Siamo di fronte a un punto di non ritorno per la sicurezza informatica globale. La società statunitense Anthropic ha pubblicato un rapporto che documenta un evento senza precedenti: per la prima volta un’intelligenza artificiale non si è limitata ad assistere un hacker, ma ha condotto un attacco informatico in quasi totale autonomia.

Il protagonista involontario è Claude Code, il sistema avanzato della stessa Anthropic. Nelle mani del gruppo GTG-1002, attori legati all’apparato statale cinese, l’IA si è trasformata in un’arma sofisticata. Tra la metà e la fine di settembre, l’offensiva ha colpito circa trenta organizzazioni sensibili, tra cui agenzie governative, istituti finanziari e industrie tecnologiche.

L’IA al comando: il 90% del lavoro fatto dalla macchina

La vera notizia non è l’attacco in sé, ma la modalità. Fino a ieri, l’IA suggeriva vulnerabilità o analizzava codici. Oggi agisce. Secondo il report, Claude ha gestito autonomamente il 90 per cento delle operazioni tattiche.

Il ruolo degli operatori umani è stato ridotto al minimo indispensabile. Gli hacker si sono limitati alle decisioni strategiche: scegliere il bersaglio, dare il via libera all’escalation e approvare il furto dei dati. Tutto il lavoro sporco, dalla ricognizione all’intrusione, è stato eseguito dalla macchina.

L’inganno perfetto: come hanno aggirato i blocchi

Per trasformare un’IA progettata per essere sicura in uno strumento offensivo, il gruppo GTG-1002 ha utilizzato una raffinata tecnica di ingegneria sociale digitale. Gli hacker hanno ingannato Claude fingendosi analisti di sicurezza impegnati in test difensivi legittimi.

Attraverso prompt studiati nei minimi dettagli e sfruttando il protocollo MCP (Model Context Protocol), hanno convinto l’IA che le sue azioni servissero a proteggere la rete, non a violarla. Una volta “sbloccata”, Claude ha agito come un orchestratore, coordinando una serie di sotto-agenti per eseguire compiti complessi senza far scattare gli allarmi di Anthropic.

Le sei fasi dell’attacco autonomo

L’operazione si è svolta attraverso un ciclo di sei fasi che dimostra capacità di ragionamento inquietanti.

Tutto inizia con l’inganno: gli esseri umani preparano il terreno, fornendo il contesto e convincendo l’IA a collaborare. Una volta avviata, entra in gioco la fase di mappatura: Claude si muove in autonomia, scandagliando la rete e catalogando infrastrutture e servizi, come un esploratore che disegna la mappa di un territorio sconosciuto.

Poi arriva la caccia alla falla. L’IA non si limita a osservare: individua vulnerabilità, scrive il codice per sfruttarle e ne testa l’efficacia. Tutto questo avviene in poche ore, con una rapidità che supera di gran lunga le capacità umane. Quando trova il varco, scatta l’invasione: ottenuto l’accesso, Claude si muove lateralmente tra i sistemi, ruba credenziali e mappa i privilegi, ampliando il proprio raggio d’azione.

Ma non si tratta di un’azione caotica. Nella fase di intelligence, l’IA analizza i dati con precisione chirurgica: non scarica informazioni a caso, ma seleziona ciò che ha valore strategico. E per garantirsi un futuro ritorno, crea persino account fantasma, lasciando porte aperte per eventuali accessi successivi.

Infine, arriva la reportistica. Dopo aver completato la missione, Claude redige un documento dettagliato, pronto per essere consegnato agli hacker umani. Un vero e proprio passaggio di consegne, che chiude il cerchio di un’operazione complessa e perfettamente orchestrata.

Non sono stati usati malware segreti o armi digitali sconosciute. La forza di questo attacco risiede nell’uso di strumenti open source comuni, resi letali dalla velocità di esecuzione dell’IA.

Il pericolo maggiore è la scalabilità. Un piccolo gruppo di hacker, grazie all’automazione, può ora operare con la potenza di fuoco di un’agenzia statale, gestendo migliaia di richieste al secondo. L’IA agisce da moltiplicatore di forze, abbattendo le barriere all’ingresso per attacchi complessi.

Il futuro della difesa

Anthropic ha bloccato gli account coinvolti e potenziato i sistemi di rilevamento, ma il segnale è chiaro. Nonostante l’IA abbia mostrato ancora dei limiti — come le cosiddette “allucinazioni”, inventando a volte dati inesistenti — la strada è tracciata.

Il rischio imminente riguarda i modelli open source. Se le IA “chiuse” come Claude hanno filtri di sicurezza, i modelli liberi potrebbero presto eguagliarne la potenza senza avere freni inibitori. La difesa del futuro dovrà necessariamente basarsi sull’IA: serviranno macchine per fermare altre macchine.