Vai al contenuto
I leader della sicurezza si trovano di fronte a una nuova classe di minacce autonome: Anthropic ha descritto la prima campagna di spionaggio informatico orchestrata dall’intelligenza artificiale.
In un rapporto pubblicato questa settimana, il team di Threat Intelligence dell’azienda ha descritto l’interruzione di un’operazione sofisticata da parte di un gruppo cinese sponsorizzato dallo Stato – una valutazione effettuata con elevata affidabilità – denominata GTG-1002 e rilevata a metà settembre 2025.
L’operazione ha preso di mira circa 30 entità, tra cui grandi aziende tecnologiche, istituzioni finanziarie, aziende di produzione chimica e agenzie governative.
Invece di assistere con l’intelligenza artificiale gli operatori umani, gli aggressori sono riusciti a manipolare il modello Claude Code di Anthropic in modo che funzionasse come agente autonomo per eseguire la maggior parte delle operazioni tattiche in modo indipendente.
Si tratta di uno sviluppo preoccupante per i CISO, che sposta gli attacchi informatici dagli sforzi diretti dall’uomo a un modello in cui gli agenti AI eseguono l’80-90% del lavoro offensivo, mentre gli esseri umani agiscono solo come supervisori di alto livello. Anthropic ritiene che questo sia il primo caso documentato di un attacco informatico su larga scala eseguito senza un sostanziale intervento umano.
Agenti AI: Un nuovo modello operativo per i cyberattacchi
Il gruppo ha utilizzato un sistema di orchestrazione che ha incaricato istanze di Claude Code di funzionare come agenti autonomi per i test di penetrazione. Questi agenti AI sono stati indirizzati come parte della campagna di spionaggio per eseguire ricognizioni, scoprire vulnerabilità, sviluppare exploit, raccogliere credenziali, muoversi lateralmente attraverso le reti ed esfiltrare dati. Questo ha permesso all’intelligenza artificiale di effettuare la ricognizione in una frazione del tempo che avrebbe impiegato un team di hacker umani.
Il coinvolgimento umano è stato limitato al 10-20% dello sforzo totale, concentrandosi principalmente sull’avvio della campagna e sulla fornitura di autorizzazioni in alcuni punti chiave di escalation. Ad esempio, gli operatori umani approvavano il passaggio dalla ricognizione allo sfruttamento attivo o autorizzavano la portata finale dell’esfiltrazione dei dati.
Gli aggressori hanno aggirato le protezioni integrate del modello AI, addestrato a evitare comportamenti dannosi. Lo hanno fatto violando il modello, ingannandolo con la suddivisione degli attacchi in compiti apparentemente innocenti e adottando un personaggio “di ruolo”. Gli operatori hanno detto a Claude di essere un dipendente di un’azienda di cybersicurezza legittima e di essere utilizzato per dei test difensivi. Questo ha permesso all’operazione di procedere abbastanza a lungo da ottenere l’accesso a una manciata di obiettivi convalidati.
La sofisticazione tecnica dell’attacco non risiedeva nel nuovo malware, ma nell’orchestrazione. Il rapporto rileva che la struttura si è affidata “in larga misura a strumenti di penetrazione open-source”. Gli aggressori hanno utilizzato i server Model Context Protocol(MCP) come interfaccia tra l’IA e questi strumenti di base, consentendo all’IA di eseguire comandi, analizzare i risultati e mantenere lo stato operativo su più obiettivi e sessioni. L’IA è stata persino incaricata di ricercare e scrivere il proprio codice di exploit per la campagna di spionaggio.
Le allucinazioni dell’IA diventano una buona cosa
Sebbene la campagna sia riuscita a penetrare in obiettivi di alto valore, l’indagine di Anthropic ha scoperto un limite degno di nota: l’IA ha avuto delle allucinazioni durante le operazioni offensive.
Il rapporto afferma che Claude “frequentemente esagerava le scoperte e occasionalmente falsificava i dati”. Questo si manifestava con l’affermazione dell’IA di aver ottenuto credenziali che non funzionavano o con l’identificazione di scoperte che “si rivelavano essere informazioni pubblicamente disponibili”
Questa tendenza imponeva agli operatori umani di convalidare attentamente tutti i risultati, mettendo in difficoltà l’efficacia operativa degli attaccanti. Secondo Anthropic, questo “rimane un ostacolo agli attacchi informatici completamente autonomi”. Per i responsabili della sicurezza, questo evidenzia una potenziale debolezza degli attacchi guidati dall’IA: possono generare un’elevata quantità di rumore e falsi positivi che possono essere identificati con un solido monitoraggio.
Una corsa agli armamenti dell’IA difensiva contro le nuove minacce di spionaggio informatico
L’implicazione principale per i leader aziendali e tecnologici è che le barriere per l’esecuzione di attacchi informatici sofisticati sono diminuite notevolmente. Gruppi con meno risorse possono ora essere in grado di eseguire campagne che prima richiedevano interi team di hacker esperti.
Questo attacco dimostra una capacità che va oltre il “vibe hacking”, in cui l’uomo rimaneva saldamente al comando delle operazioni. La campagna GTG-1002 dimostra che l’intelligenza artificiale può essere utilizzata per scoprire e sfruttare autonomamente le vulnerabilità nelle operazioni dal vivo.
Anthropic, che ha vietato gli account e ha informato le autorità nel corso di un’indagine durata dieci giorni, sostiene che questo sviluppo dimostra l’urgente necessità di una difesa basata sull’intelligenza artificiale. L’azienda afferma che “le stesse capacità che permettono a Claude di essere utilizzata in questi attacchi la rendono anche essenziale per la difesa informatica”. Il team di Threat Intelligence dell’azienda ha utilizzato Claude in modo estensivo per analizzare “le enormi quantità di dati generati” durante l’indagine.
I team di sicurezza devono partire dal presupposto che si è verificato un grande cambiamento nella sicurezza informatica. Il rapporto invita i difensori a “sperimentare l’applicazione dell’IA per la difesa in aree come l’automazione dei SOC, il rilevamento delle minacce, la valutazione delle vulnerabilità e la risposta agli incidenti”
La sfida tra attacchi guidati dall’AI e difesa alimentata dall’AI è iniziata e l’adattamento proattivo per contrastare le nuove minacce di spionaggio è l’unica strada percorribile.
Leggi di più su www.artificialintelligence-news.com
Consulente di comunicazione, social media, SEO ed e-commerce. Grafico, web designer, impaginatore, copertinista e addentrato quanto basta in tutto ciò che riguarda l’Internet. Appassionato di narrativa, arti visive e cinema di menare. Nerd. Gamer.
Vivo e lavoro come freelancer in provincia di Taranto.
