Primo zero-day AI scoperto: bypass 2FA su tool open-source

Primo zero-day AI scoperto: bypass 2FA su tool open-source

Il Google Threat Intelligence Group ha annunciato l'11 maggio 2026 di aver identificato il primo exploit zero-day sviluppato con intelligenza artificiale e impiegato in una campagna criminale reale. L'attacco mirava al bypass della 2FA su un popolare tool open-source di amministrazione web, sfruttando una semantic logic flaw con credenziali valide. La scoperta dimostra che gli attori della minaccia stanno già usando modelli AI per accelerare la weaponizzazione di vulnerabilità, rendendo obsoleto il tradizionale ciclo reattivo di patching.

Come si riconosce un exploit scritto da un LLM

Secondo il report di GTIG, l'exploit è implementato in uno script Python che presenta segni inequivocabili di origine artificiale. Il codice contiene docstring educative e didattiche, un punteggio CVSS allucinato generato dal modello e una struttura formattata con classi ANSI color tipica di output LLM textbook. Questi elementi non sono stilistici innocui: per i ricercatori, rappresentano la firma di un modello di linguaggio usato per scrivere e debuggare il payload.

Non si tratta di un coder umano esperto in offensive security. L'attribuzione ad un LLM resta a livello di analisi forense del codice, poiché GTIG non ha identificato quale modello specifico sia stato impiegato, escludendo tuttavia che si tratti di Gemini.

La presenza di un CVSS score allucinato è particolarmente rivelatrice: il modello ha attribuito una severità arbitraria senza calcolarla su metriche standard, riproducendo un pattern comune negli output generici di LLM addestrati su dataset misti. Anche la scelta di classi ANSI color per formattare l'output dello script rivela un'attenzione estetica tipica di codice didattico o dimostrativo, non di strumenti offensivi tradizionali progettati per la stealth.

La falla logica che ha permesso il bypass 2FA

La vulnerabilità sfruttata non è un classico buffer overflow o un errore di memoria, bensì una semantic logic flaw derivante da un'hard-coded trust assumption nel tool di amministrazione web. L'attaccante, in possesso di credenziali valide, poteva aggirare il secondo fattore di autenticazione sfruttando questa assunzione architetturale ancorata nel flusso di login.

Il problema non risiede in una libreria vulnerabile o in una dipendenza obsoleta, ma nel design stesso del flusso di autenticazione, dove una condizione implicita di trust ha aperto uno spiraglio semantico. Questa classe di bug è notoriamente difficile da individuare con test fuzzing o analisi statica convenzionale, perché il codice si comporta esattamente come scritto: è la logica di business a essere difettosa.

In altre parole, il sistema si fidava implicitamente di una condizione che un LLM ha saputo individuare e incanalare in uno script funzionante. La natura semantica della falla la rende particolarmente insidiosa: tool di analisi statica tradizionali e scanner automatizzati spesso non rilevano errori di logica applicativa, perché il codice è sintatticamente corretto ma semanticamente errato.

Campagna interrotta prima della mass exploitation

Google ha collaborato con il vendor del software per una responsible disclosure che ha portato al rilascio coordinato della patch prima che la vulnerabilità potesse essere weaponizzata su larga scala. La campagna è stata scoperta e neutralizzata in una fase ancora ristretta, senza evidenza di mass compromise o diffusione automatizzata dello script nel wild.

L'intervento precoce ha evitato che una semantic logic flaw trascurabile diventasse un vettore di accesso diffuso a pannelli di amministrazione critici. Non è stato divulgato il nome del tool open-source interessato, né l'identità esatta del threat actor rimane nota ai ricercatori.

La decisione di non divulgare il nome del tool riflette una strategia di contenimento: evitare che altri attori della minaccia, più sofisticati e privi dei tell LLM, replicassero l'attacco su versioni non aggiornate. L'assenza di un CVE pubblico al momento della scoperta, sebbene non confermata come limite esplicito, lascia ipotizzare una gestione totalmente privata della vulnerabilità tra vendor e Google.

