Home Fondamenti Token Modelli AI Deep Learning Tecniche RAG RAG Avanzato MCP Orchestrazione Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Vulnerabilità software: l'impatto dell'A...

Vulnerabilità software: l'impatto dell'AI mette sotto pressione le aziende

AI Italia Blog 15 aprile 2026

L'avanzata dell'intelligenza artificiale sta rivoluzionando il panorama della cybersicurezza, introducendo un'era in cui i modelli di AI sono in grado di individuare vulnerabilità software con una velocità e una portata senza precedenti. Questa capacità, pur offrendo nuove speranze per la difesa, sta contemporaneamente mettendo sotto pressione governi e aziende, poiché il tempo medio tra la divulgazione pubblica di una vulnerabilità e il suo utilizzo in un attacco è crollato drasticamente. Si è passati da 847 giorni otto anni fa a soli 23 giorni nel 2025, e si prevede che nel 2026 molti exploit verranno sviluppati entro 24 ore dalla scoperta della falla. Questo scenario accelerato amplifica il rischio che gli hacker sfruttino le debolezze prima che le correzioni possano essere implementate, costringendo il settore a una corsa contro il tempo.

Un esempio emblematico di questa trasformazione è emerso nel marzo 2026, quando un errore nel codice capace di mandare in crash un sistema operativo utilizzato da firewall, server e dispositivi di rete – e rimasto nascosto per oltre 27 anni – è stato individuato. A scoprirlo non è stato un team umano di esperti, ma Mythos, un modello di intelligenza artificiale sviluppato da Anthropic. Questo singolo evento ha cristallizzato una nuova realtà: i nuovi modelli di AI sono capaci di analizzare quantità massive di codice e individuare vulnerabilità con una velocità che, fino a pochi anni fa, era considerata irrealizzabile. Il risultato tangibile è una crescita esponenziale del numero di bug scoperti e segnalati, creando una dinamica preoccupante tra la scoperta delle falle e la loro effettiva risoluzione.

L'impatto numerico e la pressione sui tempi di correzione

I dati a disposizione confermano questa tendenza. Secondo quanto diffuso dalla piattaforma di sicurezza HackerOne, nel 2025 le segnalazioni di vulnerabilità sono aumentate del 76% rispetto all'anno precedente. Nello stesso periodo, tuttavia, il tempo medio necessario per correggerle è peggiorato, passando da 160 a 230 giorni. Questa discrepanza evidenzia un divario crescente tra la capacità di rilevare i problemi e quella di risolverli efficacemente. Le aziende si trovano a dover gestire un flusso sempre maggiore di segnalazioni, con tempi di risposta che non riescono a tenere il passo, lasciando ampie finestre di opportunità per gli attaccanti.

Il modello Mythos, pur essendo all'avanguardia in questa rivoluzione, non è un prodotto destinato al pubblico. Anthropic ha dichiarato di collaborare con circa 50 aziende e organizzazioni per individuare e correggere le vulnerabilità prima che possano essere sfruttate da attori malevoli. Il gruppo, attraverso il suo team specializzato, il Frontier Red Team, è impegnato nella valutazione dei rischi intrinseci legati all'uso dell'intelligenza artificiale in contesti di sicurezza. Logan Graham, responsabile del team, ha sottolineato che la distribuzione su larga scala di un sistema così potente richiederebbe garanzie ancora difficili da ottenere. Il timore diffuso è che strumenti di questo tipo, se resi disponibili senza adeguati controlli e protezioni, possano trasformarsi in armi altamente efficaci nelle mani di attori malevoli, aggravando ulteriormente il panorama delle minacce.

La risposta del settore e la struttura del software moderno

Anthropic non è l'unica azienda a muoversi in questa direzione. Anche altri giganti del settore tecnologico stanno investendo nell'AI per la sicurezza informatica. OpenAI sta sviluppando una versione dei propri modelli orientata specificamente alla sicurezza, destinata a supportare gli sviluppatori nella correzione dei sistemi prima che i bug possano essere scoperti dai criminali informatici. Allo stesso modo, Google ha annunciato iniziative simili, offrendo accesso anticipato a programmatori selezionati per esplorare e integrare queste nuove capacità. La competizione non si limita quindi al mercato dell'intelligenza artificiale in sé, ma si estende alla capacità di controllare e mitigare gli effetti collaterali di tecnologie che stanno diventando sempre più pervasive e potenti.

Le fragilità dell'ecosistema open source

Il problema non riguarda solo la quantità di vulnerabilità che possono essere individuate, ma anche la struttura intrinseca del software moderno. Molti sistemi contemporanei si basano su componenti open source, sviluppati in modo collaborativo, spesso da volontari. Anthony Alvernaz, cofondatore della piattaforma Numeric, ha utilizzato l'analogia di una torta a più strati per descrivere questa complessa architettura: il codice proprietario rappresenta soltanto la superficie, mentre sotto si trovano numerosi livelli di software condiviso. Queste componenti costituiscono l'infrastruttura di base di internet, ma non sempre dispongono delle risorse necessarie per gestire un aumento massiccio di segnalazioni di bug. Il rischio concreto è che gli sviluppatori di progetti più piccoli vengano letteralmente sommersi da richieste di correzione, senza avere la capacità, in termini di tempo o personale, di intervenire rapidamente.

