Hacker inesperto ha usato Claude e ChatGPT per violare 14 aziende
Oltre alle ormai note criticità legate all’elevato consumo energetico e all’impatto ambientale, l’intelligenza artificiale si sta rapidamente trasformando in una minaccia formidabile per la sicurezza informatica globale. Recenti indagini hanno dimostrato come gli agenti virtuali possano trasformarsi
Oltre alle ormai note criticità legate all’elevato consumo energetico e all’impatto ambientale, l’intelligenza artificiale si sta rapidamente trasformando in una minaccia formidabile per la sicurezza informatica globale.
Recenti indagini hanno dimostrato come gli agenti virtuali possano trasformarsi in armi potentissime anche nelle mani di chi non possiede alcuna competenza tecnica di programmazione. Un caso emblematico, portato alla luce dai ricercatori di OALABS, illustra con estrema chiarezza questa preoccupante deriva.
Agenti IA per hackerare 14 aziende: l’identikit di un criminale improvvisato
L’attacco è stato orchestrato da un giovane originario dell’Etiopia, riuscito a compromettere vari server e a sottrarre informazioni sensibili da ben 14 aziende.
L’identità dell’aggressore è stata scoperta in modo quasi ironico: prima di avviare l’offensiva, il giovane aveva chiesto a Claude di correggere e impaginare il proprio curriculum vitae, fornendo così al sistema il suo nome completo e la sua posizione geografica. I registri delle conversazioni, recuperati dal proprietario di uno dei server violati, mostrano un utente del tutto inesperto.
I suoi comandi erano formulati in modo approssimativo, pieni di errori grammaticali e privi di qualsiasi tecnicismo. Nonostante questa palese inadeguatezza, l’intelligenza artificiale ha generato l’intero codice necessario per l’intrusione, permettendo al giovane non solo di rubare dati aziendali, ma anche di tentare il furto di criptovalute per un valore pari a 4 milioni di dollari, operazione fortunatamente fallita.
Le aziende sviluppatrici sono consapevoli dei rischi. Anthropic, ad esempio, ha integrato dei filtri di sicurezza per impedire che i propri modelli, capaci di scovare migliaia di vulnerabilità in sistemi operativi come Windows e Linux, vengano usati per scopi malevoli.
Tuttavia, l’aggressore è riuscito ad aggirare le difese di Claude Opus con una facilità disarmante. È stato sufficiente dichiarare di far parte di un “red team”, ovvero una squadra di ricercatori autorizzata a testare le difese informatiche.
Ingannato da questa premessa, il sistema non solo ha fornito il codice per hackerare i server, ma ha persino suggerito i metodi più efficaci per monetizzare l’operazione, calcolando i profitti derivanti dall’estorsione e dalla vendita dei dati riservati.
L’unico blocco effettivo da parte dell’agente virtuale è scattato quando il giovane ha tentato di colpire gli account digitali di una famiglia specifica, poiché i protocolli etici delle simulazioni di sicurezza non prevedono mai attacchi diretti a singoli cittadini privati.
Una sfida per l’industria tech
Questo episodio dimostra quanto sia facile superare gli attuali sistemi di sicurezza. I software utilizzati dall’hacker etiope sono versioni accessibili al grande pubblico, molto meno potenti rispetto alle varianti riservate alle grandi aziende tecnologiche.
La rapidità con cui queste tecnologie si evolvono espone le infrastrutture a rischi enormi, poiché chiunque può replicare attacchi simili delegando l’intera parte tecnica alle macchine.
Limitare drasticamente le capacità di programmazione di questi agenti penalizzerebbe i ricercatori onesti che li utilizzano per rafforzare le difese aziendali, ma mantenere l’attuale livello di accessibilità rende impossibile distinguere con certezza le richieste di un esperto di sicurezza da quelle di un criminale intenzionato a trarre profitto illecito.
Questo articolo Hacker inesperto ha usato Claude e ChatGPT per violare 14 aziende è stato pubblicato in origine su GizChina.it.