"AI can review the underlying logic, context, and flow of code at scale to discover vulnerabilities. It can also be used to build working exploits which are a significant hurdle."
— John Hultquist, chief analyst at GTIG

Perché la weaponizzazione AI cambia il calendario della minaccia

John Hultquist, chief analyst di GTIG, ha messo in guardia sulle capacità dei modelli AI di revisionare la logica sottostante, il contesto e il flusso del codice a scala per scoprire vulnerabilità. Ryan Dewhurst di watchTowr ha osservato: "AI is already accelerating vulnerability discovery, reducing the effort needed to identify, validate, and weaponize flaws [...] We're not heading toward compressed timelines; we've been watching the timelines compress for years."

Non si tratta di un orizzonte lontano: i timeline di exploitation si stanno comprimendo da anni, e questo caso conferma che la fase teorica è terminata. Il rischio immediato non è un AI autonomo che aggira sistemi da solo, ma l'asimmetria di scala tra un modello che analizza milioni di righe in ore e un team umano che neppure sa dove cercare.

Cosa fare adesso

La scoperta di GTIG impone azioni concrete a vendor, team di sicurezza e amministratori di sistema. Il rischio non è astratto: una semantic logic flaw in un tool di amministrazione web può compromettere l'intero perimetro di autenticazione.

• Audit delle logiche di autenticazione. I team di sicurezza devono mappare ogni hard-coded trust assumption nei tool open-source interni, verificando se il flusso 2FA presenta scorciatoie semantiche bypassabili con credenziali valide.
• Rafforzare l'MFA con FIDO2/WebAuthn. Dove tecnicamente fattibile, sostituire o integrare gli OTP tradizionali con standard crittografici resistenti a replay e manipolazione logica lato client.
• Ispezione del codice sorgente per anomalie LLM. Nei repository aziendali e nelle dipendenze open-source, cercare pattern come docstring didattiche improbabili, CVSS inline o strutture Pythonic eccessivamente formattate che possano celare payload generati automaticamente.
• Applicazione immediata della patch coordinata. I vendor e gli amministratori di sistema devono prioritizzare l'aggiornamento del tool interessato non appena disponibile, controllando log di accesso per verificare tentativi di bypass 2FA con credenziali valide.

Il vero segnale di allarme non è la complessità tecnica dello script, che anzi resta grezzo e riconoscibile, ma la velocità con cui un'intera catena di attacco—dalla scoperta alla weaponizzazione—può essere compressa da un modello AI. Gli auditor umani non competono più sulla scala, e le semantic logic flaw sono il terreno più pericoloso perché spesso invisibili ai test automatizzati tradizionali. Se la comunità open-source non reagisce con audit proattivi e architetture di autenticazione più robuste, il prossimo zero-day AI-generated potrebbe non lasciare tracce così evidenti. La linea di demarcazione tra proof-of-concept accademico e arma criminale si è assottigliata in modo pericoloso.

Domande frequenti

Perché GTIG riconduce l'exploit a un LLM piuttosto che a un coder umano?

L'attribuzione si basa su pattern stilistici nel codice Python: docstring didattiche, un punteggio CVSS allucinato inserito dal modello e una struttura formattata con classi ANSI color atipica per il malware tradizionale. Questi elementi indicano che il payload è stato generato o fortemente assistito da un modello di linguaggio, sebbene il modello specifico non sia stato identificato.

L'attacco permetteva l'accesso senza possedere credenziali valide?

No. La vulnerabilità è una semantic logic flaw che richiede credenziali valide per essere sfruttata; l'exploit consente il bypass del secondo fattore di autenticazione, non l'autenticazione arbitraria.

Il nome del tool open-source è stato reso pubblico?

No. Per ragioni di responsible disclosure, Google e il vendor non hanno divulgato il nome del software interessato. La patch è stata rilasciata in coordinamento per proteggere gli utenti prima di una potenziale exploitation di massa.

Fonti

• https://thehackernews.com/2026/05/hackers-used-ai-to-develop-first-known.html
• https://www.cybersecuritydive.com/news/ai-working-zero-day-exploit-GTIG/819848/

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/hackers-used-ai-to-develop-first-known.html
• https://www.cybersecuritydive.com/news/ai-working-zero-day-exploit-GTIG/819848/