26 marzo 2026 · 6 min lettura
Intelligenza ArtificialeOracle licenzia 18% del personale per finanziare $50 miliardi in AI. In Italia il tribunale di Roma legittima il licenziamento in contesto AI. Cosa significa per chi gestisce infrastruttura in autonomia.
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
La cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Ho passato un pomeriggio a convincere un LLM a comportarsi da pentester. Non il mio server, non il mio lab — un target esterno, reale. Ci è voluto meno di quanto pensassi. E il punto non è che ci sia riuscito: è che chiunque potrebbe. I rischi del jailbreak AI non sono un problema teorico per ricercatori accademici. Sono un problema operativo, adesso, per chiunque abbia un terminale e un abbonamento a un servizio cloud.
Un dato per inquadrare la situazione: secondo uno studio pubblicato su Nature Communications nel 2026 da Thilo Hagendorff e colleghi, i Large Reasoning Models raggiungono un tasso di successo del 97,14% nel jailbreak di altri modelli AI quando operano come agenti autonomi. Nove modelli target, settanta prompt, sette categorie di attacco. Non stiamo parlando di exploit artigianali: è automazione industriale della manipolazione.
La narrazione ufficiale è rassicurante. I provider pubblicano report sulla robustezza dei guardrail, annunciano nuovi livelli di protezione, organizzano bug bounty. Anthropic ha lanciato una sfida su HackerOne: 339 ricercatori, oltre 300.000 interazioni, 55.000 dollari in premi. I Constitutional Classifiers hanno abbassato il tasso di jailbreak dall’86% al 4,4%. Un risultato impressionante — su un singolo sistema, in condizioni controllate.
Poi guardi i numeri del mondo reale.
Cisco ha misurato un 64% di successo negli attacchi multi-turn contro i principali LLM commerciali, contro un 13% per le query singole. Mistral Large Instruct cede nel 93% dei casi. DeepSeek R1 capitola al 100% nei test Cisco. JBFuzz ottiene circa il 99% su GPT-4o, Gemini 2.0 e DeepSeek-V3 con una media di sette query. Sette. Non settecento.
Hagendorff lo chiama «regressione dell’allineamento»: generazioni successive di modelli sempre più capaci possono, paradossalmente, erodere anziché rafforzare l’allineamento. Tradotto: più il modello diventa intelligente, più diventa bravo a farsi convincere che le regole non si applicano al caso specifico. È social engineering, non hacking. La macchina non si stanca, non ha dubbi etici una volta convinta, e lavora a migliaia di richieste al secondo.
A novembre 2025, Anthropic ha rivelato di aver individuato — e interrotto — un’operazione di cyber-spionaggio condotta da un gruppo state-sponsored cinese (successivamente identificato dalla community come GTG-1002) che aveva usato Claude Code per eseguire l’80-90% di una campagna contro circa trenta entità globali. L’AI ha gestito migliaia di richieste, spesso multiple al secondo — un ritmo che nessun team umano potrebbe eguagliare. Ricognizione, identificazione vulnerabilità, esecuzione dell’exploit: tutto concatenato, tutto autonomo.
Chi gestisce un homelab lo sa già: un agent AI che concatena nmap, analisi delle versioni e tentativo di exploit in sequenza non è fantascienza. È quello che fa PentAGI, progetto open-source di pentesting autonomo. La differenza tra un lab controllato e un crimine è l’autorizzazione del proprietario del target. Stop.
Chi pensa che «tanto è solo un chatbot» dovrebbe leggere l’art. 615-ter del codice penale. Accesso abusivo a sistema informatico: fino a 3 anni nella forma base, da 2 a 10 con aggravanti, da 3 a 12 per sistemi militari o di pubblica utilità. Il reato si configura anche senza danno effettivo — basta l’accesso non autorizzato. L’art. 615-quater punisce anche la detenzione e diffusione di strumenti per l’accesso abusivo. In Italia la normativa è più ampia del CFAA americano: punisce perfino l’eccesso di autorizzazione.
A gennaio 2026, 225 eventi cyber registrati in Italia — un aumento del 42% rispetto a dicembre 2025. L’EU AI Act impone conformità piena per i sistemi ad alto rischio entro agosto 2026. La finestra per chi improvvisa si sta chiudendo.
L’evoluzione è lineare se la guardi con il senno di poi: script kiddie negli anni ’90, malware-as-a-service negli anni 2000, ransomware-as-a-service nel decennio scorso, AI-assisted hacking dal 2023. Ogni volta che la barriera d’ingresso si abbassa, il volume degli attacchi esplode. ChatGPT viene citato nel 52,5% dei thread criminali relativi all’AI — dato estratto da 163 conversazioni su 21 forum underground, 2.264 messaggi analizzati.
Il phishing generato da AI registra un click-through del 54% contro il 12% dei messaggi tradizionali. Quattro volte e mezzo più efficace. E non servono competenze particolari per generarlo — il caso LiteLLM ha dimostrato come anche la supply chain dei tool AI sia un vettore d’attacco.
Siamo di fronte a un punto di svolta per gli attaccanti informatici: l’AI riduce competenze, costi e tempo necessari per trovare e sfruttare vulnerabilità, trasformando expertise rara in capacità a basso costo.
Devo ammettere una cosa: parte di me trova affascinante la velocità con cui questi strumenti operano. XBOW ha trovato oltre 1.000 vulnerabilità in pochi mesi. Alla DARPA AI Cyber Challenge, gli agenti hanno scovato 54 falle in quattro ore. Come difensore, è terrificante. Come tecnico, è difficile non riconoscere la potenza ingegneristica. Ma «potente» e «lecito» sono due concetti distinti.
La difesa concreta parte dalla segmentazione. Nel mio lab uso VLAN separate per i servizi esposti, reverse proxy con CrowdSec come WAF, MFA tramite Authelia su ogni accesso amministrativo, rate limiting aggressivo. Trivy per l’audit dei container — perché se la supply chain dei tuoi strumenti di sicurezza è compromessa, il resto non conta. Fail2ban con regole aggiornate per i pattern AI-generated completa il quadro base. Chi vuole spingersi oltre può guardare l’OWASP Top 10 per LLM Applications e soluzioni IDS potenziate da AI come AIWALL.
CVE-Bench ridimensiona il panico: su vulnerabilità reali, gli agenti AI riescono solo nel 13% dei casi. L’AI è un assistente formidabile, non un hacker autonomo e infallibile. Microsoft e HackerOne sostengono che vietare la ricerca sul jailbreak indebolirebbe le difese più di quanto protegga. Hanno ragione. Ma c’è differenza tra ricerca responsabile e puntare un agente contro l’infrastruttura di qualcun altro.
Daniel Miessler ha scritto che la domanda per la sicurezza nel 2026 non è più «quanti analisti hai» ma «quanto è capace l’AI dei tuoi attaccanti rispetto alla tua». Aggiungo: quanto è capace l’AI dei tuoi attaccanti rispetto alla tua difesa? Perché se la risposta è «non lo so», il problema non è l’AI che si fa convincere a fare il pentester. Il problema sei tu che non hai ancora accettato che i filtri di sicurezza AI sono un’illusione confortante — e che l’unica protezione reale è assumere che verranno superati.
Fonti: Hagendorff et al., Nature Communications 2026, Anthropic — Disrupting AI Espionage, Euronews / Cisco AI Security, Schneier on Security, Art. 615-ter c.p., CSO Online, Help Net Security — AI in cybercrime, HackerOne / Anthropic Challenge