Google ferma zero-day AI: bypass 2FA su tool open-source
GTIG ha fermato uno zero-day generato via AI che bypassa il 2FA in un tool open-source, accelerando la democratizzazione delle vulnerabilità logiche.
Contenuto
Il Google Threat Intelligence Group (GTIG) ha annunciato l’11 maggio 2026 di aver identificato e neutralizzato uno zero-day in un tool open-source web-based di system administration che bypassa il 2FA, valutando con high confidence che l’exploit sia stato sviluppato con un modello AI. La scoperta segna il primo caso di vulnerabilità zero-day AI-generated impiegata in mass exploitation nel wild: l’inflessione non è la complessità della falla — una semantic logic flaw, non un RCE — ma la compressione dei tempi discovery-to-exploitation e la democratizzazione di ricerca sulle vulnerabilità semantiche.
- Il GTIG ha individuato uno zero-day in uno script Python che bypassa il 2FA su un noto tool open-source web-based di system administration, attivando la responsible disclosure con il vendor interessato.
- L’assessment di high confidence sull’origine AI si fonda su euristiche stilistiche: docstring educative, un CVSS score allucinato e una formattazione Pythonic tipica dei dati di training degli LLM, senza identificazione del modello specifico.
- L’operazione è attribuita a cybercrime threat actors che progettavano una mass exploitation, anche se non è confermato se l’exploit sia stato effettivamente usato in the wild prima dell’intervento proattivo di Google.
- Il bypass richiede credenziali valide e sfrutta una hard-coded trust assumption, evidenziando che il 2FA come controllo esclusivo può cedere di fronte a logic flaw semantiche nel codice sottostante.
La semantic logic flaw dietro il bypass del 2FA
Il bypass del 2FA non si basa su furto di sessione o ingegneria sociale, ma su una semantic logic flaw radicata in una hard-coded trust assumption del codice del tool interessato. L’attaccante deve già disporre di credenziali valide per abusare della falla logica, che interrompe la catena di verifica senza necessità di buffer overflow o RCE.
Google non ha reso noto il nome del vendor né del tool open-source coinvolto, limitando la capacità dei difensori di verificare autonomamente l’esposizione in attesa del patching ufficiale. Questo meccanismo mette in discussione l’efficacia del 2FA inteso come controllo esclusivo, evidenziando come una trust assumption errata nel codice possa annullarne la protezione senza compromettere il dispositivo dell’utente finale.
L’exploit Python che tradisce il modello AI
Secondo il GTIG, lo script d’attacco presenta tratti stilistici incongruenti con il codice tipicamente prodotto manualmente da sviluppatori esperti di offensive security. La presenza della classe _C per la gestione dei colori ANSI e la forma didattica delle funzioni rientrano in pattern ricorrenti nei dataset di training dei large language models. Google ha precisato di non aver identificato il modello specifico utilizzato — e di escludere con high confidence che sia stato Gemini — basandosi sulla struttura e sul contenuto degli exploit analizzati, limitando l’attribution a euristiche stilistiche.
"the script contains an abundance of educational docstrings, including a hallucinated CVSS score, and uses a structured, textbook Pythonic format highly characteristic of LLMs training data" - Google Threat Intelligence Group (GTIG)
Cybercrime actor in attesa della mass exploitation
Il GTIG ha intercettato prominenti cybercrime threat actors che collaboravano attivamente per pianificare una mass vulnerability exploitation operation. Non è chiaro, tuttavia, se lo script sia stato effettivamente impiegato in the wild prima della discovery proattiva di Google o se la campagna sia stata interrotta prima del mass exploitation vero e proprio.
L’operazione dimostra comunque che gli attori criminali stanno integrando strumenti AI-generated nei workflow di weaponization, abbassando il costo di ingresso per orchestrare compromissioni a larga scala senza competenze tradizionali di reverse engineering. La collaborazione osservata suggerisce inoltre che l’exploit non fosse destinato a un bersaglio singolo, ma progettato per una distribuzione orizzontale su infrastrutture eterogenee.
