Quattro attacchi alle catene di fornitura AI in 50 giorni espongono le pipeline di rilascio che i red team non coprono

Negli ultimi 50 giorni, OpenAI, Anthropic e Meta hanno subito quattro incidenti alle catene di fornitura: tre di origine avversaria e uno causato da un errore umano di confezionamento. Nessuno era diretto al modello AI, però tutti hanno esposto lo stesso problema: le pipeline di rilascio, le configurazioni di dipendenza, i runner CI e i controlli di confezionamento non sono mai stati valutati in nessun sistema di valutazione o esercizio red-team.

Il worm Mini Shai-Hulud

Il 11 maggio 2026, un worm autonomo e propagativo denominato Mini Shai-Hulud ha pubblicato 84 versioni malevole di pacchetti attraverso i 42 @tanstack/* del registro npm in sei minuti. Questo worm si è introdotto grazie a una configurazione errata di release.yml, una compromissione delle cache GitHub Actions e l'estrazione di token OIDC dalla memoria dei runner.

Nonostante i pacchetti maliziosi avessero una SLSA Build Level 3 provenance, che attesta la provenienza legittima, non c'è stato furto di password né intercettazione di 2FA. Il modello di fiducia ha funzionato correttamente, ma ha prodotto comunque artefatti dannosi.

Risposta da parte di OpenAI

Due giorni dopo, OpenAI ha confermato che due dispositivi di proprietà dei dipendenti erano stati compromessi e il materiale di credenziale era stato estratto dal codice sorgente interno. OpenAI adesso sta ritirando tutti i certificati di sicurezza macOS, obbligando gli utenti desktop ad aggiornarsi entro il 12 giugno 2026.

Sebbene OpenAI avesse migliorato la sua pipeline CI/CD in seguito a un altro precedente incidente, i due dispositivi interessati non avevano ricevuto le nuove configurazioni di sicurezza. Il profilo della risposta non è riconducibile a un incidente di sicurezza del modello, ma a una fuga alla pipeline di costruzione.

Quattro incidenti, una constatazione chiara

I red team non coprono le pipeline di rilascio. I quattro fatti sottolineano un unico aspetto architettonico fondamentale da aggiungere in ogni questionario di vendita AI:

• OpenAI Codex: command injection
• Litellm: supply-chain poisoning + breach of Mercor
• Anthropic Claude: sorgente TypeScript rivelato
• TanStack worm: compromissione estesa

La pipeline di costruzione è un bersaglio ricorrente per gli hacker.

OpenAI Codex e l'ingresso malinteso

L'ingresso malizioso ha colpito OpenAI Codex il 30 marzo 2026. Un ricercatore di Phantom Labs, Tyler Jespersen, ha scoperto che i nomi delle branch GitHub non erano sottoposti a una sanificazione di base. Aggiungendo un punto e virgola e un subshell, un malintenzionato avrebbe potuto eseguire comandi all'interno della container di Codex.

OpenAI ha classificato la vulnerabilità come Priority 1 Critica, risolvendola completamente entro febbraio 2026. Il ricercatore ha creato un nome di branch dannoso visivamente identico a "main" usando caratteri Unicode. L’inganno ha iniziato da un singolo punto: la nome del branch.

LiteLLM e la contaminazione della catena

Nel periodo marzo 24-27, il gruppo TeamPCP ha utilizzato credenziali rubate in precedenza a un Trivy scanner di Aqua Security per pubblicare due versioni dannose del pacchetto LiteLLM su PyPI. LiteLLM è un gateway open-source utilizzato in diversi team infrastrutturali AI importanti.

Le versioni dannose sono rimaste attive circa 40 minuti e hanno ricevuto circa 47.000 download prima che PyPI le isolasse. Il danno si estende a Mercor, startup da 10 miliardi che fornisce dati di addestramento a OpenAI, Meta e Anthropic.

La perdita del mappa sorgente Anthropic

Il 31 Marzo 2026 Anthropic ha pubblicato accidentalmente un mappa sorgente del suo Claude Code 2.1.88 al registro npm. Il mappa sorgente (59.8 MB) rivelava un archivio zip di 1,906 files nel Cloudflare R2 bucket, comprendenti logiche orchestrazione, promemoria interni e arche di coordinamento multi-agente per 513 K lines of TypeScript.

Un ricercatore ha segnalato la perdita entro poche ore, e Anthropic ha rimosso il pacchetto. La causa? Un errore di un solo riga in un file .npmignore. Nessun attaccante era coinvolto. Tuttavia, l’errore ha evidenziato lo stesso vuoto architettonico: nessun controllo umano tra il costruito e il passo di pubblicazione nel registro.

Il worm TanStack

Wiz Research ha attribuito il worm Mini Shai-Hulud a TeamPCP con grande sicurezza. StepSecurity ha individuato la compromissione in 20 minuti. I danni si estenderanno presto anche a Mistral AI, UiPath e oltre 160 pacchetti, spingendo il worm a impersonare persino l’app GitHub di Anthropic per evitare revisioni.

Questi attacchi mettono in luce il limite che ogni red-team ha ignorato: la pipeline di rilascio non è mai stata red-teamed insieme al modello. Quattro incidenti in 50 giorni confermano che la pipeline di rilascio non riceve lo stesso investimento del modello.

Che cosa significa per OpenAI:

All'inizio di Maggio 2026, OpenAI ha lanciato Daybreak, un iniziativa di sicurezza cyber fondato su GPT-5.5. La startup ha creato un nuovo modello chiamato GPT-5.5-Cyber, progettato per testare vulnerabilità e sperimentare il red-teaming autorizzato.

Partners sono Cisco, CrowdStrike, Akamai, Cloudflare, e Zscaler. Il lancio è stato presentato come un segnale di inversione della guerra cyber AI. Il giorno successivo, però, il worm TanStack ha compromesso due dispositivi di OpenAI.

Risposta del settore sicurezza e commenti

Ricercatori del settore hanno riscontrato l'errore: @EnTr0pY88 ha notato su X che la rotazione dei certificati era il vero rilevatore del pericolo, non il codice rubato. @OpenMatter ha spiegato in una frase che, se un malintenzionato controlla il runner CI, controlla anche gli attestati. @The_Calda ha evidenziato la contraddizione interna: "