L’utilizzo di strumenti di intelligenza artificiale per scoprire e sfruttare vulnerabilità del software è ormai una realtà concreta e non un pericolo ipotetico per aziende, governi e infrastrutture. L’aumento esponenziale nella scoperta di vulnerabilità, grazie alla potenza analitica dell’AI, e la capacità di tradurle rapidamente in attacchi rappresenta una svolta nel panorama delle minacce informatiche. Oggi non si parla più di una minaccia remota, ma di un rischio tangibile che richiede interventi strutturali, nuovi processi di sviluppo e nuove normative.
La crescente minaccia da parte degli strumenti AI
Tra i principali attori in tema di minacce legate all’AI, si registra l’attività del gruppo Anthropic Mythos, che ha identificato una serie di vulnerabilità critiche in software fondamentali. Il kernel di Linux si trova particolarmente esposto, probabilmente a causa della sua natura open source, dove qualsiasi scoperta di vulnerabilità diventa presto di dominio pubblico. Tuttavia, non solo i sistemi operativi, ma anche molteplici componenti software sono bersaglio di analisi mirate, trasformando rapidamente tali scoperte in attacchi.
Una preoccupazione crescente riguarda la capacità di strumenti AI, anche di seconda generazione, di produrre codice di attacco efficace in tempi brevissimi. Questo scenario rende necessario rivedere modelli tradizionali di sicurezza e implementare nuove strategie proattive e resilienti. In particolare, si rende indispensabile intervenire per migliorare i processi di sviluppo, la qualità del codice e i tempi di patching.
La sfida europea: una prospettiva diversa dalla statunitense
L’Europa si trova in una posizione strategica, ma anche fragile. Rispetto agli Stati Uniti o alla Cina, che adottano approcci commerciali più aggressivi, l’Unione Europea deve sviluppare un modello autonomo di protezione e innovazione digitale, con particolare attenzione alle questioni di sovranità tecnologica. L’enfasi su prodotti critici, ad esempio, richiede un controllo rigoroso sulla loro progettazione e sull’utilizzo di tecnologie AI che assicurino non solo qualità, ma anche sicurezza.
Qualità del codice e strumenti di analisi
L’utilizzo di strumenti di AI in fase di sviluppo introduce una duplice prospettiva: da un lato è possibile migliorare la qualità del software identificando in tempo reale potenziali vulnerabilità; dall’altro, però, esiste il rischio che il codice prodotto con l’aiuto dell’AI abbia una qualità inferiore, generando vulnerabilità intrinseche. Ciò è particolarmente problematico quando le vulnerabilità individuate non riescono a compensare statisticamente il deterioramento della qualità del codice, soprattutto in software che devono operare in contesti critici.
Si tratta qui di un tema cruciale per il futuro del software “critico di infrastruttura”. Un confronto storico utile è tra Linux e OpenBSD: Linux ha una prospettiva focalizzata sull’evoluzione e sull’aggiunta di funzionalità, mentre OpenBSD mira esplicitamente alla sicurezza, sottoponendo ogni pezzo di codice a un processo di revisione rigoroso. Per applicazioni essenziali dove le funzionalità extra non sono necessarie, un approccio come quello di OpenBSD potrebbe rappresentare una strada vincente per garantire una protezione ottimizzata.
Patch management e Cyber Resilience Act
La capacità di reagire velocemente alle nuove minacce non è solo legata alla scoperta e alla gestione di vulnerabilità, ma anche all’efficienza nel rilascio e nell’applicazione delle patch. Questo richiede la collaborazione tra sviluppatori, produttori e utilizzatori, e il supporto della normativa.
Un’iniziativa rilevante in questo contesto è il Cyber Resilience Act, che potrebbe entrare pienamente in vigore nel 2027. Questa normativa si pone un obiettivo chiave: garantire che tutti i prodotti immessi sul mercato europeo non siano dotati di vulnerabilità conosciute sfruttabili, che siano aggiornabili in tempi brevissimi e che gli aggiornamenti di sicurezza siano gratuiti e disponibili separatamente dagli aggiornamenti funzionali. Sebbene il processo di applicazione possa incontrare ritardi per complessità procedurali, è essenziale accelerare le normative relative alla gestione delle vulnerabilità.
Lavoro aziendale: gestione del rischio e difesa in profondità
Per le aziende, l’approccio alla gestione del rischio include sia l’implementazione di best practice di base (come backup resistenti, autenticazione multifattore e monitoraggio del sistema), che un cambiamento sistemico nel modo in cui si approccia la vulnerabilità 0-day.
I due pilastri fondamentali per la protezione sono la difesa in profondità e la riduzione della superficie di attacco. Il primo si basa sull’aggiunta di strati di protezione multipla per rendere più difficile l’accesso ai sistemi; il secondo mira a limitare l’esposizione complessiva, rimuovendo funzionalità non necessarie o non utilizzate. Ad esempio, la vulnerabilità Copy Fail di Linux era legata a un modulo non sempre utilizzato: il non averlo installato avrebbe prevenuto il rischio correlato.
Strumenti emergenti e sfide della futuristica sicurezza
Le sfide crescono a causa della velocità con cui gli exploit vengono sviluppati. L’AI non si limita più a scoprire vulnerabilità: oggi ne crea di nuove in contesti di sviluppo, e ne sfrutta il codice generato per generare nuove minacce. La risposta non può essere reattiva ma necessita di investimenti su strumenti di analisi proattivi, di controlli automatizzati in sviluppo e di una formazione del personale su minacce evolute.
Ricerca e cooperazione internazionale
Un’altra dimensione cruciale riguarda la ricerca e la condivisione di informazioni. Molti paesi, per evitare un vantaggio asimmetrico da parte di nazioni o gruppi malintenzionati, devono sviluppare una cooperazione globale per condividere vulnerabilità e modelli di analisi predittiva. Questo però deve sempre tenere in considerazione un bilanciamento tra condivisione e riservatezza dove le informazioni potrebbero essere usate da organizzazioni non collaborative.
Investire per proteggersi
L’importanza del capitolo pubblico non è mai esagerata: il finanziamento di progetti open source di sicurezza di alto livello può costituire un sostegno vitale per molte strategie di difesa a livello europeo. L’open source non è solo una soluzione gratuita, ma una piattaforma per realizzare iniziative tecniche di interesse strategico.
Infine, bisogna ricordare che la responsabilità non può essere lasciata interamente alle aziende: lo sviluppo sostenibile e resiliente del software richiede che le software house siano incentivate a seguire modelli di design sicuri, a investire in strumenti di analisi avanzata e a creare un ambiente organizzativo che tenga la sicurezza al primo posto, non solo come controllo ma come