Anthropic, la società di Claude AI, ha rilasciato un report sul primo caso documentato di cyber attacco eseguito dall’AI su larga scala senza un intervento umano significativo, con implicazioni rilevanti per la sicurezza informatica nell’era degli agenti di intelligenza artificiale.

“Se questo caso verrà confermato, significa che abbiamo superato la linea rossa che molti continuavano a minimizzare: l’AI non sta più ‘assistendo’ gli attaccanti, sta iniziando a sostituirli”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.

Secondo Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity, “mi sarei stupito se non fosse successo. In fondo si tratta di un’attività specialistica, quindi tagliata su misura per una IA”.

Ecco come mitigare il rischio, dal momento che “questo tipo di attacco si può leggere in due fasi molto chiare”, spiega Francesco Iezzi, Cybersecurity Specialist NHOA.

Il primo cyber attacco eseguito dall’AI: su larga scala e senza intervento umano significativo

Recentemente, secondo Anthropic, sarebbe stato raggiunto un punto di svolta nella sicurezza informatica, quello in cui i modelli di IA erano diventati realmente utili per le operazioni di sicurezza informatica, sia nel bene che nel male.

La considerazione si fondava su valutazioni sistematiche secondo cui erano raddoppiate le capacità informatiche in sei mesi. Inoltre, monitorando gli attacchi informatici nel mondo reale, si osservava come gli attori malintenzionati sfruttassero le capacità dell’IA.

Sebbene avessimo previsto che queste capacità avrebbero continuato ad evolversi, ciò che ci ha colpito è stata la rapidità con cui lo hanno fatto su larga scala.

A metà settembre 2025 Anthropic ha rilevato attività sospette che, da successive indagini, sono state identificate come una campagna di spionaggio altamente sofisticata.

Gli autori dell’attacco hanno sfruttato le capacità “agenti” dell’intelligenza artificiale in misura senza precedenti, utilizzando l’IA non solo come consulente, ma anche per eseguire gli attacchi informatici stessi.

“Mentre noi perdiamo tempo a discutere di linee guida, compliance e comitati, gli agenti autonomi fanno quello che un criminale umano non può fare: scalano, automatizzano e non dormono mai“, mette in guardia Sandro Sana.

I dettagli

L’autore della minaccia, con elevata certezza, sarebbe un gruppo sponsorizzato dallo Stato cinese, che ha manipolato lo strumento Claude Code per tentare di infiltrarsi in circa trenta obiettivi globali, riuscendoci in un numero limitato di casi.

L’operazione ha preso di mira grandi aziende tecnologiche, istituzioni finanziarie, aziende chimiche e agenzie governative. Riteniamo che questo sia il primo caso documentato di un attacco informatico su larga scala eseguito senza un intervento umano significativo.

Dopo aver rilevato questa attività, Anthoropic ha immediatamente avviato un’indagine per comprenderne la portata e la natura. Nei dieci giorni successivi, mentre mappa la gravità e la portata complessiva dell’operazione, l’azienda ha bloccato gli account man mano che avveniva l’identificazione, informato le entità interessate e coordinato le azioni con le autorità mentre raccoglievano informazioni utili.

“Il vero problema, temo sia la capacità degli attaccanti di mettere a terra le soluzioni”, avverte Curioni: “Cosa che, a chi si difende, sembra riuscire meno rapidamente”.

Le due fasi dell’attacco

“La prima fase di questo tipo di attacco è il jailbreak del modello: l’attaccante prova a ingannare l’AI e a scavalcare regole di sicurezza e vincoli etici per farla lavorare ‘senza freni’”, spiega Francesco Iezzi: “Non è una tecnica nuova, i primi esempi li vediamo da anni, ma oggi queste capacità sono molto più accessibili e soprattutto facilmente industrializzabili”.

“La seconda fase è l’automazione spinta delle attività tipiche di un test di intrusione”, continua Francesco Iezzi, “scansioni, ricerca di vulnerabilità, sviluppo di payload, movimento laterale, fino alla raccolta e analisi dei dati esfiltrati. Le singole tecniche non ci sorprendono, e per molte esistono già contromisure efficaci; la discontinuità sta nel ruolo dell’AI come moltiplicatore di forza: permette di fare molte più operazioni, su più obiettivi, in meno tempo e con una soglia di competenze molto più bassa. Il punto critico, infatti, è la saturazione delle difese: gli eventi e i segnali sospetti esplodono, mentre le risorse dei team di sicurezza restano sostanzialmente le stesse”.

Come mitigare il rischio

Questa campagna ha implicazioni significative per la sicurezza informatica nell’era degli agentic AI, sistemi in grado di funzionare in modo autonomo per lunghi periodi di tempo e di completare compiti complessi in modo largamente indipendente dall’intervento umano.

Gli agenti sono preziosi per il lavoro quotidiano e la produttività. Tuttavia nelle mani sbagliate possono aumentare notevolmente la fattibilità di attacchi informatici su larga scala.

Questo attacco, “da un altro punto di vista, è la conferma che in uno scontro cyber i vantaggi sono tutti di chi attacca. Un ribaltamento di quanto accade in una guerra convenzionale”, mette in guardia Curioni.

È probabile che questi attacchi diventino sempre più efficaci.

Per stare al passo con questa minaccia in rapida evoluzione, occorre ampliare le nostre capacità di rilevamento e sviluppare classificatori più efficaci per segnalare le attività malevole, oltre a lavorare costantemente a nuovi metodi di indagine e rilevamento di attacchi distribuiti su larga scala come questo.

Nel frattempo, gli operatori del settore, le istituzioni governative e la comunità scientifica in generale devono rafforzare le proprie cyber difese perché le minacce AI sono in continua e rapida evoluzione.

Ma la consapevolezza, seppur indispensabile, non basta. Il futuro non è “AI contro umani”, ma ‘AI contro AI’.

“Questo non è un campanello d’allarme”, conclude Sandro Sana, bensì “è una sirena d’emergenza. Chi continua a raccontarsi che la minaccia è ancora ‘umana”’sta vivendo in un’altra epoca”.

Infatti “se non introduciamo a nostra volta automazione ‘intelligente’ nella difesa, finiamo per combattere un avversario potenziato con strumenti pensati per una scala di minaccia diversa”, mette in guardia Francesco Iezzi.

“Questo caso è un esempio concreto di come l’intelligenza artificiale venga già utilizzata come arma da attori statali e gruppi criminali evoluti, diventando un acceleratore che rende più semplici e veloci operazioni complesse”, conclude Iezzi: “Proprio per questo è fondamentale integrare in modo consapevole e controllato l’AI anche nei processi interni delle aziende, dal monitoraggio alla risposta agli incidenti, fino all’analisi delle minacce, altrimenti rischiamo di affrontare campagne orchestrate dall’AI continuando a usare solo strumenti tradizionali”.