IA sotto assedio: come gli hacker stanno mappando i cervelli dietro l’intelligenza moderna

In una fredda notte di dicembre, mentre i team IT di tutto il mondo si rilassavano per le festività, gli hacker erano al lavoro. Il loro obiettivo? Non un sistema informatico qualunque, ma le sale macchine dell’intelligenza artificiale - quei potenti server che eseguono modelli all’avanguardia come ChatGPT, Llama e Gemini. Ciò che è accaduto è stato un assalto digitale coordinato, registrato silenziosamente da una trappola ingegnosa predisposta dai ricercatori, che ha rivelato uno scorcio inquietante della prossima frontiera del cybercrimine.

Dentro l’attacco: come gli hacker hanno dato la caccia all’IA

GreyNoise, un’azienda di ricerca in cybersecurity, ha predisposto server di IA-esca usando il popolare strumento Ollama, sperando di vedere chi avrebbe abboccato. L’esca ha funzionato: tra ottobre 2025 e gennaio 2026, i loro honeypot digitali hanno registrato la cifra impressionante di 91.403 sessioni di attacco. Ma non si trattava di un singolo attore isolato. L’analisi ha rivelato due campagne separate e sofisticate, ciascuna con il proprio copione.

Il primo gruppo ha utilizzato un classico trucco da hacker chiamato Server-Side Request Forgery (SSRF). Inviando URL appositamente costruiti ai server di IA, hanno ingannato questi sistemi inducendoli a “richiamare a casa” - connettendosi a server controllati dagli attaccanti. In particolare, questa attività è aumentata intorno a Natale, un periodo in cui molti team di sicurezza sono fuori servizio. I ricercatori sospettano che alcuni attacchi possano provenire da cacciatori di bug bounty, ma la scala e la tempistica suggeriscono una spinta più coordinata, che sfrutta periodi di vigilanza ridotta.

La seconda campagna è stata ancora più metodica. A partire dal 28 dicembre, due impronte digitali - indirizzi IP collegati a hacker professionisti - hanno scansionato sistematicamente oltre 73 diversi endpoint di IA. Il loro approccio era sottile: invece di entrare con la forza, ponevano semplicemente domande innocue come “Quanti stati ci sono negli Stati Uniti?” per vedere quali modelli avrebbero risposto. In soli undici giorni sono stati registrati oltre 80.000 di questi sondaggi, prendendo di mira quasi tutti i principali fornitori di IA: OpenAI, Anthropic, Meta, DeepSeek, Google, Mistral, Alibaba e xAI.

Secondo gli esperti, questi hacker stavano mappando il territorio, costruendo una “lista di bersagli” di modelli di IA vulnerabili per attacchi futuri. La loro ricognizione ha testato sia formati compatibili con OpenAI sia formati di Google Gemini, dimostrando una profonda comprensione di come funzionano le moderne API di IA.

Il rischio più grande: gli agenti di IA nel mirino

I responsabili della sicurezza vedono queste campagne di sondaggio come un colpo di avvertimento. Chris Hughes, stratega della sicurezza presso Zenity, ha detto agli investigatori che, sebbene mappare i modelli sia pericoloso, la vera minaccia emerge quando gli hacker spostano l’attenzione sugli agenti di IA - strumenti automatizzati con accesso ai sistemi aziendali e agli ambienti cloud. “Questo è solo l’inizio”, ha avvertito Hughes. “Le organizzazioni concentrate solo sulla protezione dei loro modelli di IA potrebbero essere colte di sorpresa quando gli attaccanti sfrutteranno gli agenti che collegano i loro sistemi al mondo esterno.”

GreyNoise raccomanda controlli rigorosi: scaricare modelli di IA solo da fonti affidabili e monitorare query sospette e ripetitive. Con attaccanti operativi da decine di Paesi, la corsa agli armamenti dell’IA è iniziata - e i difensori devono restare un passo avanti.

Conclusione: il futuro della sicurezza dell’IA

Questa ondata di attacchi segnala un cambiamento nel panorama del cybercrimine. Man mano che l’IA diventa la spina dorsale del business, gli hacker stanno già cercando crepe nelle sue fondamenta. La domanda non è più se, ma quando, queste missioni di ricognizione si trasformeranno in violazioni su larga scala. Per ora, il messaggio è chiaro: l’IA può essere intelligente, ma non è invincibile.

WIKICROOK

• Honeypot: Un honeypot è un sistema fittizio predisposto per attirare i cyberattaccanti, consentendo alle organizzazioni di studiare i metodi di attacco senza mettere a rischio risorse reali.
• Server: Un server è un computer o un software che fornisce dati, risorse o servizi ad altri computer, chiamati client, attraverso una rete.
• Endpoint: Un endpoint è qualsiasi dispositivo, come un computer o uno smartphone, che si connette a una rete e deve essere mantenuto sicuro e aggiornato per prevenire minacce informatiche.
• Ricognizione: La ricognizione è la fase iniziale di un cyberattacco in cui gli attaccanti raccolgono informazioni su un bersaglio per identificare debolezze e pianificare il loro approccio.
• API (Application Programming Interface): Un’API è un insieme di regole che permette a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono obiettivi comuni in ambito cybersecurity.