Introduzione all’Intelligenza Artificiale e Sicurezza Software
L’ultima generazione di modelli di intelligenza artificiale (IA) all’avanguardia non si limita più a conversare con gli utenti, generare immagini o scrivere codice. I ricercatori stanno sempre più utilizzando sistemi come Claude Mythos e Claude Opus 4.8 di Anthropic e GPT-5.5 di OpenAI per identificare vulnerabilità software, sollevando preoccupazioni su cosa accadrà quando queste capacità diventeranno ampiamente disponibili.
Gli investitori in criptovalute hanno ricevuto un campanello d’allarme riguardo alla crescente minaccia proveniente da potenti IA questa settimana, quando gli sviluppatori di Zcash hanno rivelato che Claude Opus 4.8 ha aiutato a scoprire una vulnerabilità critica che avrebbe potuto consentire a un attaccante di coniare ZEC illimitati. A causa del design della rete, non c’è attualmente modo di sapere con certezza se ZEC contraffatti siano stati effettivamente coniati, e questa incertezza ha portato al crollo del prezzo di ZEC alla fine di questa settimana.
La Transizione dell’IA nella Sicurezza
I primi modelli di IA venivano utilizzati professionalmente come assistenti alla codifica, aiutando gli sviluppatori a scrivere, spiegare e fare debug del software. Con il miglioramento della tecnologia, i ricercatori hanno iniziato a utilizzare gli stessi sistemi per la revisione del codice, l’audit del software e la ricerca di vulnerabilità. La transizione da assistente alla codifica a strumento di sicurezza è coincisa con un cambiamento più ampio nel modo in cui l’IA veniva utilizzata all’interno dello sviluppo software.
Dopo il lancio di Claude Code nel 2025, Anthropic ha riportato un forte aumento del codice generato dall’IA all’interno dei suoi team di ingegneria, riflettendo un passaggio da modelli che suggerivano codice a sistemi capaci di scriverlo e eseguirlo.
Implicazioni della Scoperta di Vulnerabilità
“L’IA è di gran lunga migliore nella revisione del codice rispetto alla maggior parte delle persone e nel trovare potenziali vulnerabilità in esso,” ha dichiarato Danny Jenkins, CEO e co-fondatore di ThreatLocker, a Decrypt.
Jenkins ha affermato che i sistemi di IA attuali stanno già accelerando la scoperta di vulnerabilità, mentre modelli più recenti come Mythos potrebbero espandere significativamente quelle capacità, definendola un imminente “grande problema”. “Sarà solo una questione di tempo prima che qualcuno di cattivo vi abbia accesso,” ha detto.
Accesso e Democratizzazione degli Strumenti di Sicurezza
Secondo Jenkins, l’IA sta anche abbassando le barriere all’ingresso per la ricerca di vulnerabilità, consentendo a più persone di analizzare il codice, identificare debolezze e sviluppare exploit. Man mano che l’accesso a sistemi sempre più capaci si espande, si aspetta che il ritmo della scoperta di vulnerabilità aumenti.
“Prima dell’IA, le minacce e gli exploit informatici aumentavano ogni anno,” ha detto. “Dopo l’IA, è diventato ancora più veloce… Non devi più essere un ‘script kiddie’ ora.”
Man mano che i sistemi di IA diventano più capaci, le aziende hanno iniziato ad applicarli alla sicurezza informatica. Martedì, Anthropic ha ampliato l’accesso a Project Glasswing, dando a 150 aziende e istituzioni accesso a Claude Mythos per aiutare a identificare e risolvere vulnerabilità software.
Impatto sulle Criptovalute e DeFi
Crypto e DeFi stanno iniziando a sentire l’impatto della caccia ai bug alimentata dall’IA. I progetti blockchain sono sempre stati obiettivi attraenti perché ci sono molti soldi in gioco e gran parte del codice è disponibile pubblicamente. Jenkins ha affermato che man mano che l’IA migliora nella scoperta di difetti software, i progetti crypto open-source potrebbero diventare obiettivi più facili sia per i ricercatori di sicurezza in cerca di bug sia per gli attaccanti in cerca di sfruttarli.
Conclusioni e Riflessioni Finali
In uno dei casi più chiari di come i modelli di IA avanzati possano aiutare i ricercatori a scoprire vulnerabilità, il ricercatore di sicurezza indipendente Taylor Hornby ha rivelato la vulnerabilità critica nel pool di privacy Orchard di Zcash che ha scoperto con l’assistenza di Claude Opus 4.8. Il difetto avrebbe potuto consentire a un attaccante di creare ZEC contraffatti illimitati ed era rimasto non rilevato per anni prima di essere corretto.
“A causa delle proprietà di privacy di Orchard e della natura del bug, non c’è modo definitivo di determinare, usando solo la crittografia, se tale sfruttamento sia avvenuto.”
Con oltre 840 milioni di dollari rubati da progetti DeFi nei primi cinque mesi del 2026, l’ascesa del cosiddetto ‘vibe hacking’ ha sollevato preoccupazioni che l’IA stia abbassando le barriere per l’esecuzione di attacchi informatici sofisticati. Mentre l’IA sta rendendo più facili da eseguire gli exploit DeFi, il rischio maggiore non è che l’IA sostituisca gli hacker, ma che li amplifichi, consentendo agli attaccanti di concentrarsi su tecniche più sofisticate mentre l’IA gestisce compiti di routine.
