Anthropic ha appena pubblicato qualcosa che fa girare la testa. Hanno mappato 832 account bannati per attività cyber malevole tra marzo 2025 e marzo 2026, incrociandoli con MITRE ATT&CK — il database che da anni cataloga tattiche e tecniche degli attaccanti. E no, non è l’ennesimo report che dice ‘l’AI è pericolosa’. Questa volta i numeri raccontano come sta cambiando il gioco.
Tre conclusioni, tutte scomode.
L’AI non serve più solo per scrivere malware
Certo, la maggioranza degli attaccanti (560 su 832, il 67,3%) usa ancora l’AI per preparare l’attacco — scrivere malware, preparare phishing, roba del genere. Ma il dato interessante è un altro: 54 attori (6,5%) hanno usato l’AI per il lateral movement. Tradotto: navigare dentro una rete già compromessa, spostarsi tra sistemi, scalare privilegi. Roba che fino a ieri richiedeva competenze tecniche serie.
E qui arriva il primo problema. Nel primo semestre dell’analisi, il 33% degli attori era classificato come ‘rischio medio o superiore’. Sei mesi dopo? 56%. Un aumento del 70% circa. Non è un caso: l’uso dell’AI si è spostato dalle tecniche di accesso iniziale verso attività post-compromissione. L’account discovery — trovare credenziali valide dentro un sistema violato — è salita dell’8,9%. Il phishing assistito da AI è sceso dell’8,6%.
Cosa significa? Che l’AI sta democratizzando tecniche che prima erano riservate agli attori più sofisticati. E questo rompe il modo in cui valutiamo il rischio.
I vecchi segnali di rischio non funzionano più
Come fa un team di sicurezza a capire quanto è pericoloso un attaccante? Tradizionalmente: guardi quante tecniche diverse usa, che strumenti ha, se lavora via API o via chat. Il problema? Questi segnali non valgono più nulla.
Gli attori meno skillati nel dataset di Anthropic usavano in media 16 tecniche distinte. I più skillati? 20. Praticamente indistinguibili. Anche la piattaforma usata — Claude Code, API, interfaccia chat — non correlava col livello di rischio.
Quello che ancora aiuta è capire dove applicano l’AI nel ciclo d’attacco. Gli attori ad alto rischio la usano per compiti operativamente complessi: scoprire account, muoversi lateralmente, scalare privilegi. Non solo per entrare, ma per restare e agire. Ma anche questo segnale sta erodendo: sempre più attori si stanno spostando verso quelle tecniche.
Il vero differenziatore? L’architettura che costruiscono attorno al modello. Gli attori più pericolosi progettano sistemi che permettono all’AI di concatenare fasi discrete dell’attacco ed eseguirle con minimo input umano. Automazione agentiva, insomma.
MITRE ATT&CK non cattura l’agenticità
Ricordate l’operazione di cyber spionaggio sponsorizzata da uno stato che Anthropic ha interrotto a novembre 2025? L’attore aveva manipolato Claude Code per infiltrare target in tutto il mondo, quasi senza intervento umano. Mappato su MITRE ATT&CK: 30 tecniche su 13 tattiche. Suona come un attore medio, vero?
Sbagliato. Il sistema di risk scoring di Anthropic gli ha dato 100 su 100. Perché? Perché il modello agiva come agente autonomo: eseguiva comandi, sfruttava vulnerabilità, rubava credenziali, prendeva decisioni tattiche. Richiedeva input umano solo in pochi momenti chiave.
E qui il problema: non esiste un ATT&CK ID per l’orchestrazione agentiva. Eppure sono esattamente questi i comportamenti che vedremo esplodere man mano che gli agenti AI diventano più capaci.
Cosa cambia ora
Anthropic dice che questi dati hanno informato le difese integrate nei loro modelli. Hanno sviluppato safeguard cyber sui modelli più capaci per rilevare e bloccare attività come sviluppo di malware o esfiltrazione massiva di dati. Stanno anche parlando con MITRE per evolvere il framework ATT&CK e includere i comportamenti AI-enabled che hanno osservato.
Sul loro blog del Frontier Red Team hanno pubblicato una visualizzazione interattiva delle tecniche usate dagli attaccanti. L’idea è aiutare i difensori a stare avanti. Perché sì, i modelli frontier stanno cambiando rapidamente gli strumenti a disposizione di attaccanti e difensori. E l’obiettivo dichiarato è mettere gli strumenti più potenti nelle mani dei difensori per primi.
Vedremo. Nel frattempo, una certezza: i vecchi framework non bastano più. E la distanza tra attaccante esperto e attaccante improvvisato si sta assottigliando in modo preoccupante.
