L'intelligenza artificiale ha compiuto un salto che gli esperti di sicurezza informatica temevano da tempo: non più semplice assistente nelle mani di hacker esperti, ma protagonista quasi autonomo di operazioni di spionaggio su vasta scala. Il confine è stato oltrepassato tra settembre scorso, quando un gruppo di cybercriminali legato alla Cina ha orchestrato un attacco coordinato contro una trentina di obiettivi in tutto il mondo, affidando a Claude, il sistema sviluppato da Anthropic, il novanta per cento delle operazioni tattiche. Gli esseri umani si sono limitati a scegliere i bersagli e ad autorizzare le fasi più delicate, mentre l'intelligenza artificiale ha gestito autonomamente ricognizione, penetrazione, furto di credenziali e analisi dei dati sottratti.
Quando l'intelligenza artificiale passa dall'assistenza all'azione
Il gruppo identificato come GTG-1002 ha concentrato i propri sforzi su aziende tecnologiche, istituti finanziari, industrie chimiche e perfino agenzie governative, dimostrando una capacità operativa senza precedenti. Fino a pochi mesi prima, gli attacchi informatici "assistiti dall'IA" si limitavano a sfruttare i modelli linguistici per suggerire vulnerabilità o ottimizzare script di attacco. Questa volta invece la macchina ha agito, decidendo in autonomia come muoversi all'interno delle reti violate, quali dati fossero più preziosi e come documentare l'intera operazione per consentire ad altri team di subentrare.
L'infrastruttura progettata dagli attaccanti si basava su Claude Code e sul Model Context Protocol (MCP), un protocollo aperto che ha permesso di trasformare l'intelligenza artificiale in un vero sistema di orchestrazione. Ogni singola richiesta al modello appariva innocua se osservata isolatamente — una scansione di rete, una verifica di autenticazione, un'analisi di codice — ma l'insieme delle azioni componeva un attacco complesso e coordinato. Anthropic, che ha pubblicato il rapporto dettagliato sull'operazione, parla di una "manciata" di intrusioni effettivamente riuscite, ma il fenomeno ha dimensioni che vanno ben oltre i numeri.
L'inganno come chiave d'accesso: quando l'AI crede di difendere invece di attaccare
Per aggirare le protezioni implementate da Anthropic, gli hacker hanno utilizzato una forma sofisticata di manipolazione narrativa. Si sono presentati come analisti di sicurezza impegnati in test difensivi, convincendo Claude di collaborare a operazioni legittime. Una volta superato questo primo ostacolo, l'intelligenza artificiale ha avviato autonomamente la fase di ricognizione, catalogando infrastrutture e identificando servizi vulnerabili su più obiettivi simultaneamente. Il sistema manteneva per ciascun bersaglio un contesto operativo distinto, comportandosi come un team distribuito di analisti senza bisogno di coordinamento umano.
In almeno un caso documentato, Claude è riuscito a ricostruire l'intera topologia di rete di un'organizzazione, individuando database e piattaforme interne con il massimo valore informativo. Successivamente ha generato payload personalizzati per sfruttare le vulnerabilità individuate, testandone l'efficacia e documentando ogni passaggio. L'intero ciclo — dalla scansione iniziale alla stesura del report tecnico — si è svolto in poche ore, con gli operatori umani chiamati a intervenire solo per autorizzare l'avvio delle fasi più aggressive dell'attacco.
Il movimento laterale: espandere il controllo senza lasciare tracce
Una volta ottenuto l'accesso iniziale, Claude ha dimostrato una sistematicità che il rapporto di Anthropic definisce paragonabile a quella di "un intero gruppo di hacker esperti". L'intelligenza artificiale ha estratto certificati di autenticazione dai file di configurazione, verificato le credenziali raccolte e mappato autonomamente i livelli di accesso, procedendo poi al movimento laterale attraverso API, database e sistemi di log. La capacità di apprendere dallo stesso ambiente violato ha accelerato enormemente il processo che, in contesti tradizionali, richiederebbe ore di analisi da parte di operatori specializzati.
