Per la prima volta nella storia della cybersecurity, un threat actor ha sviluppato un exploit zero-day con l’aiuto dell’intelligenza artificiale. Non è teoria, non è speculazione da convegno — è successo davvero. E Google Threat Intelligence Group l’ha intercettato giusto in tempo.
Il rapporto di maggio 2026 del GTIG arriva con una notizia che fa riflettere: un gruppo cybercriminale stava pianificando un’operazione di mass exploitation usando una vulnerabilità scoperta e weaponizzata tramite AI. L’exploit, scritto in Python, bypassa l’autenticazione a due fattori di un popolare tool open-source di amministrazione web. Dettaglio non banale: Google ha alta confidenza che sia stato un modello di linguaggio a fare il lavoro sporco.
Come si riconosce un exploit scritto dall’AI
La firma c’è, ed è inequivocabile. Lo script contiene docstring educative ovunque, un punteggio CVSS allucinato (sì, inventato dal modello), menu di aiuto dettagliati e quella struttura Pythonic da manuale che urlano ‘training data di un LLM’. Persino la classe _C ANSI color è lì, pulita e inutile come solo un’AI sa fare quando vuole sembrare professionale.
Ma la parte interessante non è lo stile. È il tipo di vulnerabilità che ha trovato.
Non si tratta di memory corruption o input sanitization fallita — roba che i fuzzer e gli static analyzer beccano da anni. Questa è una logic flaw semantica di alto livello: uno sviluppatore ha hardcodato un’assunzione di fiducia nel codice, e il modello l’ha individuata leggendo l”intento’ del developer. I modelli di frontiera eccellono proprio in questo: correlano la logica di enforcement del 2FA con le contraddizioni delle sue eccezioni hardcoded. Trovano errori dormienti che sembrano funzionalmente corretti ma sono strategicamente rotti dal punto di vista della sicurezza.
L’AI non è solo un tool, è diventata l’attacco stesso
Il report di Google non si ferma agli exploit. Traccia un’evoluzione che chi lavora nella security dovrebbe studiare bene: l’AI non è più solo un assistente che scrive codice più velocemente. È diventata parte dell’infrastruttura offensiva.
Prendiamo PROMPTSPY, un backdoor Android già noto ma che GTIG ha analizzato a fondo rivelando capacità inedite. Il malware usa le API di Gemini non solo per persistere (pinnando l’app nella lista ‘recenti’ tramite navigazione automatica dell’UI), ma per orchestrare autonomamente l’intera interazione con il dispositivo vittima. Il modulo ‘GeminiAutomationAgent’ serializza la gerarchia dell’interfaccia utente in formato XML, la invia a gemini-2.5-flash-lite, e riceve indietro coordinate spaziali e action type in JSON. Il malware le interpreta e simula gesture fisiche: click, swipe, tutto senza supervisione umana.
Tradotto: il malware ‘vede’ lo schermo tramite l’API di accessibilità, chiede all’AI cosa fare, e agisce. Autonomia operativa completa. Se provate a disinstallarlo, un overlay invisibile blocca il tap sul pulsante ‘Uninstall’. Se il dispositivo va in idle, Firebase Cloud Messaging lo risveglia. E se Google blocca l’infrastruttura? Nessun problema: C2, API key Gemini e relay VNC sono aggiornabili a runtime via canale C2.
Android users con Google Play Services sono protetti automaticamente da Play Protect. Ma il punto non è questo specifico malware — è il pattern.
Obfuscation generata on-demand e reti ORB gestite dall’AI
Abbiamo poi famiglie come CANFAIL e LONGSTREAM, malware legati ad attività Russia-nexus contro organizzazioni ucraine. Il codice è pieno di commenti lasciati dal modello che dichiarano esplicitamente ‘questo blocco non è usato, è filler’. Decoy logic generata intenzionalmente per camuffare la vera funzione malevola. LONGSTREAM interroga 32 volte lo stato del daylight saving — task amministrative coerenti ma inerti, inserite per sembrare benigne.
APT27, gruppo PRC-nexus, ha usato Gemini per accelerare lo sviluppo di un tool di fleet management per reti ORB (operational relay box). Il parametro ‘maxHops’ è hardcodato a 3 hop — segno inequivocabile di una rete di anonimizzazione, non una VPN (che usa 1 hop). Il tool supporta MOBILE_WIFI e ROUTER come device type, suggerendo l’uso di SIM 4G/5G per IP residenziali e offuscamento della vera origine dell’intrusione.
Supply chain: il vettore preferito (per ora)
I modelli di frontiera restano difficili da compromettere direttamente. Quindi i threat actor hanno fatto quello che sanno fare meglio: hanno attaccato la supply chain. TeamPCP (aka UNC6780) ha compromesso repository GitHub popolari come Trivy, Checkmarx, LiteLLM e BerriAI, iniettando il credential stealer SANDCLOCK tramite package PyPI malevoli e pull request. Le credenziali rubate — chiavi AWS, token GitHub — sono state monetizzate tramite partnership con gruppi ransomware.
Il caso LiteLLM è emblematico. È un AI gateway usato per integrare più provider LLM. Compromettere quel package significa potenzialmente esporre i secret API di chissà quanti victim environment, che possono essere usati per accesso ulteriore o per sfruttare direttamente i sistemi AI interni delle vittime: riconoscimento automatico, esfiltrazione di dati sensibili, movimento laterale.
