1. Introduzione: una nuova era dell'hacking automatizzato
Il mondo della sicurezza offensiva sta subendo un cambiamento radicale, guidato dai rapidi progressi nell'intelligenza artificiale. La recente ascesa dei modelli linguistici di grandi dimensioni (LLM) ha aperto possibilità senza precedenti per automatizzare, migliorare e persino rivoluzionare l'arte dell'hacking. Mentre un tempo l'hacking si basava esclusivamente sulla profonda esperienza e sul lavoro manuale dispendioso in termini di tempo di professionisti umani, ora stiamo assistendo alla nascita di strumenti basati sull'intelligenza artificiale in grado di ragionare, pianificare ed eseguire sequenze di attacchi complesse.
Questi sistemi non sono più teorici o fantascientifici; sono attivamente sviluppati e valutati in una serie di ricerche. Alcuni ricercatori si concentrano sull'iniezione di conoscenze approfondite attraverso la messa a punto, creando esperti altamente specializzati. Altri costruiscono sistemi complessi e modulari che imitano i team umani, delegando compiti a diversi agenti di IA. Un terzo gruppo spinge i confini dell'autonomia con l'IA "agente", cercando di creare sistemi in grado di operare con un intervento umano minimo.
Per orientarsi in questo panorama nuovo e complesso è necessaria una mappa chiara. Questo articolo approfondisce questo settore all'avanguardia, fornendo un'analisi comparativa dei framework più importanti. Per fondare la nostra discussione, la tabella seguente offre una panoramica comparativa dei framework all'avanguardia e dei nostri preferiti, illustrandone le strategie principali, le caratteristiche chiave e i compromessi operativi. Serve da guida per comprendere i diversi approcci adottati dai ricercatori per costruire la prossima generazione di strumenti di sicurezza offensiva.
2. Tre percorsi verso l'hacking basato sull'intelligenza artificiale
Il percorso verso l'utilizzo degli LLM per la sicurezza offensiva si è diversificato in tre principali filosofie architetturali, ciascuna con una serie di compromessi.
2.1. Modelli ottimizzati: gli specialisti
Questo approccio prevede l'utilizzo di un LLM pre-addestrato e il suo ulteriore addestramento su vasti set di dati specializzati nel campo della sicurezza informatica. Il punto di forza del fine-tuning risiede nel raggiungimento di un'elevata accuratezza e pertinenza per compiti specifici e ben definiti. Questi modelli possono raggiungere un alto livello di competenza in compiti specifici, portando a risultati più accurati e contestualmente pertinenti per scenari noti. Concentrando l'addestramento sui dati rilevanti, la messa a punto può anche ridurre la probabilità che l'LLM generi informazioni irrilevanti o di fatto errate (allucinazioni) quando opera nel suo dominio specializzato. Per compiti altamente specifici, potrebbe anche essere possibile mettere a punto LLM più piccoli ed efficienti. Tuttavia, questo approccio presenta dei punti deboli. La creazione di set di dati di alta qualità, completi e imparziali è un'impresa significativa. Inoltre, questi modelli eccellono nella loro distribuzione di addestramento, ma possono avere difficoltà ad adattarsi a vulnerabilità, strumenti o scenari di attacco completamente nuovi. L'ampiezza della sicurezza offensiva rende anche difficile creare un unico modello ottimizzato che copra efficacemente tutti gli aspetti.
2.2. Strutture modulari potenziate da LLM: i membri del team
Questi sistemi utilizzano gli LLM come componenti intelligenti all'interno di un'architettura più ampia e strutturata. Spesso suddividono il processo di penetration testing in fasi distinte gestite da diversi moduli, mitigando i limiti degli LLM, come la perdita di contesto, isolando le problematiche. PENTESTGPT [1] e VulnBot [5], ad esempio, utilizzano progetti multi-agente in cui diversi agenti sono specializzati in fasi come la ricognizione, la pianificazione e lo sfruttamento. I punti di forza di questo approccio includono una gestione delle attività più strutturata e la capacità di mantenere la concentrazione, che porta a un completamento più affidabile delle sottoattività. Possono anche incorporare la Retrieval Augmented Generation (RAG) per estrarre dati esterni, fornendo loro una base di conoscenze più dinamica. I principali punti deboli sono la complessità ingegneristica del coordinamento dei moduli e il frequente ricorso a un intervento umano per il processo decisionale complesso.
