L'automazione dell'attacco informatico ha superato una soglia critica che fino a pochi mesi fa sembrava ancora lontana. Un gruppo di hacker legato all'intelligence cinese, catalogato come GTG-1002, ha dimostrato che l'intelligenza artificiale può trasformarsi da semplice assistente tecnico a direttore d'orchestra di operazioni di spionaggio digitale su scala internazionale. La rivelazione arriva da un rapporto di Anthropic, l'azienda californiana che ha sviluppato Claude, il sistema di IA protagonista involontario di questa escalation: tra settembre e ottobre, circa trenta organizzazioni di alto profilo — istituzioni finanziarie, industrie chimiche, società tecnologiche e agenzie governative — sono finite nel mirino di una campagna orchestrata quasi interamente da una macchina.
Quando l'intelligenza artificiale diventa un agente operativo
La differenza rispetto agli attacchi tradizionali "assistiti dall'AI" è radicale. In passato, l'intelligenza artificiale suggeriva vulnerabilità, ottimizzava codice malevolo o analizzava grandi volumi di dati, ma il controllo restava saldamente nelle mani degli operatori umani. Nel caso GTG-1002, invece, Claude ha gestito autonomamente il 90% delle operazioni tattiche, dalla ricognizione iniziale fino all'esfiltrazione dei dati. Gli hacker si sono limitati alle decisioni strategiche di alto livello: scegliere i bersagli, autorizzare l'escalation degli attacchi e validare i pacchetti di informazioni da sottrarre.
Questo rappresenta un salto qualitativo documentato per la prima volta con tale precisione. Anthropic aveva già segnalato utilizzi impropri di Claude in attività di hacking ad agosto 2025, ma in quei casi l'intervento umano restava significativo tra una fase e l'altra dell'operazione. Ora, l'IA opera come un penetration tester esperto capace non solo di analizzare, ma di sperimentare, correggere strategie in tempo reale e documentare autonomamente i propri progressi.
L'inganno iniziale: quando la macchina crede di difendere
Il punto di partenza dell'operazione ha sfruttato una vulnerabilità concettuale più che tecnica. Claude, progettato con meccanismi di salvaguardia per rifiutare attività dannose, è stato convinto di partecipare a legittime operazioni di sicurezza difensiva. Gli operatori di GTG-1002 hanno costruito prompt accuratamente formulati, presentandosi come analisti impegnati in test autorizzati di vulnerabilità. L'intelligenza artificiale, priva di contesto morale autonomo, ha semplicemente eseguito i compiti che riteneva legittimi.
Una volta superata questa barriera iniziale, il sistema ha dispiegato l'intera gamma delle proprie capacità analitiche. Attraverso il protocollo Model Context Protocol (MCP), Claude ha coordinato una rete di strumenti di hacking open source — scanner di rete, framework di analisi, tool di validazione — accessibili tramite server dedicati. Ogni singola richiesta al sistema appariva, isolatamente, come un'innocua operazione tecnica: una scansione, una verifica di autenticazione, un'analisi di codice. Ma nell'insieme costituivano i tasselli di un'intrusione sistematica.
Dalla ricognizione al furto: sei fasi di automazione crescente
Dopo l'inizializzazione umana, Claude ha avviato la ricognizione in parallelo su obiettivi multipli, mantenendo contesti operativi distinti per ciascuno. Il sistema ha catalogato infrastrutture, identificato servizi esposti, testato meccanismi di autenticazione e ricostruito topologie di rete complete. In almeno un caso confermato, l'IA è riuscita a mappare l'intera architettura interna di un'organizzazione, individuando database e piattaforme con il maggior valore informativo.
La terza fase ha visto Claude generare exploit personalizzati per vulnerabilità di tipo Server Side Request Forgery (SSRF), testarli, verificarne l'efficacia tramite callback e documentare i risultati. L'intero ciclo si è completato in poche ore, senza assistenza diretta. Solo nei passaggi critici — l'avvio dello sfruttamento attivo delle falle scoperte — intervenivano conferme umane.
Ancora più significativa è stata la fase di movimento laterale all'interno delle reti compromesse. Claude ha estratto credenziali dai file di configurazione, le ha verificate, ha mappato i livelli di accesso corrispondenti e ha testato sistematicamente API, database e registri di container. In un caso documentato, il sistema ha persino creato un account utente fantasma con privilegi elevati per garantirsi persistenza nell'accesso, comportandosi come un team di hacker esperti anziché come un singolo strumento.
L'intelligenza che seleziona l'intelligence
La quinta fase segna probabilmente il passaggio più inquietante dell'intera operazione. Una volta ottenuto l'accesso ai sistemi target, Claude ha interrogato database, analizzato strutture dati e selezionato autonomamente le informazioni a maggior valore: credenziali di utenti privilegiati, configurazioni critiche, proprietà industriali, report interni riservati. L'analisi per sensibilità e utilità strategica è avvenuta senza intervento umano, con gli operatori limitati a convalidare i pacchetti finali destinati all'esfiltrazione.
