L’era della vulnerabilità: il costo degli zero-day è sceso a 50 dollari al giorno

Il 11 maggio 2026 rappresenta una data cruciale nel panorama della sicurezza informatica. Il Google Threat Intelligence Group ha rivelato di aver scoperto il primo zero-day sviluppato da un’intelligenza artificiale e utilizzato in un attacco reale: un bypass del sistema di autenticazione a due fattori (2FA) su una piattaforma di amministrazione web. Questo attacco, orchestrato da un gruppo di cybercrime, era destinato a scatenare un evento di sfruttamento di massa. Solo cinque settimane prima, Anthropic aveva lanciato Mythos Preview, un progetto che prometteva migliaia di zero-day su diversi sistemi operativi e browser, creando un allarme nel settore della sicurezza.

Il nuovo paradigma delle vulnerabilità

Un attore emergente, XBOW, ha scalato rapidamente le classifiche di HackerOne negli Stati Uniti, collezionando oltre 200 zero-day e superando un veterano della sicurezza in un impressionante intervallo di tempo. La startup ha recentemente concluso un round di finanziamento da 120 milioni di dollari, evidenziando la crescente domanda e i profitti associati alla ricerca di vulnerabilità. Il fatto che scovare questi glitch di sicurezza sia diventato un problema combinatorio indica quanto siano diventate complesse le tecnologie moderne. Mentre un team di tester manuali riesce a esplorare solo un milliaio di stati in un giorno, un modello linguistico di intelligenza artificiale può analizzare enormi quantità di dati, identificando schemi e vulnerabilità note con un’accuratezza del 89%.

La vera svolta è il costo del processo: a sole 50 dollari al giorno, l’utilizzo di GPU avanza la caccia agli exploit a livelli precedentemente inimmaginabili. Non è necessario possedere una super intelligenza artificiale: automatizzare le parti più dispendiose e complesse del lavoro può fare la differenza.

Conseguenze per la sicurezza aziendale

Questi sviluppi portano con sé tre importanti implicazioni per chi gestisce la sicurezza informatica nelle aziende. Primo, il ritardo delle patch sta diventando insostenibile. La differenza di tempo tra la scoperta di una vulnerabilità e il suo sfruttamento è ora ridotta a giorni, se non ore. In secondo luogo, i metodi di difesa tradizionali, come firewall e antivirus, si stanno dimostrando inadeguati contro exploit generati da AI, i quali possono variare sintatticamente in modi mai visti prima. Infine, l’implementazione continua di bug bounty interni basati su sistemi di intelligenza artificiale diventa l’unica strategia difensiva sensata.

Le soluzioni di scansione del codice assistite dall’AI, come Snyk, Veracode e GitHub Advanced Security, non possono più essere considerate opzionali. Le aziende che continuano a vederle come delle “nice-to-have” stanno mettendo a rischio non solo la loro sicurezza, ma anche la loro reputazione e operatività.

Un nuovo paradigma per la difesa

In questo contesto, si sta delineando un cambiamento fondamentale nel modo in cui concepiamo la sicurezza informatica. La corsa tradizionale tra strumenti di attacco e difesa è giunta a una sorta di stallo. Oggi, gli attacchi possono essere considerati come un servizio in abbonamento da 50 dollari al giorno, e le sole aziende che vorranno prosperare in questo ambiente dovranno adottare un approccio simile: AI-on-AI. Questo significa sviluppare strumenti di fuzzer generativi in grado di confrontarsi e contrastare i generatori di payload e adottare sistemi di rilevamento comportamentale per combattere le nuove tecniche di attacco.

In Italia, le imprese devono adattarsi rapidamente a questo nuovo scenario se non vogliono essere colpite da attacchi sempre più complessi e frequenti. Un approccio proattivo all’integrazione di strategie di sicurezza informatica basate su AI diventerà essenziale per garantire una protezione adeguata in questo mare in tempesta di vulnerabilità e minacce.