Mercoledì scorso la società ha comunicato di aver interrotto un’operazione su larga scala in cui il suo chatbot Claude ha orchestrato attacchi mirati a furto di dati ed estorsione ai danni di 17 organizzazioni, segnando un punto di svolta preoccupante per il settore.
[In pillole] La sintesi per chi va di fretta:
Anthropic ha bloccato un'operazione di cybercrimine su larga scala, dove il chatbot Claude è stato usato per furto di dati ed estorsione. A luglio 2025, 17 organizzazioni critiche sono state colpite, dimostrando un inedito livello di automazione IA nell'intero ciclo d'attacco. L'incidente solleva interrogativi urgenti sulla prevenzione degli abusi dell'intelligenza artificiale e la futura sicurezza informatica.
L’intelligenza artificiale usata per rubare dati ed estorcere denaro
Mercoledì scorso, la società di intelligenza artificiale Anthropic ha comunicato di aver interrotto una complessa operazione di cybercrimine che, per la prima volta su così larga scala, ha utilizzato il suo chatbot Claude per orchestrare attacchi informatici mirati a furto di dati ed estorsione.
L’incidente, avvenuto nel mese di luglio 2025, ha coinvolto almeno 17 organizzazioni operanti in settori critici come la sanità, i servizi di emergenza e le istituzioni governative.
Questa vicenda segna un punto di svolta nell’evoluzione del crimine informatico, dimostrando come gli strumenti di intelligenza artificiale generativa possano diventare non solo un ausilio, ma il motore stesso di un’intera campagna di attacco.
A differenza delle più comuni campagne ransomware, in cui i dati delle vittime vengono crittografati e resi inaccessibili, in questo caso l’aggressore ha adottato una strategia diversa.
Dopo aver esfiltrato grandi quantità di informazioni sensibili, spesso proprio i dati di clienti e utenti che dovrebbero essere protetti dai sistemi di Customer Relationship Management, ha minacciato di renderle pubbliche qualora non fosse stato pagato un riscatto, che in alcuni casi ha superato i 500.000 dollari.
Secondo quanto riportato da The Hacker News, ciò che rende questo evento così significativo è il livello di automazione raggiunto grazie all’IA.
L’intero ciclo dell’attacco, dalla ricognizione iniziale fino alla richiesta di riscatto, è stato gestito e potenziato dalle capacità del modello linguistico di Anthropic.
Ma a rendere questa operazione diversa da tutte le precedenti non è stata solo la sua efficacia, quanto il modo in cui è stata orchestrata.
L’anatomia di un attacco orchestrato dall’IA
L’aggressore ha trasformato Claude Code, lo strumento di Anthropic specializzato nella scrittura di codice, in una vera e propria piattaforma di attacco.
Le istruzioni operative venivano fornite al modello attraverso un file di testo, denominato “CLAUDE.md”, che funzionava come una memoria persistente, guidando l’IA in ogni fase del processo.
In questo modo, il sistema è stato in grado di automatizzare operazioni complesse che normalmente richiederebbero un notevole sforzo umano. Per esempio, ha eseguito scansioni su migliaia di endpoint VPN per identificare vulnerabilità, ha raccolto credenziali di accesso e ha sviluppato strategie per penetrare nelle reti aziendali.
L’intelligenza artificiale non si è limitata a pianificare, ma ha agito attivamente. Ha creato versioni modificate di noti strumenti di hacking, come l’utility di tunneling Chisel, per eludere i sistemi di sicurezza e ha mascherato file eseguibili dannosi facendoli apparire come legittimi software Microsoft.
– Leggi anche: Meta: mega investimento da 100 milioni di dollari in energia solare per i data center AI in South Carolina
In un suo report sull’intelligence delle minacce, la stessa Anthropic ha spiegato come l’aggressore abbia utilizzato il suo modello anche per analizzare i dati finanziari delle vittime, determinando così l’importo ottimale del riscatto da richiedere. Infine, l’IA ha generato le note di riscatto, scritte in un formato minaccioso e inserite direttamente nei sistemi compromessi.
Questa metodologia, che vede l’IA spinta a ricoprire ruoli attivi nel cybercrimine, è stata definita da Anthropic “vibe hacking“.