Il caso del bug scoperto nel sistema operativo OpenBSD illustra perfettamente questa problematica strutturale. L'errore risaliva al 1998 e quella porzione di codice era stata scritta dal ricercatore di sicurezza Niels Provos, all'epoca dottorando presso l'Università del Michigan. Dopo la scoperta da parte di Mythos, Provos ha verificato rapidamente e ha confermato che l'errore era effettivamente il suo. Ha raccontato di aver trovato la situazione "divertente", sottolineando come quel codice fosse così vecchio da non essere probabilmente analizzato da anni. In passato, individuare un errore simile avrebbe richiesto settimane o mesi di lavoro umano altamente specializzato. Oggi, un sistema di AI può farlo in pochi giorni, utilizzando risorse di calcolo relativamente contenute. Anthropic ha stimato che Mythos ha impiegato circa 20.000 dollari di potenza computazionale per trovare decine di vulnerabilità in soli due giorni.

L'accelerazione dello sfruttamento e il nuovo equilibrio di potere

La fase più critica in questo scenario non è la scoperta del bug in sé, ma il tempo che intercorre tra la sua individuazione e il suo effettivo sfruttamento. Otto anni fa, secondo il ricercatore Thomas Ptacek, il tempo medio tra la divulgazione pubblica di una vulnerabilità e il suo utilizzo in un attacco era di 847 giorni. Nel 2025 è sceso a 23 giorni e le proiezioni per il 2026 indicano che molti exploit verranno sviluppati entro 24 ore. L'intelligenza artificiale accelera anche questa fase. Non solo individua le falle, ma è sempre più efficace nello scrivere codice capace di sfruttarle. Anthropic ha riferito che Mythos è già in grado di generare exploit funzionanti in ambienti di test controllati. In un caso documentato, il modello ha individuato oltre 100 vulnerabilità nel browser Mozilla Firefox ed è riuscito a sviluppare codice per sfruttarne almeno una. Sebbene nella versione reale del software sistemi di sicurezza aggiuntivi avrebbero impedito l'attacco, l'esperimento dimostra la rapidità con cui queste tecnologie possono essere impiegate.

Storicamente, la cybersicurezza è stata una corsa tra chi attacca e chi difende, una dinamica continua di innovazione e contromisure. L'introduzione dell'AI modifica radicalmente questi rapporti di forza. Sergej Epp, responsabile della sicurezza informatica presso Sysdig, ha raccontato di aver trovato diverse vulnerabilità in breve tempo utilizzando strumenti AI, nonostante non cercasse bug attivamente da oltre un decennio. Durante una conferenza, Epp ha presentato un progetto chiamato "Zero-Day Clock", ispirato al "Doomsday Clock" del Bulletin of the Atomic Scientists, un sito che mostra la velocità con cui nuove vulnerabilità vengono trasformate in strumenti di attacco. Secondo Epp, l'AI sta fornendo "superpoteri agli hacker più che ai difensori". Questa valutazione riflette una preoccupazione crescente nel settore, che si trova a dover affrontare un avversario sempre più potente e veloce.

Coordinamento globale e implicazioni economiche

Di fronte a questa minaccia emergente, negli Stati Uniti, la Casa Bianca ha avviato un coordinamento tra settore pubblico e privato per affrontare il problema. Tra i protagonisti di questo sforzo c'è il direttore nazionale per la cybersicurezza, Sean Cairncross, impegnato attivamente nell'identificazione delle vulnerabilità nei sistemi governativi. L'obiettivo è chiaro: anticipare gli attacchi, rafforzare le infrastrutture critiche e sviluppare standard comuni per la gestione dei bug. Il modello richiamato, per dimensioni e complessità, è quello dello sforzo globale intrapreso per risolvere il problema Y2K alla fine degli anni Novanta, il cosiddetto "Millennium bug". Allora, il rischio riguardava l'incapacità dei sistemi informatici di gestire il passaggio al nuovo millennio. Oggi, la sfida è gestire una quantità crescente di vulnerabilità generate e individuate con strumenti automatizzati, che si muovono a una velocità senza precedenti.

Le implicazioni di questa rivoluzione non sono solo tecnologiche, ma si estendono al mondo economico e finanziario. Gli investitori stanno monitorando il settore con attenzione, temendo effetti strutturali sull'industria del software. Nella settimana successiva alle prime notizie su Mythos, diversi titoli di aziende di cybersicurezza hanno registrato cali significativi. Il timore è che l'aumento delle vulnerabilità renda più complesso il modello di business tradizionale, basato sulla prevenzione e sulla gestione dei rischi. Allo stesso tempo, tuttavia, cresce in modo esponenziale la domanda di strumenti avanzati di sicurezza e di soluzioni basate sull'AI. Le aziende che riusciranno a integrare queste tecnologie in modo efficace, trasformando la minaccia in opportunità, potrebbero ottenere un vantaggio competitivo significativo in un mercato in rapida evoluzione.

Un altro elemento di rischio riguarda i prodotti tecnologici meno diffusi. In passato, molti sistemi di nicchia non venivano presi di mira semplicemente perché non erano abbastanza interessanti o convenienti per gli hacker. Con l'avvento dell'AI, questa barriera si riduce drasticamente. È ora possibile analizzare automaticamente grandi quantità di software, individuando vulnerabilità anche in prodotti poco conosciuti o con una base di utenti limitata. Ptacek sottolinea che diventerà più facile attaccare componenti dell'infrastruttura che in precedenza non erano considerati obiettivi primari. Le aziende che sviluppano questi prodotti spesso non dispongono delle risorse necessarie per gestire un'ondata di correzioni improvvise. Il problema principale, in definitiva, non è l'esistenza delle vulnerabilità in sé – che è una costante nel mondo del software – ma la capacità di correggerle in tempi adeguati, una capacità che l'era dell'AI sta mettendo sotto una pressione senza precedenti.

Leggi l'articolo originale →
← Torna alle news