Scoperta la prima campagna di spionaggio cibernetico orchestrata dall'intelligenza artificiale

A metà settembre 2025, l'azienda Anthropic ha rilevato quella che considera la prima campagna di spionaggio cibernetico eseguita quasi interamente dall'intelligenza artificiale. Gli hacker, identificati con alta probabilità come un gruppo sponsorizzato da Pechino, hanno manipolato lo strumento Claude Code per tentare di infiltrarsi in circa trenta obiettivi in tutto il mondo, riuscendo anche a farlo in un numero limitato di casi. I bersagli includevano grandi aziende tecnologiche, istituzioni finanziarie, società di produzione chimica e agenzie governative.

Quello che rende questo attacco particolarmente significativo è il livello di autonomia raggiunto dall'intelligenza artificiale. Gli hacker hanno, infatti, utilizzato l'IA non solo come strumento di supporto, ma per eseguire direttamente gli attacchi informatici, con un intervento umano ridotto al minimo. Si tratta di un salto qualitativo rispetto alle operazioni di hacking precedenti, dove gli esseri umani dirigevano ancora in modo sostanziale le attività. Quando Anthropic ha individuato l'attività sospetta, ha immediatamente avviato un'indagine che si è protratta per dieci giorni. Durante questo periodo, l'azienda ha bloccato gli account identificati, notificato le entità colpite e coordinato le proprie attività con le autorità competenti.

L'attacco si è basato su tre caratteristiche dell'intelligenza artificiale che solo un anno fa non esistevano o erano in forma molto più primitiva. La prima è l'intelligenza generale: i modelli di IA hanno raggiunto livelli di capacità tali da poter seguire istruzioni complesse e comprendere il contesto in modi che rendono possibili compiti molto sofisticati. In particolare, le loro competenze nella scrittura di codice informatico si prestano chiaramente ad essere utilizzate in attacchi cibernetici. La seconda caratteristica è l'autonomia: i modelli possono ora agire come agenti, ovvero possono lavorare in maniera autonoma in cicli dove compiono azioni in maniera indipendente, concatenano compiti e prendono decisioni con solo un minimo e/o occasionale contributo umano. La terza è l'accesso a svariati strumenti: i modelli hanno ora accesso a un'ampia gamma di software che permettono loro di effettuare ricerche sul web, recuperare dati e compiere molte altre azioni che prima erano dominio esclusivo degli operatori umani.

L'attacco cinese si è sviluppato in diverse fasi. Nella prima, gli operatori umani hanno scelto gli obiettivi specifici e sviluppato un sistema costruito per compromettere autonomamente il bersaglio prescelto con poco coinvolgimento umano. Questo sistema ha usato Claude Code come strumento automatizzato per condurre le operazioni di attacco cibernetiche. A questo punto gli hacker hanno dovuto convincere Claude, che è stato ampiamente addestrato per evitare comportamenti dannosi, a partecipare all'attacco. Lo hanno fatto attraverso il cosiddetto "jailbreaking", ovvero ingannando di fatto il sistema per aggirare le sue protezioni. Hanno suddiviso gli attacchi in piccoli compiti apparentemente innocui che Claude ha eseguito senza ricevere il contesto completo del loro scopo malevolo. Hanno inoltre detto a Claude di essere un dipendente di una legittima azienda di sicurezza informatica e di essere utilizzato per test difensivi.

Nella seconda fase, Claude ha ispezionato i sistemi e l'infrastruttura dell'organizzazione bersaglio, individuando i database di maggior valore. L'intelligenza artificiale è stata in grado di eseguire questa ricognizione in una frazione del tempo che sarebbe stato necessario a un team di hacker umani. Ha poi fornito agli operatori umani un riepilogo delle sue scoperte. Nelle fasi successive, Claude ha identificato e testato le vulnerabilità di sicurezza nei sistemi delle organizzazioni bersaglio, ricercando e scrivendo autonomamente il proprio codice di sfruttamento. Una volta fatto ciò, il sistema è stato in grado di utilizzare Claude per raccogliere credenziali, ovvero nomi utente e password, che gli hanno consentito un accesso ulteriore e quindi di estrarre una grande quantità di dati riservati, che sono stati categorizzati in base al loro valore di intelligence. In questo modo sono stati identificati gli account con i massimi livelli di privilegio, sono state create backdoor e sono stati sottratti dati con una supervisione umana minima.

