Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Con l’accelerazione dell’adozione dell’intelligenza artificiale, le principali falle di sicurezza rimangono irrisolte.
- Gli utenti e le aziende dovrebbero rimanere aggiornati sulle vulnerabilità.
- Questi quattro problemi principali affliggono ancora l’integrazione dell’intelligenza artificiale.
I sistemi di intelligenza artificiale sono sotto attacco su più fronti contemporaneamente e i ricercatori di sicurezza affermano che la maggior parte delle vulnerabilità non hanno soluzioni notice.
Gli autori delle minacce dirottano agenti di intelligenza artificiale autonomi per condurre attacchi informatici e possono avvelenare i dati di addestramento per un minimo di 250 documenti e 60 dollari. Gli attacchi di tipo immediate injection hanno successo contro il 56% dei modelli linguistici di grandi dimensioni. I repository di modelli ospitano centinaia di migliaia di file dannosi. Le videochiamate deepfake hanno rubato decine di milioni di dollari.
Le stesse capacità che rendono l’intelligenza artificiale utile la rendono anche sfruttabile. La velocità con cui questi sistemi stanno avanzando intensifica quella realtà di minuto in minuto. I crew di sicurezza ora devono affrontare un calcolo senza una buona risposta: rimanere indietro rispetto alla concorrenza evitando l’intelligenza artificiale o implementare sistemi con difetti fondamentali che gli aggressori stanno già sfruttando.
Inoltre: 10 modi in cui l’IA può infliggere danni senza precedenti nel 2026
Per un approfondimento su ciò che questo ha significato finora (e ciò che accadrà in futuro), analizzerò quattro principali vulnerabilità dell’IA, gli exploit e gli hack che prendono di mira i sistemi di intelligenza artificiale e le valutazioni degli esperti sui problemi. Ecco una panoramica di come appare il panorama attuale e su cosa gli esperti possono (e non possono) consigliare.
Sistemi autonomi, attacchi autonomi
A settembre, Antropico divulgato che gli hacker sponsorizzati dallo stato cinese avevano utilizzato come arma il suo strumento Claude Code per condurre quello che la società ha definito “il primo caso documentato di un attacco informatico su larga scala eseguito senza un sostanziale intervento umano”.
Gli aggressori hanno eseguito il jailbreak di Claude Code frammentando attività dannose in richieste apparentemente innocue, convincendo l’IA che stava eseguendo take a look at di sicurezza difensivi. Secondo il rapporto tecnico di Anthropic, il sistema ha condotto autonomamente la ricognizione, scritto codice di exploit ed esfiltrato dati da circa 30 obiettivi.
Inoltre: gli agenti sfruttabili di Microsoft e ServiceNow rivelano una crisi della sicurezza IA crescente e prevenibile
“Non abbiamo sistemi di intelligenza artificiale che siano sicuri contro questi attacchi”, ha scritto Bruce Schneier, un membro della Harvard Kennedy Faculty, in un Post del blog di agosto 2025.
L’incidente ha confermato ciò che i ricercatori di sicurezza avevano avvertito per mesi: le capacità autonome che rendono utili gli agenti di intelligenza artificiale li rendono anche pericolosi. Ma l’adozione degli agenti continua a crescere.
Un recente rapporto di Deloitte ha rilevato che il 23% delle aziende utilizza agenti di intelligenza artificiale in modo moderato, ma prevede che story percentuale aumenterà al 74% entro il 2028. Per quanto riguarda il 25% delle aziende che afferma di non utilizzare agenti, Deloitte prevede che il numero scenderà al 5%.
Anche prima della pubblicazione del rapporto, gli agenti rappresentavano un rischio documentato per le aziende. La ricerca McKinsey mostra che l’80% delle organizzazioni ha già riscontrato problemi con questi dispositivi, tra cui esposizione impropria dei dati e accesso non autorizzato al sistema. L’anno scorso, Identificati i ricercatori di Zenity Labs exploit zero-click che colpiscono Microsoft Copilot, Google Gemini e Salesforce Einstein.
Matti Pearce, vicepresidente della sicurezza informatica presso Absolute Safety, mi ha avvertito in una precedente intervista che la minaccia sta accelerando: “L’aumento nell’uso dell’intelligenza artificiale sta superando la sicurezza dell’intelligenza artificiale. Vedrete l’intelligenza artificiale attaccare l’intelligenza artificiale per creare una tempesta di minacce perfetta per gli utenti aziendali.”
