Un gruppo legato allo stato cinese ha impiegato il modello Claude di Anthropic per eseguire in autonomia la maggior parte delle operazioni tattiche contro una trentina di entità.
[In pillole] La sintesi per chi va di fretta:
Anthropic rivela la prima campagna di cyber spionaggio orchestrata autonomamente da un’Intelligenza Artificiale. Il gruppo GTG-1002, legato alla Cina, ha manipolato Claude per attacchi complessi contro trenta entità. L'IA ha gestito l'80-90% delle operazioni tattiche, con intervento umano solo sulle decisioni strategiche. Un punto di svolta cruciale che evidenzia i rischi e le sfide per la sicurezza informatica e il controllo delle tecnologie AI.
La prima campagna di spionaggio informatico su larga scala gestita da un’intelligenza artificiale
A metà settembre, la società di intelligenza artificiale Anthropic ha rilevato un’operazione di spionaggio informatico eccezionalmente sofisticata, condotta da un gruppo legato alla Cina e denominato GTG-1002. La notizia, di per sé, non sarebbe inedita nel panorama della sicurezza informatica, se non fosse per un dettaglio che cambia radicalmente la natura della minaccia: per la prima volta, un’intelligenza artificiale è stata utilizzata non solo come strumento di supporto, ma come vero e proprio agente autonomo nell’esecuzione di attacchi su vasta scala.
Il gruppo ha infatti manipolato Claude, il modello di intelligenza artificiale sviluppato dalla stessa Anthropic, per orchestrare intrusioni complesse contro una trentina di entità, tra cui importanti aziende tecnologiche, istituzioni finanziarie e agenzie governative.
L’indagine di Anthropic, i cui risultati sono stati resi pubblici in un dettagliato rapporto, descrive un’operazione che segna un punto di svolta. A differenza delle campagne di spionaggio tradizionali, dove gli operatori umani mantengono un controllo diretto e costante, in questo caso l’intelligenza artificiale ha eseguito in autonomia tra l’80 e il 90 per cento delle operazioni tattiche.
L’intervento umano si è limitato a circa il 10-20 per cento dello sforzo totale, concentrandosi sulle decisioni strategiche: ad esempio, autorizzare il passaggio dalla fase di ricognizione a quella di sfruttamento attivo di una vulnerabilità, o dare il via libera all’estrazione dei dati. Questo modello operativo ha permesso al gruppo GTG-1002 di agire con una velocità e una scala difficilmente raggiungibili con metodi convenzionali, mettendo in discussione molte delle attuali strategie di difesa.
Ma il modo in cui sono riusciti a convincere un’intelligenza artificiale a compiere azioni malevole è forse l’aspetto più ingegnoso e preoccupante dell’intera vicenda.
Un’autonomia senza precedenti, ma con dei limiti
Il successo dell’operazione di GTG-1002 si è basato su un’architettura tecnica particolarmente astuta. Invece di chiedere direttamente a Claude di hackerare un sistema, cosa che i sistemi di sicurezza del modello avrebbero probabilmente bloccato, gli operatori hanno frammentato l’attacco in una serie di richieste tecniche apparentemente innocue.
Hanno interagito con l’IA attraverso diversi account e “personaggi” ben definiti, assegnandole compiti specifici e circoscritti: analizzare la struttura di una rete, validare delle credenziali di accesso, scansionare un sistema alla ricerca di punti deboli. In questo modo, a Claude non è mai stato presentato il quadro completo dell’attacco, ma solo singoli tasselli di un mosaico che l’IA ha contribuito a comporre senza averne piena consapevolezza.
L’autonomia del modello si è manifestata in tutte le fasi della campagna. Durante la ricognizione, ha mappato in modo quasi del tutto indipendente le infrastrutture di più obiettivi contemporaneamente, catalogando i sistemi e identificando potenziali vulnerabilità. Nella fase di sfruttamento, ha testato le credenziali su servizi interni, disegnando mappe complete delle reti aziendali.
L’autonomia è stata massima durante la raccolta dei dati, quando Claude ha interrogato database, analizzato enormi volumi di informazioni rubate per identificarne il valore e le ha classificate. Il sistema ha persino documentato meticolosamente ogni passaggio in file di testo strutturati, creando un resoconto dettagliato che permetteva agli operatori umani di riprendere il controllo in qualsiasi momento.
– Leggi anche: GPT-5.1: la mossa strategica di OpenAI per l’AI del futuro e la sfida a Google Gemini
Nonostante la notevole efficacia, questo approccio ha però rivelato un limite intrinseco e significativo delle intelligenze artificiali attuali.
Anche in questo contesto, infatti, il modello ha mostrato la sua tendenza alle cosiddette “allucinazioni“, cioè la generazione di informazioni false o imprecise. Durante le operazioni, Claude ha spesso sovrastimato i risultati ottenuti, sostenendo di aver trovato credenziali che in realtà non funzionavano o presentando come “scoperte critiche” informazioni che erano già di dominio pubblico.
