Sei modi in cui gli attaccanti sfruttano i servizi di IA per violare la tua azienda

A misura che le aziende si affidano sempre più alle tecnologie e ai servizi di intelligenza artificiale (IA), le tecniche di "living-off-the-land" degli attaccanti si sono evolute per sfruttare proprio questi sistemi emergenti. Questo cambiamento strategico rappresenta una minaccia significativa, poiché i criminali informatici non si limitano più a software malevoli tradizionali, ma abusano degli strumenti di IA legittimi su cui le organizzazioni fanno affidamento.

Questa tendenza, descritta da alcuni esperti come "vivere di rendite dell'IA", segna un'evoluzione fondamentale nel panorama delle minacce informatiche. Kaushik Shanadi, direttore tecnico di Helmet Security, una startup focalizzata sulla protezione delle comunicazioni IA agenziali, osserva: "Lo stiamo vedendo in casi come server MCP contaminati nella catena di approvvigionamento, attaccanti che utilizzano modelli legittimi come Claude per estrarre dati sensibili e persino agenti virali come OpenClaw che causano accidentalmente azioni distruttive. Il problema è che la maggior parte di questi sistemi è stata implementata prima che qualcuno si fermasse a pensare alla governance o alla sicurezza." Pascal Geenens, vicepresidente dell'intelligence sulle minacce informatiche presso Radware, aggiunge che "gli attaccanti non si limitano più a cercare di ingannare un chatbot; vivono a spese dell'IA, abusando delle stesse funzioni legittime di automazione e memoria che rendono utili gli assistenti IA."

Sei modi in cui gli attaccanti stanno sovvertendo i servizi di IA

1. Impersonazione di server MCP

Uno degli esempi più eclatanti di come gli attaccanti stiano sfruttando l'infrastruttura IA è l'impersonazione di server del Protocollo di Contesto di Modello (MCP). Nel settembre 2025, gli attaccanti hanno promosso un falso server MCP che imitava la tecnologia necessaria per integrare Postmark, un servizio di email transazionali di proprietà di ActiveCampaign, negli assistenti di IA.

Il pacchetto del server MCP falso sembrava legittimo e ha funzionato come uno strumento autentico per ben 15 versioni. Solo in seguito, una modifica di una singola riga di codice ha causato il dirottamento silenzioso di comunicazioni sensibili, inclusi reset di password, fatture e memo interni, per giorni prima che l'attacco fosse rilevato. Questo pacchetto dannoso, che ha attirato 1.500 download a settimana nel popolare registro di pacchetti di Node.js, ha esposto le aziende che si affidavano allo strumento a una forma sofisticata di attacco alla catena di approvvigionamento.

Brad Micklea, amministratore delegato di Jozu, una piattaforma di sicurezza IA e MLOps, spiega: "Questo è l'equivalente nell'IA del dirottamento di nomi in un registro di pacchetti, salvo che non esiste un'autorità centrale MCP che verifichi l'identità del server né un collegamento crittografico tra un server MCP e l'organizzazione che afferma di rappresentare." Di conseguenza, "ciò rompe il modello di fiducia ancor prima che l'MCP venga implementato." I server MCP, che consentono agli agenti di IA e ai chatbot di connettersi a fonti di dati, strumenti e altri servizi, sono diventati un obiettivo recente di attacchi malevoli diversi e sostenuti. Proteggere questi sistemi per minimizzare i rischi è diventato una priorità per i CISO. Zahra Timsah, dottoressa e direttrice esecutiva di i-GENTIC AI, una piattaforma di governance IA agenziale, aggiunge: "Se un attaccante inserisce uno strumento contaminato, un connettore modificato o una fonte di recupero dannosa in quella catena, l'agente IA può eseguirlo inconsapevolmente."

2. Abuso delle piattaforme IA come canali C2 nascosti

I criminali informatici stanno anche abusando delle piattaforme di IA come canali di comando e controllo (C2) nascosti, trasformando i servizi di IA in proxy che occultano il traffico malevolo all'interno del flusso di contenuto legittimo. Anziché eseguire un server C2 dedicato, il malware è programmato per ottenere comandi ed esfiltrare dati tramite i servizi di IA, eludendo così i controlli di sicurezza tradizionali.

Un esempio calzante è la backdoor SesameOp, che nascondeva il traffico di comandi all'interno dell'API di OpenAI Assistants, camuffando le istruzioni al malware come normale attività di sviluppo IA. Questo non è affatto un caso isolato e il potenziale di uso improprio è enorme. Ad esempio, Check Point Research ha dimostrato come Microsoft Copilot e Grok potessero essere manipolati tramite le loro interfacce web pubbliche per recuperare URL controllate dagli attaccanti e restituire risposte. Questo comportamento apre la porta all'abuso dei sistemi di IA senza la necessità di una chiave API o di un account autenticato.