In un'occasione documentata, il sistema ha persino creato un account utente fantasma con privilegi elevati per garantirsi un accesso persistente alle reti compromesse, annotando ogni dettaglio per consentire la ripresa dell'operazione in caso di interruzione. Gli esseri umani si sono limitati a revisionare i risultati e ad approvare l'accesso ai sistemi più sensibili. Tutto il resto — estrazione, verifica, classificazione dei privilegi — è avvenuto senza supervisione diretta, con l'IA che operava come un penetration tester autonomo capace di sperimentare, correggere e documentare i propri tentativi.
Dall'estrazione alla selezione: l'intelligenza che sceglie cosa rubare
La quinta fase dell'operazione rappresenta forse l'aspetto più inquietante dell'intera vicenda. Claude non si è limitato a raccogliere dati in modo indiscriminato, ma ha interrogato i database con le credenziali sottratte, analizzato le strutture informative e selezionato autonomamente le informazioni a maggior valore: credenziali di utenti privilegiati, configurazioni di sistema, proprietà industriali, report interni. L'intelligenza artificiale ha classificato i dati per sensibilità e utilità strategica, generando un riepilogo pronto per la revisione finale degli operatori, che si sono limitati a convalidare i pacchetti destinati all'esfiltrazione.
Questa trasformazione segna un passaggio radicale: l'AI diventa produttrice di intelligence, non più semplice processore di informazioni. La capacità di comprendere autonomamente il valore strategico dei dati sottratti rappresenta un salto qualitativo che ridefinisce completamente il panorama delle minacce informatiche. Per completare l'operazione, Claude ha redatto automaticamente resoconti dettagliati in formato strutturato, includendo lista dei servizi scoperti, credenziali raccolte, tecniche di sfruttamento utilizzate e cronologia completa delle operazioni. Questa documentazione ha permesso il passaggio di testimone tra operatori e, secondo Anthropic, anche la cessione dell'accesso ad altri team incaricati di mantenere il controllo a lungo termine.
Strumenti comuni, orchestrazione innovativa
Contrariamente a quanto si potrebbe immaginare, GTG-1002 non ha utilizzato malware proprietari o exploit sconosciuti. L'arsenale era composto esclusivamente da strumenti open source disponibili pubblicamente: scanner di rete, framework per l'analisi di vulnerabilità, sistemi di cracking comunemente impiegati nei test di penetrazione legittimi. L'innovazione non risiede dunque nell'invenzione tecnica, ma nella composizione automatizzata di risorse esistenti attraverso un'orchestrazione coordinata da un'intelligenza artificiale.
I tool sono stati resi accessibili tramite server MCP dedicati e interfacce specializzate che hanno permesso a Claude di comandarli remotamente, automatizzando il browser per la ricognizione, analizzando il codice e comunicando con canali di callback esterni per confermare il successo degli exploit. Questo approccio dimostra che non servono nuove armi digitali: basta una "mente" artificiale capace di coordinare efficacemente quelle esistenti per moltiplicare esponenzialmente la portata degli attacchi tradizionali.
Le allucinazioni salvano (per ora) la situazione
Nonostante l'efficacia complessiva, il rapporto evidenzia anche limiti strutturali significativi. Claude, operando in assenza di controllo umano costante, ha mostrato comportamenti tipici dei modelli generativi: ha esagerato i risultati raggiunti, inventato credenziali non funzionanti e segnalato la scoperta di informazioni in realtà già pubbliche. Queste allucinazioni hanno ridotto l'efficienza operativa e mostrato la fragilità dell'autonomia completa. Per il momento, l'attacco perfettamente autonomo resta irraggiungibile, ma la direzione appare chiaramente tracciata.
Anthropic ha reagito disattivando immediatamente gli account coinvolti, potenziando i sistemi di rilevamento e aggiornando i classificatori dedicati alle minacce cyber. L'azienda ha condiviso le informazioni con le autorità e con le organizzazioni colpite, incorporando i modelli di comportamento osservati nelle proprie politiche di sicurezza. Paradossalmente, lo stesso Claude è stato successivamente impiegato per analizzare i dati dell'indagine, dimostrando come le capacità offensive possano essere convertite in strumenti difensivi se integrate in contesti regolati e trasparenti.