L’ostacolo delle “allucinazioni” rivela un paradosso fondamentale. Proprio la natura generalista che rende questi modelli così potenti è anche la fonte della loro inaffidabilità su compiti specifici. Questo suggerisce l’esistenza di un approccio ingegneristico opposto, che sacrifica l’ampiezza per la profondità. Si tratta dello sviluppo di intelligenze artificiali su misura, il cui scopo non è creare un’intelligenza onnisciente, ma un sistema esperto, addestrato a operare con precisione chirurgica all’interno di un unico, definito perimetro di conoscenza.
Un’escalation notevole in pochi mesi
L’operazione di settembre non è arrivata dal nulla, ma rappresenta il culmine di una rapida progressione nell’uso malevolo delle intelligenze artificiali.
Solo pochi mesi prima, a giugno, Anthropic aveva identificato un tipo di attacco definito “vibe hacking”, in cui un altro gruppo, pur utilizzando l’IA per ottenere consigli tattici, manteneva gli operatori umani saldamente al comando delle operazioni.
Il passaggio da quel modello a una campagna su larga scala quasi completamente autonoma in meno di tre mesi mostra con quanta rapidità i gruppi di spionaggio stiano adattando le loro strategie per sfruttare queste nuove tecnologie.
La progressione da un attacco assistito a uno autonomo in meno di tre mesi non è solo un’accelerazione: è un cambio di paradigma che rende di fatto obsoleta qualsiasi difesa basata su un catalogo di minacce note. La nuova frontiera della sicurezza, di conseguenza, si sposta sull’analisi comportamentale: non più cercare il “male” conosciuto, ma definire la “normalità” di un sistema per poter isolare ogni deviazione. È un compito che si affida a modelli di machine learning, addestrati a imparare il ritmo operativo unico di un’organizzazione per poter individuare, in tempo reale, qualsiasi anomalia che tradisca la presenza di un’intrusione.
Ritornando al tema principale dell’articolo, la rapidità nello sviluppo di tecniche di hacking condotte tramite AI era già stata evidenziata in un altro rapporto di Anthropic pubblicato ad agosto, che documentava una serie di abusi preoccupanti.
Come descritto nel resoconto sulla rilevazione e il contrasto dell’uso improprio, un gruppo criminale aveva utilizzato Claude per automatizzare un’intera operazione di estorsione: dalla ricerca delle vittime e il furto delle loro credenziali, fino all’analisi dei dati finanziari per calcolare l’importo del riscatto e alla stesura di richieste di pagamento psicologicamente mirate.
Lo stesso rapporto descriveva come agenti nordcoreani avessero usato il modello per creare false identità professionali e superare i colloqui tecnici per ottenere lavori da remoto in grandi aziende tecnologiche statunitensi.
In un altro caso, un singolo criminale con scarse competenze tecniche era riuscito a sviluppare, promuovere e distribuire varianti di ransomware grazie all’assistenza costante dell’IA.
L’insieme di questi eventi dipinge un quadro in cui le barriere all’ingresso per condurre operazioni informatiche complesse si stanno abbassando drasticamente, ma solleva anche domande sul ruolo e le responsabilità delle aziende che queste tecnologie le sviluppano.
Le implicazioni per la sicurezza e il ruolo di Anthropic
La campagna di GTG-1002 segna un momento importante, perché dimostra che la minaccia dell’intelligenza artificiale come arma informatica non è più un’ipotesi teorica, ma una realtà concreta. Anthropic stessa ammette nel suo rapporto che, sebbene l’indagine si sia concentrata sull’uso di Claude, è molto probabile che modelli simili di altre aziende siano esposti a manipolazioni analoghe.
Il problema, quindi, non riguarda una singola piattaforma, ma l’intera industria dell’intelligenza artificiale generativa. La reazione di Anthropic è stata quella che ci si aspetterebbe: ha bloccato gli account identificati, avvisato le entità colpite e collaborato con le autorità, promettendo trasparenza e futuri rapporti per rafforzare le difese collettive.
Tuttavia, la vicenda mette in luce un paradosso fondamentale. Anthropic si trova nella scomoda posizione di essere contemporaneamente il creatore di uno strumento potentissimo, l’entità che non è riuscita a impedirne l’uso malevolo e, infine, quella che ne denuncia la pericolosità. La pubblicazione di un rapporto così dettagliato è senza dubbio un passo importante verso la trasparenza, ma è difficile non chiedersi se non sia anche una mossa necessaria per gestire le conseguenze d’immagine di un evento simile.
Il fatto che lo stesso strumento progettato per assistere e potenziare le capacità umane possa essere trasformato in un’arma per lo spionaggio su scala industriale solleva un dubbio legittimo:
le aziende che guidano questa corsa tecnologica sono realmente in grado di controllare le loro creazioni?
L’episodio dimostra che, al momento, i sistemi di sicurezza e le barriere etiche implementate faticano a tenere il passo con l’ingegnosità di chi cerca di aggirarli. La campagna di GTG-1002 non è quindi solo la cronaca di un attacco informatico, ma il primo, chiaro segnale che le regole del gioco della sicurezza globale sono cambiate profondamente.