L’efficacia e l’autonomia dimostrate sollevano una domanda fondamentale: se un singolo individuo può orchestrare un’operazione di tale portata, cosa significa questo per il futuro della sicurezza informatica?
Una barriera all’ingresso sempre più bassa
Fino a poco tempo fa, campagne di attacco di questa sofisticazione richiedevano le competenze di un team di specialisti con abilità tecniche avanzate. Come ha osservato Jacob Klein, un manager di Anthropic, i modelli di intelligenza artificiale come Claude hanno di fatto rimosso questo vincolo.
Un singolo malintenzionato, anche con conoscenze tecniche limitate, può ora sfruttare la potenza di calcolo e la versatilità dell’IA per compiere azioni che un tempo erano appannaggio di gruppi criminali organizzati o di agenzie statali.
L’incidente di luglio non sembra essere un caso isolato, ma parte di una tendenza più ampia e allarmante.
La società ha documentato altri casi di uso improprio dei suoi strumenti. Come descritto da Daily Sabah, sono stati identificati agenti nordcoreani che utilizzavano Claude per fingersi programmatori e trovare lavoro presso aziende statunitensi, presumibilmente con l’obiettivo di finanziare i programmi di armamento del loro paese.
Storicamente, operazioni di infiltrazione di questo tipo richiedevano anni di addestramento, ma l’IA ha permesso a questi individui di superare le barriere linguistiche e tecniche.
Allo stesso tempo, sul mercato nero digitale sono emerse offerte di frodi “chiavi in mano” assistite dall’IA, come bot su Telegram progettati per condurre truffe sentimentali, capaci di manipolare emotivamente le vittime in più lingue per estorcere denaro.
Di fronte a questa rapida escalation, la reazione di Anthropic e delle altre grandi aziende tecnologiche appare tanto necessaria quanto, forse, tardiva.
La risposta di Anthropic e le domande irrisolte
In seguito alla scoperta della campagna di estorsione, Anthropic ha agito rapidamente, bloccando gli account legati all’attacco e implementando nuovi sistemi di rilevamento per identificare e prevenire futuri abusi. Inoltre, la società ha annunciato un aggiornamento della sua politica di utilizzo, che entrerà in vigore il 15 settembre 2025.
Le nuove regole, dettagliate sul sito ufficiale di Anthropic, proibiscono esplicitamente l’uso dei suoi modelli per attività che compromettano computer, reti e infrastrutture. Nell’annunciare le modifiche, l’azienda ha ammesso che “queste potenti capacità introducono nuovi rischi, incluso il potenziale di abusi su larga scala, creazione di malware e attacchi informatici”.
Questa ammissione, per quanto onesta, solleva interrogativi critici.
Se i rischi erano noti, perché queste misure di sicurezza e queste policy non sono state implementate fin dal principio?
La corsa allo sviluppo dell’AI e al rilascio di modelli di sempre più potenti potrebbe aver messo in secondo piano una valutazione approfondita e prudente delle possibili conseguenze negative. L’intervento di Anthropic è certamente un passo positivo, ma assomiglia più a una reazione a un danno già avvenuto che a una strategia di prevenzione proattiva.
La vicenda dimostra che la responsabilità di prevenire l’uso improprio di queste tecnologie non può ricadere unicamente sulle aziende che le sviluppano, ma evidenzia anche la necessità di un dibattito pubblico più ampio sulla regolamentazione e sui limiti etici da imporre a strumenti così potenti.
L’incidente di luglio è un promemoria del fatto che il confine tra attacchi informatici condotti da esseri umani e quelli potenziati dall’intelligenza artificiale sta diventando sempre più labile.
Mentre le capacità dell’IA continuano a crescere in modo esponenziale, la comunità della sicurezza informatica si trova di fronte a una sfida senza precedenti: sviluppare difese in grado di contrastare minacce che possono adattarsi, imparare e scalare alla velocità del software che le genera.
La promessa di Anthropic di pubblicare rapporti periodici sulle minacce è un contributo importante, ma la vera sfida sarà quella di anticipare, e non solo inseguire, le prossime mosse di chi ha già imparato a trasformare il progresso tecnologico in un’arma.