Inoltre: l’intelligenza artificiale si sta silenziosamente avvelenando e spingendo i modelli verso il collasso, ma esiste una cura
In termini di soluzioni o potenziali protezioni per questi rischi, le indicazioni normative rimangono scarse. La legge UE sull’intelligenza artificiale richiede la supervisione umana per i sistemi di intelligenza artificiale advert alto rischio, ma non è stata progettata pensando agli agenti autonomi. Negli Stati Uniti, la regolamentazione federale è incerta, mentre le normative a livello statale sono attualmente quelle di più ampia portata. Tuttavia, tali leggi riguardano principalmente le conseguenze degli incidenti legati alla sicurezza piuttosto che le protezioni specifiche dell’agente prima del fatto.
In caso contrario, l’Istituto Nazionale di Scienza e Tecnologia (NIST), che ha rilasciato la volontaria Quadro di gestione del rischio IA nel 2023, accetta suggestions per lo sviluppo di un quadro di sicurezza specifico per l’agente (ma anche volontario).. L’industria si auto-organizza anche attraverso gruppi come la Coalition for Safe AI.
Pronta iniezione: il problema irrisolto
Tre anni dopo che i ricercatori di sicurezza hanno identificato la pronta iniezione come una vulnerabilità critica dell’IA, il problema rimane fondamentalmente irrisolto. UN studio sistematico testando 36 modelli linguistici di grandi dimensioni contro 144 varianti di attacco è emerso che il 56% degli attacchi ha avuto successo su tutte le architetture. I modelli più grandi e più capaci non hanno funzionato meglio.
La vulnerabilità deriva dal modo in cui i modelli linguistici elaborano il testo. Simon Willison, il ricercatore nel campo della sicurezza che ha coniato il termine “immediate injection” nel 2022, spiegato il difetto architettonico a The Register: “Non esiste alcun meccanismo per dire ‘alcune di queste parole sono più importanti di altre.’ È solo una sequenza di token.”
Inoltre: come OpenAI difende ora ChatGPT Atlas dagli attacchi e perché la sicurezza non è garantita
A differenza dell’SQL injection, che gli sviluppatori hanno affrontato con question parametrizzate, la immediate injection non ha una soluzione equivalente. Quando un assistente AI legge un documento contenente istruzioni nascoste, elabora tali istruzioni in modo identico ai comandi utente legittimi. Come esemplificato più recentemente dalla debacle virale di OpenClaw, gli assistenti IA sono tutti abbastanza sensibili a questo.
COME ricerca collaborativa di OpenAI, Anthropic e Google DeepMind ha confermato che gli aggressori adattivi che utilizzano la discesa gradiente e l’apprendimento per rinforzo hanno aggirato oltre il 90% delle difese pubblicate. La squadra rossa umana ha sconfitto il 100% delle protezioni testate.
“Non è possibile correggere l’iniezione tempestiva”, afferma il ricercatore di sicurezza Johann Rehberger ha detto al Register. “Non appena un sistema è progettato per prendere dati non attendibili e includerli in una question LLM, i dati non attendibili influenzano l’output.”
Classifica OWASP tempestiva iniezione come vulnerabilità numero uno nella sua High 10 per le applicazioni LLM, affermando che “non esiste una prevenzione infallibile all’interno di LLM”.
Inoltre: come queste leggi statali sulla sicurezza dell’IA cambiano il volto della regolamentazione negli Stati Uniti
Di Google DeepMind Quadro CaMeLpubblicato nel marzo 2025, offre un approccio architettonico promettente. Willison l’ha definita “la prima mitigazione credibile dell’iniezione tempestiva che ho visto che non si limita a gettare più intelligenza artificiale al problema”.
Ma CaMeL affronta solo classi di attacco specifiche. La vulnerabilità fondamentale persiste. Riguardo alle soluzioni dei fornitori che affermano di risolvere il problema, Willison ha offerto una valutazione schietta: “Molti fornitori ti venderanno prodotti ‘guardrail’ che affermano di essere in grado di rilevare e prevenire questi attacchi. Sono profondamente diffidente nei loro confronti.”
La conclusione è: non credere ai servizi che ti vendono una soluzione per attacchi di tipo “pronto iniezione”, almeno non ancora.
Avvelenamento dei dati: corruzione dell’intelligenza artificiale alla fonte
Secondo i dati, gli aggressori possono corrompere i principali set di dati di addestramento dell’IA per circa 60 dollari ricerca di Google DeepMindrendendo l’avvelenamento dei dati uno dei metodi più economici ed efficaci per compromettere i sistemi di intelligenza artificiale aziendali. Un separato Studio di ottobre 2025 di Anthropic e l’AI Safety Institute del Regno Unito hanno scoperto che solo 250 documenti avvelenati possono creare backdoor su qualsiasi modello linguistico di grandi dimensioni indipendentemente dal conteggio dei parametri, richiedendo solo lo 0,00016% di token di addestramento.
