Il primo attacco hacker AI-driven: perché il caso Anthropic è una svolta

Il primo attacco hacker AI-driven coinvolge Anthropic e un gruppo APT cinese. Un caso che segna una svolta nella sicurezza digitale.

Dall’avvento dell’intelligenza artificiale ci siamo sempre chiesti quando avremmo assistito ad una sua virata fuori dagli schemi. Ritenevamo che potesse essere fantascienza, eppure qualcosa è accaduto. Il modello di Anthropic ha messo a segno un attacco informatico quasi in maniera autonoma, venendo supportata da un gruppo APT cinese. Non stiamo parlando di un supporto, o del semplice assistente che automatizza script, ma di un sistema che ha dimostrato di poter portare avanti intere fasi di una campagna offensiva.

Analisi dell’attacco
Il ruolo dell’IA e la componente umana
Controversie e limiti
Un punto di svolta nella cybersecurity

immagine caso antropic attacco ai-driven

L’episodio ha immediatamente attirato l’attenzione di analisti, governi e ricercatori di sicurezza, perché mostra un salto di qualità che finora era rimasto solo teorico. L’idea che un modello linguistico possa assumere un ruolo attivo all’interno di un attacco solleva interrogativi nuovi: non sulle capacità tecniche dell’IA, ma sul modo in cui queste possono essere impiegate da attori organizzati.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Analisi dell’attacco

Il 14 novembre 2025, Anthropic ha rilasciato un report dettagliato che documentava un presunto attacco hacker interamente AI-driven. Secondo il documento, la compagnia ha individuato un gruppo APT cinese, identificato come GTG-1002, che stava conducendo una campagna di cyberspionaggio sfruttando Claude Code come strumento operativo. L’IA non è stata utilizzata per generare malware in modo autonomo, ma per orchestrare parti del ciclo d’attacco. Dalla ricognizione alla preparazione degli exploit, fino alla raccolta dei dati. L’azienda ha scoperto l’attività analizzando pattern di richieste anomale e interazioni provenienti da account compromessi.

La campagna era rivolta principalmente a infrastrutture tecnologiche, fornitori di telecomunicazioni e organismi governativi. L’IA veniva incaricata di automatizzare task ripetitivi e ad alta intensità operativa, come la scansione di vasti blocchi di indirizzi IP, la generazione di varianti di payload, l’analisi di log e la preparazione di report sintetici per gli operatori umani. In pratica, il modello veniva utilizzato come motore di accelerazione, capace di ridurre drasticamente i tempi necessari per portare avanti un’operazione complessa.

Stando al report, Anthropic ha rilevato la presenza di workflow che mostravano un livello di coerenza e continuità difficilmente replicabile da un singolo attaccante, suggerendo un’interazione ibrida uomo-IA. I log indicano una forte integrazione tra input umani mirati e attività automatizzate eseguite dal modello. Questo ha permesso al gruppo di coordinare un numero elevato di attività parallele, ottenendo una capacità operativa superiore alla norma. È stato proprio questo comportamento anomalo a far scattare l’allarme interno e portare alla pubblicazione del rapporto.

Il ruolo dell’IA e la componente umana

La particolarità di questo caso non riguarda tanto l’uso dell’IA all’interno di un’operazione di cyber-spionaggio, quanto il tipo di attività che le è stato affidato. L’IA è stata impiegata come motore di analisi continua, capace di correlare informazioni eterogenee e mantenere una coerenza operativa difficile da replicare manualmente. Da ciò si evince che il modello non ha preso decisioni autonome, ma ha gestito la parte più onerosa del lavoro.

I membri della cybergang intervenivano solo per definire gli obiettivi, impostare i parametri dell’attacco e valutare i risultati intermedi. In altre parole, GTG-1002 guidava la direzione della campagna, mentre Claude Code traduceva in sequenze operative tutte le indicazioni ricevute in input. È una distribuzione dei ruoli che riduce drasticamente i tempi e facilita notevolmente il passaggio tra una fase e l’altra.

Questo tipo di integrazione permette di mantenere alta la continuità dell’operazione, anche quando gli attaccanti non sono attivamente presenti. Questo perché l’IA rimane attiva in background ed elabora grandi volumi di dati, oltre a produrre versioni multiple di uno stesso task.

Controversie e limiti

Nonostante il clamore mediatico suscitato dal caso, diversi esperti di cybersecurity hanno espresso perplessità sulla narrativa proposta da Anthropic. Kevin Beaumont, ex analista Microsoft ed esperto stimato nel settore, ha definito strano che l’azienda non abbia pubblicato indicatori di compromessione, rendendo impossibile verificare in modo indipendente la portata dell’attacco. Anche il ricercatore Daniel Card ha parlato apertamente di “chiacchiere di marketing”, sostenendo che molte affermazioni sono difficili da valutare senza evidenze tecniche concrete.

Un punto molto discusso riguarda il comportamento stesso dell’IA durante l’operazione. Secondo quanto riferito dalla stessa Antrhopic il 17 novembre 2025, i task assegnati a Claude sono stati mascherati dal gruppo GTG-1002 come attività amministrative comuni, aggirando la capacità del modello di riconoscerle come malevole. In più occasioni l’IA ha mostrato fenomeni di allucinazione, proponendo risultati inesatti o fuorvianti, come vulnerabilità già note o credenziali non valide.

Il principale tema di discussione è quello della presunta autonomia dell’attacco. Anthropic ha dichiarato un’operatività “tra l’80 e il 90% automatizzata”, ma diversi ricercatori ritengono questa stima contraddittoria con il funzionamento noto dei modelli linguistici. Senza log completi, non è possibile stabilire quanto del processo sia realmente attribuibile all’IA e quanto agli operatori umani. Queste controversie non annullano l’importanza dell’incidente, ma invitano a una lettura equilibrata, lontana tanto dal trionfalismo tecnologico quanto dall’allarmismo superficiale.

Un punto di svolta nella cybersecurity

L’attacco attribuito a GTG-1002 segna l’ingresso dell’IA generativa come componente operativa di una campagna offensiva. Per la prima volta, un modello linguistico è stato impiegato per sostenere il lavoro di un APT, riducendo tempi, costi e complessità. Secondo quanto affermato da Nury Turkel, giornalista del Wall Street Journal, la vicenda è destinata ad avere un impatto paragonabile a ciò che accadde nel 1988 con il Morris Worm, il primo worm a propagarsi su larga scala.

All’epoca non fu la sua complessità a sconvolgere il mondo informatico, ma il fatto che avesse dimostrato che un codice potesse replicarsi da solo. Allo stesso modo, questo attacco non mostra un’IA onnipotente, ma un modello in grado di sostenere una campagna reale su compiti che richiedono continuità, scalabilità e capacità di analisi. Una soglia che, una volta superata, non può essere ignorata e che è destinata a cambiare per sempre il terreno di gioco.

Le barriere d’ingresso agli attacchi si riducono drasticamente, mentre il loro raggio d’azione si amplia notevolmente. Tutto ciò spalanca, di fatto, le porte a una nuova generazione di minacce ibride. Capire come contrastarle e adattarci, sarà l’unica possibilità di difendere i nostri dati e le nostre identità digitali dai nuovi cybercriminali.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.