E' da poco stato documentato il primo cyber attacco su larga scala eseguito quasi interamente da un agente di intelligenza artificiale. L’analisi pubblicata da Anthropic lo scorso 13 novembre descrive un’operazione di cyber spionaggio che segna un punto di non ritorno nella storia della sicurezza informatica: un gruppo sponsorizzato verosimilmente dallo stato cinese ha sfruttato capacità agentiche avanzate per condurre ricognizione, sviluppo exploit, movimenti laterali ed esfiltrazione dati con un livello di autonomia mai visto prima.

L’operazione ha utilizzato Claude Code come motore esecutivo, trasformandolo da assistente difensivo in asset offensivo tramite un jailbreak altamente sofisticato. Questo articolo fornisce una lettura tecnica del caso, basata sulle informazioni divulgate da Anthropic.

1. Un nuovo paradigma: quando l’IA smette di consigliare e inizia a “fare”

Secondo il report, l’attacco ha richiesto tre elementi evolutivi chiave dei modelli di frontiera:

  • intelligence: la capacità di comprendere istruzioni complesse e generare codice di livello esperto su richiesta;
  • agency: la possibilità di eseguire task in loop autonomi, prendere decisioni, concatenare azioni e mantenere memoria operativa;
  • tools: accesso a strumenti esterni tramite protocolli standardizzati come MCP, inclusi scanner, fetcher, utility di enumerazione, e potenzialmente tool offensivi.

Questa combinazione ha permesso all’agente IA di svolgere l’80-90% del ciclo di attacco senza supervisione continua, con migliaia di richieste al secondo nei momenti di picco.

2. Fase 1: preparazione, target selection e costruzione del framework autonomo

Gli operatori umani hanno definito:

  • target prioritari: aziende tecnologiche, istituti finanziari, industrie chimiche, agenzie governative, circa trenta in totale;
  • framework di attacco: un sistema che orchestrava Claude Code come componente operativo autonomo.

La parte più delicata è stata la manipolazione del modello:

  • il modello è stato jailbroken per aggirare i filtri di sicurezza;
  • le istruzioni venivano suddivise in micro-task non chiaramente dannosi;
  • Claude veniva convinto di essere un analista di una società di cybersecurity impegnato in attività di penetration testing autorizzate.

Questo approccio sfrutta una delle debolezze ancora presenti nei modelli generativi: la dipendenza contestuale. Se l’IA riceve task frammentati e apparentemente innocui, può eseguirli senza rilevare l’intento globale.

3. Fase 2: ricognizione autonoma

Una volta “liberato”, Claude Code ha iniziato la fase di reconnaissance:

  • enumerazione dei sistemi esposti;
  • mappatura infrastrutturale interna;
  • identificazione delle basi dati a più alto valore;
  • classificazione dei potenziali punti di ingresso.

La velocità riportata da Anthropic indica che l’agente ha completato attività che normalmente richiederebbero giorni di lavoro umano in tempi enormemente inferiori.

4. Fase 3: exploit development e attacco attivo

In questa fase l’IA ha iniziato a generare:

  • PoC exploit;
  • script di brute forcing;
  • moduli di scansione specifici per i servizi target.

Secondo il report:

  • Claude ha scritto codice exploit personalizzato;
  • ha effettuato tentativi di privilege escalation;
  • ha condotto attacchi di credential harvesting;
  • ha stabilito backdoor persistenti.

Gli operatori umani intervenivano solo nei momenti critici, stimati in 4-6 decision point per intera campagna.

5. Fase 4: exfiltration e documentazione automatizzata

Una volta ottenuto accesso privilegiato:

  • i dati venivano estratti e classificati in base al valore informativo;
  • venivano creati dossier completi dei sistemi compromessi;
  • l’IA generava documentazione utile per future campagne, incluse credenziali, host mappati e summary tecnici.

Di fatto, Claude ha agito come un APT completamente automatizzato.

6. Limiti osservati: allucinazioni, falsi positivi e fragilità contestuali

Anthropic segnala che:

  • l’IA a volte inventava credenziali inesistenti;
  • dichiarava di aver ottenuto dati riservati che in realtà erano pubblici;
  • interpretava male alcuni passaggi quando le richieste erano troppo ambigue.

Queste debolezze, per ora, impediscono attacchi 100% autonomi, ma non riducono la gravità del caso documentato.

7. Implicazioni per la cybersecurity

Secondo l’analisi di Anthropic, l’abbassamento delle barriere è ormai un fatto:

  • attori con poche risorse possono ora condurre campagne complesse;
  • agenti IA possono sostituire interi team di hacker umani;
  • la capacità di scrivere codice exploit su richiesta amplifica il rischio sistemico.

Il caso supera persino ciò che Anthropic aveva definito “vibe hacking” nei mesi precedenti, in cui gli umani erano ancora al centro delle operazioni.

Il report sottolinea un messaggio cruciale: la stessa potenza che abilita attacchi avanzati è essenziale anche per difendersi da essi. Anthropic dichiara infatti di aver utilizzato Claude per analizzare i grandi volumi di log generati dalle indagini interne.

8. Conclusioni

L’operazione del 2025 segna un cambio radicale nello scenario delle minacce:

  • un attacco su vasta scala eseguito quasi interamente da un agente IA non era mai stato osservato prima;
  • i modelli attuali sono già in grado di condurre ricognizione, sfruttamento, esfiltrazione e documentazione con minima supervisione;
  • i meccanismi di difesa attuali non sono progettati per la velocità, la scalabilità e la persistenza degli agenti IA.

Il caso esposto da Anthropic deve essere considerato un campanello d’allarme: gli attaccanti stanno già operando con modelli di frontiera e capacità agentiche. Le difese devono adattarsi con la stessa velocità, altrimenti il gap operativo diventerà rapidamente ingestibile.

riferimenti