Democratizzazione dei zero-day: la minaccia è il tempo, non la complessità
La vera inflessione segnalata da Google non risiede nella sofisticazione della vulnerabilità, ma nella velocità con cui una semantic flaw è stata individuata, validata e trasformata in exploit pronto per il mass exploitation. L’uso di un modello AI ha ridotto l’effort necessario a un threat actor per generare codice funzionale che sfrutta trust assumption errate, democratizzando l’accesso a zero-day precedentemente riservati a gruppi con maggiori risorse.
Finora, la ricerca di flaw semantiche richiedeva una comprensione profonda del flusso applicativo; l’intervento di un LLM abbassa quella soglia, permettendo di generare codice che implementa bypass logici con la stessa rapidità con cui si produce malware convenzionale. Questo sposta l’asticella per i difensori: il problema non è più solo il 2FA come controllo esclusivo, ma la qualità del codice sottostante e la capacità di reagire prima che il bypass venga distribuito a livello industriale.
Cosa fare adesso
Monitorare gli advisory di sicurezza dei vendor di tool open-source web-based di system administration, verificando la presenza di patch rilasciate nelle ore successive all’annuncio del GTIG che riguardino specificamente il flusso di autenticazione a due fattori. Poiché il nome del tool non è stato divulgato, la vigilanza deve estendersi a tutte le piattaforme di system administration open-source installate nell’infrastruttura.
Ispezionare il codice sorgente delle istanze interne alla ricerca di hard-coded trust assumption nel percorso 2FA, eventualmente ricorrendo a audit semantici supportati da strumenti SAST in grado di rilevare logic flaw relazionali piuttosto che solo vulnerabilità di memoria. Una semantic logic flaw di questo tipo non lascia traccia nei crash log, ma si manifesta nel flusso decisionale dell’autenticazione.
Rafforzare il monitoring delle sessioni amministrative assumendo che credenziali valide compromesse possano aggirare il 2FA su tool vulnerabili: implementare alert su anomalie di origine geografica, orario e comportamento d’accesso per rilevare abuso di credenziali valide anche quando il secondo fattore risulta formalmente superato.
Rivedere la strategia di autenticazione privilegiata non trattando il 2FA come controllo esclusivo, ma implementando layer aggiuntivi come context-aware access e behavioral analytics per tool critici. Se il codice sottostante presenta trust assumption errate, il secondo fattore da solo non garantisce la resistenza all’abuso.
L’episodio conferma che la linea di demarcazione tra vulnerability research automatizzata e weaponization manuale si sta assottigliando più in fretta di quanto le strutture difensive abbiano previsto. Per le redazioni di sicurezza e i CISO, la priorità non è più solo inseguire la patch, ma costruire una capacità di osservazione del codice interno che resista alla logica, non solo alla memoria.
Se un modello AI può già produrre uno zero-day valido per aggirare il 2FA, il prossimo parametro da monitorare non è la complessità dell’exploit, ma la quantità di attori in grado di replicarlo.
Domande frequenti
Se il nome del tool non è divulgato, come posso verificare la mia esposizione?
Non è possibile determinare a priori se una specifica istanza sia vulnerabile. Google ha collaborato con il vendor per la responsible disclosure, quindi l’indicazione pratica è monitorare gli advisory di sicurezza dei tool open-source di system administration web-based installati e applicare immediatamente gli update che modificano il flusso 2FA.
L’intelligenza artificiale ha scoperto autonomamente la vulnerabilità?
No. Il report del GTIG non afferma autonomia completa, ma evidenzia l’uso di un modello AI per la discovery e la weaponization della falla. Gli attori della minaccia hanno comunque orchestrato l’operazione e probabilmente fornito il contesto semantico necessario al modello per generare l’exploit.
Perché Google esclude che sia stato usato Gemini?
Il GTIG ha valutato con high confidence che Gemini non sia stato impiegato dagli attaccanti basandosi sulla struttura e sul contenuto del codice analizzato. Tuttavia, il modello AI specifico non è stato identificato e l’assessment rimane fondato su euristiche stilistiche piuttosto che su artifact tecnici univoci.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.