di exploit contro vulnerabilità note. Lo schema è semplice: il modello prende un CVE, propone una proof-of-concept e ne testa la riuscita su un cluster di macchine virtuali. La velocità di sviluppo di exploit per CVE pubblici sarebbe passata da 11 a 1,5 giorni medi nei primi mesi del 2026.
Sul fronte cinese, GTIG segnala che attori statali stanno chiedendo a modelli interni di ipotizzare scenari di accesso iniziale a banche dati di logistica e farmaceutica statunitense. L'aspetto più problematico è che molti di questi modelli sono versioni distillate di pesi open source occidentali e cinesi, e quindi non riconducibili a un singolo fornitore con cui interfacciarsi per restrizioni.
Cosa fare se sviluppi o gestisci servizi
Per chi mantiene progetti open source, la lezione è immediata: auditing automatizzato del codice via LLM non è più un'opzione, ma una difesa minima. GitHub Advanced Security ha annunciato il 14 maggio l'estensione gratuita di Copilot Autofix anche per i repository pubblici di organizzazioni non-profit. Allo stesso modo, Anthropic ha pubblicato uno script di esempio in Claude Code per eseguire scansioni notturne su dipendenze Python e Node.
Per le aziende che usano 2FA, GTIG suggerisce di migrare verso passkey hardware o WebAuthn entro fine anno, in particolare per accessi privilegiati. Le soluzioni TOTP basate su seed condivisi restano vulnerabili se il client viene scritto male: per chi ha già un sistema in produzione, il consiglio è di ruotare i seed e introdurre rate limiting aggressivo sulle finestre di codice.
La nuova frontiera dell'AI offensiva è più rapida del previsto. La buona notizia è che la difesa, in questo caso, ha vinto la corsa contro il tempo. La meno buona è che la prossima volta il margine sarà più stretto: come ha scritto Sandra Joyce, vicepresidente di Mandiant, nel post di accompagnamento al report, «il valore di scoprire un bug prima degli attaccanti dipenderà sempre più dalla potenza di calcolo che ciascuno schieramento riesce a mettere in campo».
