Google rivela primo zero-day generato da AI: bypass 2FA

Google conferma il primo zero-day generato da AI: aggirato il 2FA in un tool open-source. Scoperto l'11 maggio 2026, è una nuova fase della weaponizzazione.

Contenuto

Google rivela primo zero-day generato da AI: bypass 2FA
Google rivela primo zero-day generato da AI: bypass 2FA

Il Google Threat Intelligence Group ha reso pubblico l’11 maggio 2026 la scoperta del primo exploit zero-day funzionante sviluppato con l’assistenza di un modello di intelligenza artificiale. Un gruppo criminale ha impiegato uno script Python per bypassare l’autenticazione a due fattori in uno strumento open-source di amministrazione sistema web-based. La rivelazione supera una soglia finora teorica: la weaponizzazione AI di vulnerabilità ignote è adesso un fatto documentato.

Punti chiave
  • Il codice dell'exploit mostra segni inequivocabili di assistenza da un modello AI che non è Gemini: docstring educative, un punteggio CVSS inventato e una struttura Python tipica degli LLM.
  • La falla sfruttata è una vulnerabilità logica semantica, legata a una hardcoded trust assumption, che gli scanner statici e dinamici tradizionali non rilevano facilmente.
  • Google ha coordinato con il vendor del software open-source il rilascio di una patch, impedendo una potenziale campagna di exploitation di massa su un tool popolare.
  • Errori nell'implementazione dell'exploit da parte del gruppo criminale hanno probabilmente rallentato o impedito un utilizzo con successo prima della scoperta e della correzione.

Il codice parla: l’impronta AI nei docstring e nel CVSS allucinato

Gli analisti del Google Threat Intelligence Group hanno esaminato lo script Python utilizzato dal gruppo criminale e individuato almeno quattro indicatori convergenti. Il codice contiene docstring educative e una struttura di formattazione tipica dei dataset di addestramento dei large language model. Al suo interno compare un punteggio CVSS allucinato, ovvero inventato dal modello generativo, e una classe _C ANSI color altamente caratteristica degli LLM. Google ha escluso esplicitamente l’uso di Gemini, precisando di avere alta confidenza che un altro modello AI abbia assistito la scoperta e la weaponizzazione della vulnerabilità.

La presenza di un punteggio CVSS allucinato indica che il modello ha generato autonomamente una metrica di severità plausibile ma non verificata, tipica delle allucinazioni dei LLM su dati numerici tecnici. La classe _C ANSI color, usata per formattare l’output del terminale, è altamente caratteristica degli snippet prodotti dai large language model durante la scrittura di utility Python. Insieme a docstring didattiche e struttura modulare textbook, questi elementi compongono un profilo stilistico marcato. La loro convergenza nello stesso script rende improbabile una scrittura manuale da parte di un operatore esperto.

Quando la falla è semantica: hardcoded trust e scanner tradizionali

La vulnerabilità non è una classica imperfezione di sintassi, bensì una falla logica semantica: lo sviluppatore aveva hardcodato una trust assumption che appare corretta agli strumenti di scansione. Il modello AI ha ragionato sull’intento del codice, individuando una contraddizione tra il comportamento dichiarato e la logica effettiva. Questo tipo di reasoning consente di superare meccanismi come il 2FA in modo strutturato, sfruttando una cieca fiducia hardcoded anziché un buffer overflow. Gli scanner statici e dinamici tradizionali, progettati per pattern noti, non possiedono questa capacità di analisi semantica.

Lo script Python non viola crittograficamente il secondo fattore, ma aggira la logica che lo impone. Sfruttando la hardcoded trust assumption, l’exploit convince l’applicazione che il processo di verifica sia stato completato senza presentare le credenziali corrette. È un attacco al flusso di controllo più che ai dati: il modello AI ha capito che lo sviluppatore si fidava implicitamente di una condizione interna, e ha costruito uno scenario che la soddisfa fittiziamente. Dunque il 2FA crolla se la sua implementazione logica non è sottoposta a revisione semantica.

La risposta: patch coordinata e exploitation di massa evitata

Google ha lavorato con il vendor dello strumento open-source per emettere una patch prima che il gruppo criminale potesse avviare una campagna di exploitation di massa. Lo strumento targettato, popolare nell’amministrazione di sistema, avrebbe altrimenti esposto una superficie d’attacco ampia. Non è tuttavia chiaro se l’exploit sia stato impiegato con successo in the wild prima della disclosure: errori nell’implementazione hanno probabilmente interferito con un utilizzo efficace. Il nome del vendor e del software non sono stati resi pubblici, lasciando un limite noto alla ricostruzione completa.