Anche OpenClaw, l’ecosistema di agent AI, è finito nel mirino. VirusTotal ha riportato skill malevole distribuite come package legittimi, contenenti routine nascoste per eseguire codice non autorizzato. Dato che OpenClaw gira con privilegi elevati, una skill malevola può fare praticamente tutto: eseguire codice, scaricare payload, esfiltrare dati locali. OpenClaw ha ora integrato VirusTotal Code Insight direttamente in ClawHub, la sua marketplace, per scannerizzare ogni skill pubblicata.
Accesso scalabile e anonimizzato: l’industria dell’abuso LLM
Non si tratta più di un attore che prova a farsi un account ChatGPT. Siamo a livello industriale. UNC6201 (PRC-nexus) ha usato script Python su GitHub che automatizzano l’intero workflow: registrazione account premium LLM, bypass CAPTCHA, verifica SMS, conferma stato, cancellazione immediata. Trial abuse programmatico per ottenere capacità di tier alto senza pagare.
UNC5673, altro cluster PRC con overlap su TEMP.Hex, usa tool come ‘Claude-Relay-Service’ per aggregare account multipli (Gemini, Claude, OpenAI) in un’unica interfaccia — account pooling e condivisione costi. ‘CLI-Proxy-API’ fa lo stesso: proxy server che fornisce interfacce compatibili per vari modelli, mascherando pattern di traffico individuale dal monitoring di sicurezza.
Anti-detect browser come Roxy isolano fingerprint e signature hardware per evadere rilevamento bot. Management center come CLIProxyAPI ManagementCenter orchestrano accesso distribuito su centinaia di account compromessi o ruotati. È un ecosistema completo.
Cosa stanno facendo i provider
Google analizza i dati di infrastruttura di rete associati agli aggregatori API per costruire logica di signal detection. Gli account malevoli vengono disabilitati. Le modifiche ai classificatori e ai modelli stessi vengono implementate in modo agile per prevenire ulteriore misuse. DeepMind sviluppa threat model specifici per AI generativa, framework di evaluation automatica, tecniche di red teaming contro prompt injection indiretta.
E poi c’è Big Sleep, l’agent AI di Google DeepMind e Project Zero che cerca vulnerabilità sconosciute in modo autonomo. Ha già trovato la sua prima vulnerabilità reale e ha assistito nel trovare una vulnerability che stava per essere usata dai threat actor — quella che GTIG ha bloccato prima dell’attacco. CodeMender, altro esperimento, usa le capacità di reasoning avanzate di Gemini per patchare automaticamente le vulnerabilità critiche.
Information operations: deepfake audio e video manipolati
Sul fronte IO, attori russi, iraniani, cinesi e sauditi usano AI per satira politica, localizzazione contenuti, e generazione asset. ‘Operation Overload’, campagna pro-Russia, ha usato voice cloning AI per impersonare giornalisti reali. Video autentici manipolati con montaggi e audio fabbricato per veicolare messaggi falsi. La corrispondenza vocale stretta suggerisce strumenti AI, anche se GTIG non ha ancora trovato contenuto generato in produzione che rappresenti un breakthrough capacitivo reale per le campagne IO.
Il quadro tattico: MITRE ATLAS e ATT&CK
Il report include mapping completo su MITRE ATLAS e ATT&CK. Alcune procedure osservate: APT45 invia migliaia di prompt ripetitivi che analizzano ricorsivamente CVE diversi e validano PoC exploit — automazione e scaled research. UNC2814 usa persona prompting avanzato, dirigendo il modello ad agire come ‘senior security auditor’ o ‘C/C++ binary security expert’ per analizzare firmware TP-Link e implementazioni Odette File Transfer Protocol. Sperimentano con repository specializzati come ‘wooyun-legacy’, plugin per Claude che integra una knowledge base di oltre 85.000 casi di vulnerabilità reali raccolti dalla piattaforma bug bounty cinese WooYun tra 2010 e 2016. Priming del modello con dati di vulnerabilità per facilitare in-context learning e far approcciare l’analisi codice come un esperto esperto.
Tool agentic come Hexstrike (con sistema di memoria Graphiti, un temporal knowledge graph) e Strix (framework multi-agent per penetration testing) vengono schierati contro aziende tech giapponesi e piattaforme cybersecurity est-asiatiche. L’agent pivota autonomamente tra subfinder e httpx basandosi su reasoning interno. Automazione completa di discovery e validazione vulnerabilità.
Cosa significa tutto questo
Che l’AI è contemporaneamente motore sofisticato per operazioni avversarie e target ad alto valore. I modelli di frontiera restano resilienti, ma i layer di orchestrazione — wrapper open-source, API connector, file di configurazione skill — sono vulnerabili. La barriera d’ingresso per operazioni complesse multi-stage si abbassa. Il capitale umano degli attori si concentra su elementi strategici di alto livello mentre l’AI gestisce task operativi a velocità macchina.
Google condivide finding e mitigazioni con la security community. Il Secure AI Framework (SAIF) fornisce toolkit per developer, best practice per implementare safeguard, valutare model safety, fare red teaming, e approcci comprehensivi contro prompt injection. La Coalition for Secure AI (CoSAI) aggrega partnership industriali per protezioni più forti.
Il futuro? È già qui. Gli attaccanti non si tirano indietro dalla sperimentazione. E nemmeno Google.