In una fase finale, gli hacker hanno fatto produrre a Claude una documentazione completa dell'attacco, creando file con le credenziali rubate e i sistemi analizzati, che avrebbero assistito il sistema nella pianificazione della fase successiva delle operazioni cibernetiche. Nel complesso, gli hacker sono stati in grado di utilizzare l'intelligenza artificiale per eseguire l'80-90% della campagna di attacco cibernetico, con intervento umano richiesto solo sporadicamente, forse in 4-6 punti decisionali critici per l'intera campagna. La mole di lavoro eseguita dall'IA avrebbe richiesto enormi quantità di tempo per un team umano. L'intelligenza artificiale ha effettuato invece migliaia di richieste al secondo, una velocità di attacco che per hacker umani sarebbe stata semplicemente impossibile da eguagliare.

Secondo Anthropic, le barriere per eseguire attacchi informatici sofisticati si sono abbassate sostanzialmente e l'azienda prevede che continuerà ad essere così. Con la configurazione corretta, gli hacker possono ora utilizzare sistemi di intelligenza artificiale autonomi per periodi prolungati per effettuare lo stesso lavoro di interi team di hacker esperti: analizzare i sistemi bersaglio, produrre codice malevolo e scansionare vasti set di dati di informazioni rubate in modo più efficiente di qualsiasi operatore umano. Ciò significa che anche gruppi meno esperti e con meno risorse possono ora potenzialmente eseguire attacchi su larga scala di questa natura.

Questo attacco rappresenta un'escalation rispetto alle operazioni che Anthropic aveva già segnalato nell'estate del 2025, dove gli esseri umani erano ancora molto coinvolti nella direzione delle operazioni di hacking. In questo caso, il coinvolgimento umano è stato molto meno frequente, nonostante la scala più ampia dell'attacco. Sebbene Anthropic abbia visibilità solo sull'uso di Claude, questo caso probabilmente riflette modelli coerenti di comportamento tra i modelli di intelligenza artificiale più avanzati e dimostra come gli attaccanti stiano adattando le loro operazioni per sfruttare le capacità più avanzate dell'IA odierna.

Anthropic sostiene che, se i modelli di intelligenza artificiale possono essere utilizzati impropriamente per attacchi informatici su questa scala, è proprio perché le stesse capacità che permettono a Claude di essere usato in questi attacchi lo rendono anche cruciale per la difesa cibernetica. Quando si verificano attacchi informatici sofisticati, l'obiettivo dell'azienda è che Claude, nel quale sono state integrate forti protezioni, assista i professionisti della sicurezza informatica nel rilevare, interrompere e prepararsi per future versioni dell'attacco. Il team di intelligence sulle minacce di Anthropic ha infatti utilizzato estensivamente Claude nell'analizzare le enormi quantità di dati generate durante questa stessa indagine.

L'azienda conclude che è avvenuto un cambiamento fondamentale nella sicurezza informatica e consiglia ai team di sicurezza di sperimentare l'applicazione dell'intelligenza artificiale per la difesa in aree come l'automazione dei centri operativi di sicurezza, il rilevamento delle minacce, la valutazione delle vulnerabilità e la risposta agli incidenti. Raccomanda inoltre agli sviluppatori di continuare a investire in protezioni sulle loro piattaforme di intelligenza artificiale, per prevenire l'uso improprio da parte degli avversari. Le tecniche descritte verranno senza dubbio utilizzate da molti più attaccanti, il che rende ancora più critici la condivisione delle minacce nel settore, metodi di rilevamento migliorati e controlli di sicurezza più forti.