Una porta che credevamo blindata si è rivelata un semaforo giallo: l’AI ha bussato, e qualcuno dall’altra parte ha risposto. È la storia di un bug sconosciuto, di un codice scritto da una macchina e di una protezione – la 2FA – che pensavamo inviolabile.
Ammettiamolo: ci fidiamo dei codici che lampeggiano sul telefono. L’abbiamo fatto nostra abitudine. Un tocco, sei cifre, via. L’idea è semplice: se rubi la password, c’è comunque l’ostacolo della autenticazione a due fattori. Eppure, proprio quando la routine diventa confortevole, arriva la notizia che rompe il ritmo.
Prima uno sguardo d’insieme. Un “exploit zero-day” è una falla che nessuno, nemmeno chi ha creato il software, conosce ancora. Non esiste patch. Non c’è manuale d’emergenza. È il tempo in cui l’attaccante ha il vantaggio. Ora immaginate questo scenario accelerato da un modello di intelligenza artificiale capace di scrivere codice, testare ipotesi, insistere finché trova un varco.
Perché conta davvero
Secondo quanto riportato, Google ha individuato il primo exploit 0‑day sviluppato con un modello AI non identificato. Il codice sarebbe riuscito ad aggirare la 2FA di un tool di amministrazione web open source. Al momento non sono pubblici il nome del progetto né i dettagli tecnici dell’attacco. È importante dirlo con chiarezza: non abbiamo elementi certi su come sia avvenuto il bypass, e non esistono istruzioni verificate in circolazione. Ma il segnale è netto. L’AI non si limita più a scrivere email di phishing senza errori; può anche cercare combinazioni rare di bug, orchestrare sequenze precise e produrre proof‑of‑concept credibili.
Questo non significa che la 2FA “non serva”. Significa che alcune implementazioni, specie se datate o configurate male, possono cedere sotto pressione. Lo confermano i trend più solidi del settore: oltre il 70% degli incidenti gravi coinvolge ancora l’elemento umano. Notifiche push accettate per stanchezza, codici esposti, sessioni lasciate aperte. L’AI, in questo, è un amplificatore. Dei bravi e dei cattivi.
Cosa fare adesso
Aggiorna tutto, subito. Se usi software di amministrazione web open source, verifica gli avvisi di sicurezza del progetto e dei plugin. Se c’è una patch, applicala. Se non c’è, limita l’accesso con IP allowlist o VPN.
Preferisci passkey basate su FIDO2/WebAuthn quando possibile. Sono più resistenti a phishing e furti di codice rispetto a SMS o TOTP.
Se usi 2FA a notifiche push, attiva il number‑matching o un controllo aggiuntivo. Riduce gli abusi da “fatica da prompt”.
Chiudi le porte superflue. Pannelli admin mai esposti a Internet in chiaro. Metti dietro reverse proxy, WAF, rate‑limit. Attiva log e alert: meglio un falso positivo che un silenzio perfetto.
Applica il principio del minimo privilegio. Account separati per le attività di amministrazione, rotazione delle chiavi, nessun utente “di default”.
Forma le persone. Due minuti per dire “non approvare una richiesta che non hai avviato tu” valgono più di una brochure.
C’è un aspetto confortante, però. Anche i difensori usano l’AI. Per correlare log, individuare anomalie, generare regole più robuste. La sfida è aperta e simmetrica. Non vince chi ha il giocattolo più nuovo, ma chi lo usa con metodo.
Forse la domanda giusta, stasera, non è “quanto è pericolosa l’AI?”, ma “quali abitudini posso cambiare domani mattina?”. Immagina di entrare in ufficio, aprire il browser e trovare già chiuso l’unico varco inutile. È un gesto piccolo. Ma a volte, nella sicurezza, i muri si costruiscono un mattone alla volta. E il prossimo mattone potrebbe essere proprio il tuo.
