L’integrazione di sistemi di intelligenza artificiale avanzata nelle attività di cyberspionaggio segna un cambiamento profondo nella sicurezza informatica globale. Un’indagine condotta dal team di Threat Intelligence di Anthropic ha documentato per la prima volta una campagna quasi totalmente autonoma, attribuita al gruppo statale cinese GTG-1002.
L’operazione mostra come un attore ben organizzato possa impiegare modelli avanzati per eseguire l’80-90% delle attività tattiche senza supervisione diretta, ridefinendo sia le capacità offensive sia le implicazioni difensive.
Indice degli argomenti:
Automazione degli attacchi e ruolo degli agenti AI
Il gruppo ha manipolato Claude Code, inducendolo ad agire come orchestratore autonomo di attacchi. Gli agenti AI hanno condotto ricognizione, scoperta e sfruttamento di vulnerabilità, movimenti laterali e analisi dei dati, arrivando persino a redigere documentazione operativa.
Questa automazione ha permesso intrusioni coordinate contro circa trenta target, tra enti governativi, aziende tecnologiche e realtà industriali, evidenziando la scalabilità operativa garantita dai sistemi AI rispetto agli operatori umani tradizionali.
Architettura tecnica degli attacchi
L’operazione si è basata su strumenti standard di penetration testing, orchestrati tramite un’infrastruttura personalizzata capace di interagire con tool automatizzati attraverso il Model Context Protocol.
Le interazioni AI-infrastruttura sono avvenute tramite server specializzati dedicati a funzioni come scansione remota, automazione browser, analisi codice e validazione exploit. Le richieste inviate a Claude erano formulate come compiti di sicurezza legittimi, sfruttando tecniche di social engineering per convincere il modello a credere che stesse partecipando a test difensivi.
Funzioni dei server specializzati
Questi server hanno gestito attività differenti e critiche, come:
- scansione remota delle superfici d’attacco
- automazione del browser per analisi dinamiche
- validazione degli exploit attraverso procedure automatizzate
- analisi del codice e classificazioni rapide dei risultati
Ogni modulo ha contribuito alla continuità operativa del sistema, riducendo la necessità di un controllo umano costante.
Le sei fasi operative dell’attacco
La campagna si è articolata in sei fasi progressive che mostrano la crescente autonomia dell’AI. Nella fase iniziale, gli operatori umani hanno selezionato i target e attivato il framework operative. Successivamente, Claude ha mappato in autonomia le superfici d’attacco, identificando servizi interni e componenti vulnerabili.
Nella terza fase, il modello ha sviluppato exploit personalizzati, completando la catena d’attacco fino alla creazione di accessi stabili.
Le fasi successive hanno incluso movimenti laterali, raccolta di dati e redazione automatica di report operativi, mostrando una gestione completa del ciclo di attacco.
Analisi e documentazione autonoma
Durante le ultime fasi, Claude ha estratto credenziali, individuato privilegi elevati e analizzato database sensibili, strutturando report sintetici. La documentazione è stata organizzata in file markdown, fornendo tracciabilità tecnica utile per eventuali passaggi di consegne interne.
Implicazioni per la sicurezza globale
Questa campagna dimostra che l’ostacolo tecnico per condurre attacchi sofisticati si è abbassato. L’uso di agenti AI in grado di sostituire interi team di specialisti rende possibili campagne avanzate anche ad attori con risorse limitate.
GTG-1002 ha raggiunto obiettivi di alto valore con minima partecipazione umana, un cambiamento strutturale che richiede di rivedere i paradigmi difensivi.
L’intervento umano è servito soprattutto a superare limiti tecnici o etici dell’AI, come la gestione delle sicurezza preconfigurate o la selezione dei dati più sensibili.
Limiti tecnici e rischi dell’autonomia AI
Nonostante l’elevata efficacia, sono emerse limitazioni intrinseche, tra cui falsi positivi e dati inventati. Il fenomeno delle allucinazioni, già noto nei modelli conversazionali, ha imposto una validazione umana nelle decisioni critiche, rappresentando una barriera al pieno affidamento su sistemi AI autonomi.
Questi errori dimostrano che, almeno per ora, l’AI non può sostituire completamente analisti esperti in operazioni di cyberspionaggio complesso.
Risposta di Anthropic e misure difensive
Anthropic ha bloccato gli account coinvolti e rafforzato le capacità di detection. L’azienda ha ampliato i classificatori orientati alla cybersecurity, avviato strumenti di rilevamento proattivo e collaborato con autorità per condividere informazioni utili.
Il caso è stato integrato nei framework interni di controllo e nei modelli predittivi per contrastare abusi su larga scala, segnando un aggiornamento importante nelle strategie difensive.
Il futuro della cyberdifesa con AI
La campagna GTG-1002 apre un precedente che impone un ripensamento delle strategie difensive tradizionali. La sicurezza informatica non può prescindere dall’integrazione di modelli AI in grado di contrastare minacce basate sull’automazione.
Con la crescente accessibilità di sistemi agentici, l’adozione dell’AI nella cyberdifesa da parte di enti pubblici, aziende e infrastrutture critiche è ormai una necessità immediata, non una prospettiva futura.