2.3. Sistemi di IA agentica: gli operatori autonomi
Si tratta dell'approccio più ambizioso, che mira a creare agenti AI in grado di pianificare, eseguire e adattarsi a compiti complessi e di lunga durata con una supervisione umana minima. RedTeamLLM [3] ne è un esempio 4 con un'architettura integrata per l'automazione delle attività di pentesting. I punti di forza dei sistemi agentici sono la loro progettazione per compiti complessi e in più fasi attraverso la pianificazione, la scomposizione dei compiti e l'esecuzione iterativa. Possono essere equipaggiati per utilizzare vari strumenti in modo dinamico e interagire con gli ambienti di destinazione. Grazie alla solida correzione dei piani e all'apprendimento, hanno il potenziale per una maggiore autonomia e adattabilità. I principali punti deboli sono che l'efficacia dell'agente dipende fortemente dalle capacità di ragionamento dell'LLM sottostante. Ragionamenti errati, pregiudizi o errori possono propagarsi e aggravarsi, portando al fallimento della missione.
3. Gli ostacoli da superare
Nonostante i rapidi progressi, permangono diverse sfide fondamentali in tutti gli approcci. La perdita di contesto è un ostacolo centrale; la finestra di contesto limitata degli attuali LLM impedisce direttamente la loro capacità di condurre operazioni sofisticate che richiedono il richiamo e la sintesi di informazioni nel tempo. Le innovazioni architetturali sono tentativi di fornire una memoria esterna e strutturata, ma questo rimane un problema chiave. Gli LLM possono anche avere difficoltà ad applicare le loro capacità di ragionamento in modo coerente per raggiungere un obiettivo finale, soprattutto quando il percorso prevede più passaggi interdipendenti. C'è anche la tendenza dei modelli LLM a dare eccessiva importanza alle attività o alle informazioni più recenti, trascurando potenzialmente le vulnerabilità identificate in precedenza. Infine, il ben documentato problema dell'allucinazione, in cui i modelli LLM generano informazioni plausibili ma errate, è una delle principali preoccupazioni per l'affidabilità delle operazioni autonome.
4. Il nuovo campo di battaglia: l'IA nella catena di uccisione informatica
I progressi nell'intelligenza artificiale hanno profonde implicazioni non solo per compiti isolati, ma per ogni fase della catena di attacco informatico. Dalla ricognizione iniziale all'esfiltrazione finale, gli agenti di intelligenza artificiale sono pronti a migliorare, accelerare e automatizzare l'intero ciclo di vita dell'attacco.
4.1. Applicazioni offensive e difensive
Nella fase di ricognizione, l'IA può automatizzare il processo di raccolta di informazioni open source (OSINT) su larga scala, correlando dati provenienti da fonti disparate per costruire profili dettagliati delle organizzazioni e degli individui target. Nelle fasi di weaponization e delivery, gli LLM possono crearephishing personalizzate e altamente convincenti o generare malware polimorfico malware elude il rilevamento basato sulle firme. Durante lo sfruttamento e l'installazione, i sistemi agentici possono cercare autonomamente le vulnerabilità, selezionare gli exploit appropriati e stabilire la persistenza su un sistema compromesso. Per Command and Control C2), le IA possono progettare canali di comunicazione invisibili che si mimetizzano con il normale traffico di rete. Infine, durante le azioni sugli obiettivi, un'IA può automatizzare l'esfiltrazione dei dati, identificando e raggruppando in modo intelligente le informazioni sensibili per l'estrazione. Dal punto di vista difensivo, questo stesso potere può essere utilizzato per costruire posture di sicurezza più robuste, con sistemi di IA che analizzano il traffico di rete alla ricerca di anomalie, prevedono i movimenti degli aggressori e automatizzano la risposta agli incidenti.
4.2. Il protocollo MCP (Model Context Protocol) che cambia le regole del gioco
L'emergere di un protocollo standardizzato denominato Machine Context Protocol (MCP) potrebbe potenziare queste capacità consentendo una comunicazione senza soluzione di continuità tra diversi agenti e strumenti di IA specializzati. Un agente AI offensivo potrebbe utilizzare l'MCP per interrogare un agente di ricognizione specializzato al fine di ottenere informazioni sul bersaglio, richiedere un payload personalizzato da un servizio malware o coordinare un attacco in più fasi con altri agenti di sfruttamento. Ciò introduce un potenziale di automazione, modularità e standardizzazione senza precedenti nel modo in cui gli agenti AI offensivi accedono e utilizzano strumenti e servizi lungo l'intera catena di attacco, rendendo gli attacchi più sofisticati e più difficili da contrastare.