La disclosure coordinata ha evitato che la vulnerabilità rimanesse esposta una volta resa nota, limitando la finestra temporale a disposizione del gruppo criminale. Google non ha reso pubblici né il nome del vendor né quello del tool, una scelta che riduce il rischio di copycat ma lascia gli amministratori senza un indicatore preciso per verificare la propria esposizione. Resta inoltre non chiaro se l’exploit abbia colpito vittime confermate prima del rilascio della patch. Questo limite impedisce di quantificare l’impatto reale dell’incidente.

"There's a misconception that the AI vulnerability race is imminent. The reality is that it's already begun. For every zero-day we can trace back to AI, there are probably many more out there." — John Hultquist, chief analyst at Google Threat Intelligence Group

Una nuova asimmetria: l’attaccante che ragiona come il programmatore

Il caso rivela una spaccatura nella catena di approvvigionamento del codice open-source. I modelli frontier possono ora ragionare sulle intenzioni dello sviluppatore, individuando logic flaws semantici che la difesa tradizionale continua a cercare nella sintassi. Gli scanner esistenti non sono progettati per valutare se una trust assumption sia giustificata o pericolosa, ma solo per rilevare pattern di vulnerabilità catalogati. Quando il primo anello della supply chain software diventa vulnerabile a un attaccante che pensa come il programmatore, la distanza tra scoperta e difesa si allarga in modo pericoloso.

La scalabilità del metodo è intrinseca: una volta identificato il pattern della trust assumption, un modello frontier può replicare l’analisi su altri progetti open-source con logica simile. Non serve una conoscenza specifica del tool né mesi di reverse engineering. L’automatizzazione del reasoning semantico trasforma una competenza umana rara, la ricerca di logic flaws, in un processo ripetibile. Per le difese, questo significa che il vantaggio tradizionale dell’attaccante — tempo e specializzazione — si sta spostando verso strumenti generativi accessibili.

Cosa fare adesso

  • Auditare i tool open-source di amministrazione: verificare le trust assumption hardcoded nel codice che gestisce autenticazione, sessioni o 2FA, cercando logic flaws semantici.
  • Integrare review di sicurezza semantica: affiancare agli scanner automatici un’analisi manuale o assistita da AI della logica di business, non solo della sintassi.
  • Trattare il 2FA come controllo contestuale: valutare se l’implementazione che lo regge possa essere aggirata per via di hardcoded trust, non come barriera assoluta.
  • Monitorare anomalie stilistiche nei repository: docstring eccessivamente didattiche, punteggi CVSS interni non standard o strutture Python textbook possono indicare codice generato automaticamente.

L’evento non è un allarme generico sul futuro dell’AI offensiva, ma la conferma che la linea tra ricerca automatizzata e weaponizzazione è già stata superata. La vera questione non è più se un modello possa trovare una falla, ma come riprogettare le difese quando l’attaccante ragiona sulle stesse assunzioni logiche dello sviluppatore. Se la sicurezza del codice open-source continua a fare affidamento esclusivamente sulla sintassi, l’asimmetria sarà insanabile.

FAQ

Perché gli scanner di sicurezza tradizionali non hanno rilevato questa vulnerabilità?

Perché si tratta di una falla logica semantica legata a una hardcoded trust assumption; gli strumenti automatici cercano pattern noti o errori di sintassi, non contraddizioni nell’intenzione dello sviluppatore.

Come si può essere certi che l’exploit sia stato generato con l’assistenza di un AI?

Gli analisti hanno individuato almeno quattro indicatori convergenti nel codice Python, inclusi docstring educative, un punteggio CVSS allucinato e una formattazione strutturata tipica dei dati di addestramento degli LLM, che conferiscono alta confidenza nell’ipotesi.

Se il modello AI esatto non è stato identificato, qual è il rischio di replicazione?

Il modello resta unknown, ma la capacità dimostrata di ragionare sulle logic flaws semantiche suggerisce che qualsiasi modello frontier con reasoning analogo potrebbe replicare l’approccio, rendendo la minaccia scalabile.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews