Il Threat Intelligence Group (GTIG) di Google ha pubblicato un importante rapporto sulla sicurezza, avvertendo che l'intelligenza artificiale viene ora utilizzata come arma da hacker legati a stati e da criminali informatici su scala industriale: malware autonomi, exploit zero-day generati dall'IA e operazioni di furto di credenziali rappresentano una minaccia diretta e crescente per gli utenti di criptovalute che si affidano a misure di sicurezza standard.
Il rapporto dell'11 maggio, pubblicato sul blog di Google Cloud da GTIG e basato sulle esperienze di risposta agli incidenti di Mandiant, segna una significativa evoluzione rispetto alle conclusioni del gruppo del febbraio 2026. Mentre il precedente rapporto identificava le attività avversarie assistite dall'IA come nascenti e sperimentali, l'ultima valutazione descrive una transizione matura, in cui i modelli generativi sono ormai integrati nei flussi di lavoro offensivi su larga scala, non più come una curiosità, ma come infrastruttura operativa.
L'intelligenza artificiale scrive il suo primo exploit zero-day
La rivelazione più significativa contenuta nel rapporto è senza precedenti. Per la prima volta, il GTIG ha identificato un attore malevolo che utilizzava un exploit zero-day, presumibilmente sviluppato con l'ausilio dell'intelligenza artificiale. Secondo il rapporto, un attore criminale aveva pianificato di sfruttare l'exploit in un attacco di massa, uno scenario che la contro-scoperta proattiva del GTIG avrebbe potuto prevenire.
Il rapporto rileva che attori statali associati a Cina e Corea del Nord hanno dimostrato, separatamente, un notevole interesse nell'utilizzo dell'intelligenza artificiale per l'individuazione di vulnerabilità. Le implicazioni per gli utenti di criptovalute sono dirette: le interfacce dei wallet, i portali di accesso agli exchange e gli strumenti di autenticazione basati su estensioni del browser dipendono tutti dagli stessi livelli software sottostanti che vengono presi di mira dagli exploit zero-day.
Malware polimorfico e limiti dell'autenticazione a due fattori per gli utenti di criptovalute
Oltre allo sviluppo di vulnerabilità zero-day, il rapporto documenta lo sviluppo accelerato dall'intelligenza artificiale di malware polimorfici – codice che riscrive la propria struttura per eludere il rilevamento – collegato a presunti attori di minacce con legami con la Russia, secondo l'analisi del GTIG. La logica di depistaggio generata dall'IA viene incorporata nei payload del malware per eludere i sistemi di sicurezza basati sulle firme.
La minaccia più diretta per gli utenti di criptovalute, tuttavia, proviene da una funzionalità che il GTIG chiama PROMPTSPY: un malware basato sull'intelligenza artificiale che segnala un passaggio verso l'orchestrazione autonoma degli attacchi. Secondo il rapporto, PROMPTSPY interpreta dinamicamente lo stato del sistema e genera comandi in tempo reale per manipolare gli ambienti delle vittime. Applicato al furto di credenziali, questo tipo di malware può osservare e rispondere ai flussi di autenticazione in modi che gli strumenti di attacco statici non possono, tra cui la possibilità di anticipare gli attacchi contro i sistemi di autenticazione a due fattori basati su SMS e app durante sessioni reali.
L'autenticazione a due fattori (2FA) standard, a lungo considerata un affidabile standard di sicurezza per l'accesso a exchange e wallet, si basa sul presupposto che un malintenzionato non possa osservare e rispondere alla finestra di autenticazione in tempo reale. I malware autonomi basati sull'intelligenza artificiale, capaci di interpretare lo stato del sistema, modificano sostanzialmente tale presupposto.
Un contesto di minacce che si è modificato
Il rapporto del GTIG inquadra il momento attuale come un punto di svolta a duplice uso: l'intelligenza artificiale sta diventando contemporaneamente un bersaglio di alto valore per gli attacchi e un motore sofisticato che li alimenta. Per gli operatori del nascente settore degli asset digitali, dove una singola frase di recupero o un singolo token di sessione compromessi rappresentano una perdita irreversibile, le implicazioni sono sostanziali.
Le pratiche di sicurezza che proteggevano adeguatamente gli utenti di criptovalute due anni fa si stanno rivelando sempre meno efficaci contro un arsenale di strumenti avversari che ora include exploit generati dall'intelligenza artificiale, malware auto-modificanti e operazioni autonome di raccolta delle credenziali, operanti a una velocità superiore a quella di reazione dei difensori umani.
Le chiavi di sicurezza hardware, i dispositivi di firma isolati dalla rete e le architetture di wallet multi-firma rappresentano l'attuale frontiera della protezione efficace, e la distanza tra queste misure e l'autenticazione a due fattori standard non è mai stata così ampia.
Immagine di copertina da Grok, grafico ETHUSD da Tradingview