5. Shock da futuro: cosa ci aspetta all'orizzonte?
L'attuale traiettoria dello sviluppo dell'IA punta verso capacità che un tempo erano appannaggio della fantascienza. La fusione di sistemi agentici, enormi set di dati e modelli specializzati darà probabilmente origine a strumenti offensivi in grado di cambiare il paradigma. Alcuni esempi possono essere: Zero-Days generati dall'IA Zero-Days delle possibilità più significative è la generazione di zero-day guidati dall'IA. Si tratta del Santo Graal dell'hacking, dove la scoperta delle vulnerabilità non è più un'impresa puramente umana. Immaginate un'IA che analizza continuamente repository di codice open source, binari di software proprietario e firmware, alla ricerca non solo di modelli di vulnerabilità noti, ma anche di classi di bug completamente nuove. Imparando i principi astratti dell'interazione tra software e hardware (gestione della memoria, gestione dei dati, flussi logici), un sistema di questo tipo potrebbe identificare sottili difetti logici, condizioni di competizione e interazioni inaspettate che i ricercatori umani potrebbero non notare. Ciò potrebbe portare a un flusso costante di exploit precedentemente sconosciuti, modificando drasticamente l'equilibrio di potere tra aggressori e difensori e rendendo obsoleti i tradizionali cicli di patch.
Hacking autonomo dello sciame
Un'altra possibilità che potrebbe cambiare il paradigma è il concetto di hacking autonomo di tipo "swarm". Questo va oltre l'idea di un singolo agente per immaginare un attacco coordinato e multi-agente. Invece di un attacco lineare, immaginate uno sciame di decine o addirittura centinaia di IA specializzate lanciate contro una rete bersaglio. Gli agenti di ricognizione mapperebbero il terreno, gli agenti di vulnerabilità testerebbero i punti deboli e gli agenti di sfruttamento agirebbero sui risultati, il tutto coordinato come un attacco parallelo. Questo sciame potrebbe adattarsi alle misure difensive in tempo reale, reindirizzando il proprio percorso di attacco se un vettore viene bloccato e condividendo le informazioni tra gli agenti per trovare il percorso di minor resistenza. La velocità, la portata e l'adattabilità di un attacco di questo tipo sarebbero schiaccianti per i tradizionali centri operativi di sicurezza gestiti da esseri umani, progettati per tracciare e rispondere a una manciata di minacce simultanee.
Ingegneria sociale iper-personalizzata
L'intelligenza artificiale probabilmente perfezionerà anche l'arte della truffa. La prossima generazione di attacchi di ingegneria sociale sarà profondamente personalizzata e dinamicamente adattiva. Sintetizzando le informazioni provenienti dai social media, dai network professionali e dai dati violati, un'intelligenza artificiale potrebbe generare phishing iper-personalizzate, indistinguibili dalla corrispondenza legittima, che fanno riferimento a conversazioni recenti, interessi condivisi e progetti specifici. Inoltre, potrebbe clonare la voce di un amministratore delegato per una chiamata di vishing in grado di rispondere alle domande in tempo reale, o lanciare una campagna sui social media così convincente da instaurare un rapporto di fiducia con il bersaglio nel corso di settimane o mesi prima di agire. Questo livello di manipolazione psicologica, eseguito su larga scala e con una perfetta conoscenza della storia e della personalità del bersaglio, rappresenta una minaccia formidabile che aggira completamente le difese tecniche.
Sfruttamento predittivo e difesa automatizzata
La corsa tra aggressori e difensori accelererà fino a raggiungere la velocità delle macchine. Le IA offensive potrebbero avere il compito non solo di individuare le vulnerabilità esistenti, ma anche di prevedere quelle future. Analizzando la velocità di sviluppo e le abitudini di codifica di un progetto software, un'IA potrebbe essere in grado di prevedere dove è più probabile che compaiano i bug. In risposta, le IA difensive automatizzeranno l'altro lato dell'equazione. Immaginate un agente difensivo che monitora la propria rete, identifica una nuova vulnerabilità, genera una patch personalizzata, la testa in un ambiente sandbox e la distribuisce in tutta l'azienda, il tutto in pochi minuti dall'annuncio della vulnerabilità e molto prima che un team umano possa anche solo convocare una riunione.