Inoltre: il tuo modello di intelligenza artificiale è segretamente avvelenato? 3 segnali di pericolo
Le scoperte del mondo reale convalidano la ricerca. Già nel febbraio 2024, Ricerca sulla sicurezza di JFrog ha scoperto circa 100 modelli dannosi su Hugging Face, incluso uno contenente una shell inversa che si collega alle infrastrutture della Corea del Sud.
“I LLM diventano i loro dati e, se i dati vengono avvelenati, mangiano felicemente il veleno,” ha scritto Gary McGrawco-fondatore del Berryville Institute of Machine Studying, in Darkish Studying.
A differenza degli attacchi di tipo immediate injection che sfruttano l’inferenza, l’avvelenamento dei dati corrompe il modello stesso. La vulnerabilità potrebbe già essere incorporata nei sistemi di produzione, rimanendo dormiente fino a quando non viene attivata. Quello antropico “Agenti dormienti” Il documento ha fornito la scoperta più preoccupante: il comportamento backdoor persiste attraverso la messa a punto supervisionata, l’apprendimento di rinforzo e l’addestramento contraddittorio. I modelli più grandi si sono rivelati più efficaci nel nascondere comportamenti dannosi dopo gli interventi di sicurezza.
Sebbene una recente ricerca di Microsoft identifichi alcuni segnali che i ricercatori possono monitorare e che potrebbero indicare che un modello è stato avvelenato, il rilevamento rimane quasi impossibile.
Frode deepfake: prendere di mira il livello umano
Un impiegato finanziario presso il colosso britannico dell’ingegneria Arup ha effettuato 15 bonifici per un totale di 25,6 milioni di dollari dopo una videoconferenza con il suo CFO e diversi colleghi. Ogni persona alla chiamata period un falso generato dall’intelligenza artificiale; Gli aggressori avevano addestrato modelli deepfake su video disponibili al pubblico di dirigenti di Arup provenienti da conferenze e materiali aziendali.
Inoltre: come dimostrare che non sei un deepfake su Zoom: il badge “verificato” di LinkedIn è gratuito per tutte le piattaforme
La visibilità pubblica dei dirigenti crea una vulnerabilità strutturale. Le apparizioni alle conferenze e le interviste ai media forniscono dati di formazione per la clonazione vocale e video, mentre l’autorità dei dirigenti consente l’approvazione delle transazioni in un unico punto. Gartner prevede che entro il 2028, il 40% degli attacchi di ingegneria sociale prenderà di mira i dirigenti utilizzando audio e video deepfake.
La barriera tecnica alla creazione di deepfake convincenti è crollata. McAfee Labs ha trovato che tre secondi di audio producono cloni vocali con una precisione dell’85%. Strumenti come DeepFaceLive consentono lo scambio di volti in tempo reale durante le videochiamate, richiedendo solo una GPU RTX 2070. Deep-Reside-Cam ha raggiunto il primo posto nell’elenco delle tendenze di GitHub nell’agosto 2024, consentendo lo scambio di volti di singole foto nei feed di webcam dwell.
La ricerca di Kaspersky servizi documentati di deepfake del darkish net a partire da 50 dollari per i video e 30 dollari per i messaggi vocali, con pacchetti premium che raggiungono i 20.000 dollari al minuto per goal di alto profilo.
Inoltre: smetti di condividere accidentalmente video AI: 6 modi per distinguere il vero dal falso prima che sia troppo tardi
La tecnologia di rilevamento sta perdendo la corsa agli armamenti. IL Benchmark Deepfake-Eval-2024 hanno scoperto che i rilevatori all’avanguardia raggiungono una precisione del 75% per i video e del 69% per le immagini. Le prestazioni diminuiscono di circa il 50% contro attacchi non presenti nei dati di addestramento. Ricercatori dell’UC San Diego hanno dimostrato perturbazioni contraddittorie che aggirano i rilevatori con percentuali di successo dell’86%.
Il rilevamento umano è peggiore. Una ricerca dell’Idiap Analysis Institute ha rilevato che le persone identificano correttamente i deepfake video di alta qualità solo il 24,5% delle volte. UN Studio iProov ha rivelato che su 2.000 partecipanti, solo due hanno identificato correttamente tutti i deepfake.
Progetti Deloitte Le perdite legate alle frodi legate all’intelligenza artificiale raggiungeranno i 40 miliardi di dollari entro il 2027. FinCEN ha pubblicato una guida nel novembre 2024 imponendo agli istituti finanziari di segnalare le frodi deepfake nelle segnalazioni di attività sospette.
Poiché il rilevamento tecnologico è inaffidabile, le organizzazioni stanno implementando contromisure basate sui processi. Misure efficaci includono parole in codice prestabilite, verifica della richiamata a numeri preregistrati e autorizzazione multiparte per trasferimenti di grandi dimensioni.