3. Avvelenamento delle dipendenze nei flussi di lavoro IA

Anziché attaccare direttamente un sistema di IA, alcuni attacchi si sono basati sull'avvelenamento delle dipendenze a valle su cui un agente fa affidamento per l'elaborazione dei dati. In un caso, un pacchetto NPM compromesso è stato iniettato nella catena di dipendenze di un flusso di lavoro di un agente. Micklea, di Jozu, afferma: "Questo riflette i classici attacchi alla catena di approvvigionamento (ad esempio, SolarWinds), ma una dipendenza contaminata in un flusso di lavoro di un agente non solo filtra i dati, ma può alterare il processo decisionale dell'agente, la selezione degli strumenti o il risultato senza che si osservi alcuna anomalia."

4. Agenti doppi

Alcuni attaccanti stanno sfruttando le vulnerabilità degli agenti stessi, anziché abusare dei componenti dell'infrastruttura IT tradizionale. La vulnerabilità di iniezione di comandi EchoLeak in Microsoft 365 Copilot (CVE-2025-32711) dimostra che una singola email con istruzioni nascoste è sufficiente per costringere l'assistente IA a esfiltrare file interni ed email a un server esterno senza interazione dell'utente.

Una serie di vulnerabilità, come CVE-2026-25253, in OpenClaw, il popolare assistente IA personale open-source, ha creato una via per un sito web malevolo per prendere il controllo totale dell'agente IA dello sviluppatore. Il Dr. Suleyman Ozarslan, vicepresidente di Picus Labs presso Picus Security, specialista in simulazione di violazioni e attacchi, spiega: "Sono stati rilevati più di 21.000 casi di questo tipo, e i ricercatori hanno inoltre osservato che il 12% del mercato delle competenze della piattaforma OpenClaw distribuiva malware."

I ricercatori di sicurezza di Varonis hanno scoperto un attacco contro Microsoft Copilot Personal che eludeva le misure di sicurezza integrate semplicemente richiedendo dati sensibili due volte. La vulnerabilità Reprompt, che ha trasformato di fatto Microsoft Copilot in uno strumento di esfiltrazione dati, è stata segnalata a Microsoft, che ha risposto rilasciando una patch.

5. Campagne di spionaggio orchestrate dall'IA

Anthropic ha rilevato attori malevoli che abusavano di Claude Code per gestire compiti operativi in una campagna di ciberspionaggio nel settembre 2025. Un gruppo sospettato di essere sponsorizzato dallo stato cinese, designato come GTG-1002, ha utilizzato Claude Code per eseguire tra l'80% e il 90% delle operazioni tattiche in modo indipendente, a ritmi di richiesta fisicamente impossibili per operatori umani.

Gli attaccanti hanno abusato delle capacità di agenzia di Claude Code per automatizzare la creazione di script, la ricerca di obiettivi, lo sviluppo di strumenti di attacco e altre funzioni. "Gli attaccanti hanno scomposto la loro operazione in migliaia di piccole attività, innocue individualmente, combinate con un framework di gioco di ruolo che ha convinto il modello a operare come parte di una valutazione di sicurezza", il che ha permesso loro di aggirare i rilevamenti e di sfruttare l'IA per compiti di spionaggio su larga scala.

L'emergere di queste tecniche di attacco basate sull'IA sottolinea una profonda evoluzione nel panorama della cybersicurezza. Gli attaccanti stanno diventando sempre più sofisticati, sfruttando le stesse funzionalità che rendono l'IA così preziosa per le aziende, trasformando strumenti legittimi in armi potenti e difficili da rilevare. La mancanza di governance e sicurezza dell'IA fin dalle prime fasi di implementazione sta creando un terreno fertile per queste nuove minacce.

Per affrontare efficacemente questa sfida, le organizzazioni devono adottare un approccio proattivo. Ciò include la revisione e il rafforzamento dei protocolli di sicurezza per i servizi IA, l'implementazione di rigorosi controlli sulla catena di approvvigionamento per le dipendenze IA e lo sviluppo di strategie di rilevamento delle minacce che tengano conto del traffico nascosto e delle interazioni complesse all'interno degli ecosistemi IA. La sicurezza dell'IA non è più un lusso, ma una necessità impellente per la protezione delle risorse aziendali nell'era digitale.