Operazioni di disinformazione e influenza guidate dall'intelligenza artificiale
Oltre agli attacchi diretti alla rete, l'IA rivoluzionerà le operazioni di influenza. Attori malintenzionati o sponsorizzati dallo Stato potrebbero impiegare sciami di agenti IA per creare e diffondere disinformazione altamente credibile sui social media, nei forum e nei siti di informazione. Questi agenti potrebbero creare personaggi fittizi con anni di post coerenti alle spalle, partecipare a discussioni ricche di sfumature e adattare i propri messaggi in base alla risposta del pubblico. Potrebbero essere utilizzati per manipolare l'opinione pubblica, interferire con le elezioni o incitare disordini sociali con un livello di sofisticazione e portata che fa sembrare primitive le attuali botnet. Per individuare e contrastare tali campagne saranno necessarie analisi dei contenuti e mappature di rete altrettanto sofisticate basate sull'intelligenza artificiale.
6. Conclusione
L'integrazione dell'IA nella sicurezza offensiva non è più un esercizio teorico, ma una realtà in rapida evoluzione che sta ridefinendo il panorama delle minacce informatiche. Lo sviluppo di specialisti altamente qualificati, sistemi modulari collaborativi e agenti autonomi dimostra una chiara tendenza verso capacità di attacco più sofisticate e automatizzate. Sebbene permangano ostacoli significativi come la conservazione del contesto e la coerenza del ragionamento, il ritmo dell'innovazione è sbalorditivo. Il vero impatto di queste tecnologie si farà sentire lungo l'intera catena di attacco informatico, dalla ricognizione guidata dall'IA all'esfiltrazione automatizzata. Man mano che andremo avanti, la sfida tra aggressori e difensori diventerà sempre più una partita a scacchi ad alta velocità guidata dalle macchine. Il successo in questa nuova era non dipenderà semplicemente dalla reazione alle minacce, ma dalla comprensione proattiva e dallo sfruttamento di queste potenti capacità di IA per costruire difese intelligenti, adattive e autonome quanto gli attacchi che sono progettate per fermare. Il futuro della sicurezza appartiene a coloro che sono in grado di anticipare e innovare in questa nuova arena alimentata dall'IA.
Riferimenti
[1] Deng, G., et al. (2024). PENTESTGPT: Valutazione e utilizzo di modelli linguistici di grandi dimensioni per test di penetrazione automatizzati. Nel 33° Simposio sulla sicurezza USENIX (USENIX Security 24).
[2] Pratama, D., et al. (2024). CIPHER: Cybersecurity Intelligent Penetration-Testing Helper for Ethical Researcher. Sensors, 24, 6878.
[3] Challita, B. & Parrend, P. (2025). RedTeamLLM: un framework di IA agentica per la sicurezza offensiva. Preprint arXiv arXiv:2505.06913.
[4] Shen, X., et al. (2025). PentestAgent: Incorporating LLM Agents to Automated Penetration Testing. In ACM Asia Conference on Computer and Communications Security (ASIA CCS ’25).
[5] Kong, H., et al. (2025). VulnBot: test di penetrazione autonomi per un framework collaborativo multi-agente. Preprint arXiv arXiv:2501.13411.
[6] Xu, J., et al. (2024). AUTOATTACKER: un sistema guidato da un modello linguistico di grandi dimensioni per l'implementazione di attacchi informatici automatici. Preprint arXiv arXiv:2403.01038.
[7] Happe, A. & Cito, J. (2023). Getting pwn’d by AI: Penetration Testing with Large Language Models. In Atti della 31a Conferenza congiunta ACM sull'ingegneria del software e Simposio sui fondamenti dell'ingegneria del software (ESEC/FSE '23).
[8] Al-Sinani, H. S. & Mitchell, C. J. (2025). PenTest++: Elevating Ethical Hacking with AI and Automation. Preprint arXiv arXiv:2502.09484.
[9] Muzsai, L., Imolai, D., & Luk´ acs, A. (2024). HackSynth: LLM Agent and Evaluation Framework for Autonomous Penetration Testing. Preprint arXiv arXiv:2412.01778.
[10] Zhang, A. K., et al. (2025). CYBENCH: UN QUADRO DI RIFERIMENTO PER LA VALUTAZIONE DELLE CAPACITÀ DI SICUREZZA INFORMATICA E DEI RISCHI DEI MODELLI LINGUISTICI. In corso di pubblicazione nella Conferenza internazionale sulle rappresentazioni dell'apprendimento (ICLR 2025).