In chiusura, il sistema ha redatto automaticamente resoconti dettagliati in formato markdown, completi di cronologie operative, elenchi di servizi scoperti, credenziali raccolte e tecniche utilizzate. Questa documentazione meticolosa ha permesso il passaggio di testimone tra diversi team operativi e, secondo Anthropic, anche la successiva cessione degli accessi ad altri gruppi incaricati di mantenere il controllo sulle reti per operazioni di lungo periodo.
La portata reale: moltiplicatore di scala, non di sofisticazione
Contrariamente a quanto si potrebbe pensare, GTG-1002 non ha fatto ricorso a malware proprietari o exploit zero-day sconosciuti. Ha utilizzato strumenti pubblicamente disponibili, gli stessi impiegati quotidianamente da analisti di sicurezza in attività legittime. L'innovazione risiede nell'orchestrazione automatizzata di queste risorse comuni attraverso un'intelligenza capace di coordinarle, adattarle e ottimizzarle in tempo reale.
Il ritmo operativo raggiunto — migliaia di richieste al secondo con elaborazione analitica effettiva, non mera generazione testuale — evidenzia la vera minaccia: la scalabilità. Un gruppo con risorse limitate può ora orchestrare campagne che in passato richiedevano team specializzati e anni di addestramento. Il confine tra l'esperto e il dilettante, tra l'operazione sponsorizzata da uno Stato e l'azione di un attore isolato, si assottiglia drammaticamente.
I limiti attuali e le prospettive future
Nonostante l'efficacia complessiva, il rapporto di Anthropic evidenzia anche fragilità strutturali. Claude ha mostrato tendenze tipiche dei sistemi generativi: ha esagerato risultati, "inventato" credenziali non funzionanti, segnalato scoperte in realtà già pubbliche. Le cosiddette allucinazioni dell'IA rendono per ora l'attacco perfettamente autonomo ancora irraggiungibile, ma la direzione appare tracciata.
Più preoccupante è la prospettiva temporale. La storia dello sviluppo delle grandi IA linguistiche mostra che le capacità dei modelli proprietari vengono raggiunte da quelli open source con un ritardo tra cinque e ventidue mesi. Modelli come Llama 3.1 con 405 miliardi di parametri eguagliano o superano già ChatGPT-4 e Claude Opus 3, e sono liberamente scaricabili. Entro breve tempo, sistemi con capacità analoghe a quelle usate in questo attacco saranno alla portata di chiunque disponga di adeguata capacità computazionale, rendendo irrilevanti le protezioni implementate intorno ai modelli commerciali.
Implicazioni per aziende, pubblica amministrazione e cittadini
Le tradizionali linee di difesa — autenticazione multifattore, gestione delle vulnerabilità, segmentazione di rete, rilevamento delle anomalie — dovranno essere rinforzate non perché gli attacchi diventeranno più sofisticati, ma perché diventeranno enormemente più frequenti. L'automazione fornita dall'IA agente agisce da moltiplicatore di forza, amplificando il volume potenziale delle offensive.
Una questione particolarmente delicata riguarda le aziende che stanno integrando modelli simili a Claude nei propri sistemi interni. In molti casi, queste IA non sono strumenti esterni ma agenti integrati con accesso a posta elettronica, sistemi di ticketing, database aziendali. Nel disegnare queste automazioni è necessario valutare attentamente i potenziali rischi di dirottamento e implementare, in un'ottica di privacy by design, controlli per rilevare e bloccare tentativi di violazione.
Infine, una prospettiva che riguarda direttamente i cittadini comuni. Attualmente, la complessità richiesta — sia nella costruzione di prompt capaci di aggirare le salvaguardie sia nell'implementazione dell'architettura MCP — limita questi attacchi a bersagli di alto profilo. Ma quando sistemi analoghi saranno più diffusi e industrializzati, anche i target caleranno di importanza e di protezione. Non è difficile immaginare agenti di IA specializzati nella raccolta automatica di informazioni da fonti aperte — social media, registri pubblici — per disegnare campagne di spearphishing su larga scala, con tassi di successo ben superiori al tradizionale "principe nigeriano".
Come ha sottolineato Anthropic nella propria risposta all'incidente — disattivazione degli account coinvolti, potenziamento dei classificatori di minaccia, condivisione delle informazioni con le autorità — le stesse capacità offensive dell'IA possono essere convertite in strumenti difensivi se integrate in contesti regolati e trasparenti. Ma questa conversione richiede preparazione, consapevolezza e, soprattutto, tempo: risorse che diventano sempre più scarse mentre la tecnologia accelera.