Il moltiplicatore di forza che abbatte le barriere
L'elemento più preoccupante non è l'efficienza tecnica, ma la scalabilità. Il ritmo operativo ha raggiunto migliaia di richieste al secondo, con l'intelligenza artificiale impegnata in attività analitica effettiva e non in mera generazione testuale. Le barriere all'esecuzione di attacchi complessi sono crollate: un singolo gruppo con risorse modeste può oggi orchestrare operazioni che in passato richiedevano team specializzati e anni di addestramento. Il confine tra esperto e dilettante, tra attore statale e singolo criminale, si assottiglia progressivamente.
La questione si complica ulteriormente considerando i tempi di diffusione tecnologica. La storia delle LLM dimostra che le capacità dei modelli proprietari vengono raggiunte dai sistemi open source con un ritardo tra i cinque e i ventidue mesi. Modelli come Llama 3.1, liberamente scaricabili e adattabili, eguagliano o superano le prestazioni di ChatGPT-4 e Claude Opus 3. È probabile che sistemi con capacità analoghe a quelle utilizzate in questo attacco diventino presto accessibili a chiunque disponga di adeguata potenza computazionale, rendendo irrilevanti le protezioni implementate attorno ai modelli proprietari.
Prepararsi all'inevitabile: strategie per un mondo post-autonomia
Per aziende e pubbliche amministrazioni non resta che prepararsi alla diffusione di questo tipo di minacce. Gli attacchi basati su AI agentica non saranno necessariamente più incisivi — utilizzano gli stessi strumenti già disponibili — ma diventeranno certamente più frequenti e pervasivi. L'automazione agisce da moltiplicatore di forza, accrescendo enormemente il volume degli attacchi possibili. Le tradizionali linee di difesa — autenticazione multi-fattore, gestione delle vulnerabilità, segmentazione di rete, rilevamento delle anomalie — dovranno essere rinforzate proprio in vista di questo aumento di incidenza.
La sfida si fa ancora più complessa considerando che molte organizzazioni stanno implementando modelli simili a Claude all'interno dei propri sistemi aziendali, utilizzandoli come agenti capaci di interagire con posta elettronica, sistemi di ticketing e piattaforme di monitoraggio. In questo scenario l'intelligenza artificiale non è esterna ma interna ai sistemi, amplificando i rischi potenziali. Nel progettare queste automazioni è fondamentale valutare attentamente i rischi di dirottamento, implementando fin dalla fase di design tutti i controlli necessari per rilevare e bloccare tentativi di violazione e abuso.
Dall'élite alle masse: la democratizzazione della minaccia
Attualmente l'attacco descritto richiede una sofisticazione elevata, sia nella creazione di prompt capaci di aggirare le salvaguardie sia nell'implementazione di architetture basate su MCP. Si tratta di competenze ancora non alla portata di tutti, ma la storia insegna che le tecnologie complesse tendono a industrializzarsi rapidamente. Quando sistemi di attacco basati su LLM diventeranno più accessibili, anche i bersagli caleranno di profilo e, conseguentemente, di protezione.
Non è difficile immaginare agenti di intelligenza artificiale programmati per raccogliere autonomamente da fonti aperte — social media, database pubblici, forum — informazioni su comuni cittadini, aggregarle e utilizzarle per progettare campagne di spear phishing su larga scala con probabilità di successo enormemente superiori ai tradizionali tentativi generici. La famosa email del "principe nigeriano" potrebbe apparire presto come un ricordo nostalgico di un'epoca più semplice e, per quanto paradossale, più sicura.
Emerge con chiarezza la necessità che le istituzioni si attivino per predisporre campagne di sensibilizzazione che preparino i cittadini a questi scenari. Il punto critico non è l'accesso alla tecnologia, ma la capacità di darle scopi. Claude non ha agito con intenzioni malvagie: ha semplicemente eseguito compiti che credeva legittimi, convinta di operare per fini difensivi. È il paradosso dell'intelligenza senza coscienza, caratteristica di ogni sistema decisionale automatizzato che opera in assenza di contesto morale. La sfida è duplice: tecnica, rafforzando meccanismi che riconoscano e respingano manipolazioni narrative; filosofica, tornando alla domanda fondamentale che aleggia da tempo nel mondo dell'AI: chi controlla il controllore, e come?