Google ha recentemente svelato cinque campioni di malware recentemente sviluppati utilizzando l’intelligenza artificiale generativa.
I risultati finali di ciascuno di essi si sono rivelati di gran lunga inferiori agli standard del malware sviluppato professionalmente, una scoperta che dimostra come la programmazione “a vibrazione” di software dannosi sia in ritardo rispetto alle forme di sviluppo più tradizionali e, di conseguenza, abbia ancora molta strada da fare prima di rappresentare una minaccia concreta per la sicurezza informatica mondiale.
Uno dei campioni, tracciato con il nome di PromptLock, faceva parte di uno studio accademico volto ad analizzare l’efficacia dell’uso dei grandi modelli linguistici per “pianificare, adattare ed eseguire in modo autonomo l’intero ciclo di vita di un attacco ransomware”.
I ricercatori, tuttavia, hanno riportato che il malware presentava “chiare limitazioni: omette la persistenza, il movimento laterale e le tattiche di evasione avanzate” ed è servito poco più che a dimostrare la fattibilità dell’uso dell’Intelligenza Artificiale per tali scopi.
Prima della pubblicazione dello studio, la società di sicurezza ESET aveva affermato di aver scoperto il campione e lo aveva salutato come “il primo ransomware alimentato dall’IA”.
Non Credete al Bombo
Proprio come gli altri quattro campioni analizzati da Google – FruitShell, PromptFlux, PromptSteal e QuietVault – PromptLock è stato facile da rilevare, persino da protezioni endpoint meno sofisticate che si basano su firme statiche.
Tutti i campioni hanno inoltre impiegato metodi già visti in precedenza in altri malware, rendendoli facili da contrastare.
Hanno anche avuto un impatto operativo nullo, il che significa che non hanno costretto i difensori ad adottare nuove contromisure.
“Ciò che questo ci mostra è che, a più di tre anni dalla mania per l’IA generativa, lo sviluppo delle minacce è dolorosamente lento”, ha dichiarato a Ars il ricercatore indipendente Kevin Beaumont.
“Se pagaste degli sviluppatori di malware per questo, chiedereste furiosamente un rimborso, poiché questo non mostra una minaccia credibile o un movimento verso una minaccia credibile”.
Un altro esperto di malware, che ha chiesto di rimanere anonimo, ha concordato sul fatto che il rapporto di Google non indica che l’IA generativa stia dando agli sviluppatori di software dannosi un vantaggio rispetto a coloro che si affidano a pratiche di sviluppo più tradizionali.
“L’IA non sta creando malware più spaventoso del normale”, ha affermato il ricercatore.
“Sta solo aiutando gli autori di malware a fare il loro lavoro. Nulla di nuovo. L’IA migliorerà sicuramente. Ma quando, e di quanto, è tutto da vedere”.
Analisi Tecnica e Limiti Evidenti
L’analisi condotta dal team di Threat Intelligence di Google ha messo in luce le carenze strutturali di questi prototipi.
Il malware generato tramite IA, sebbene concettualmente allarmante, manca della raffinatezza e delle complesse funzionalità di evasione che caratterizzano le campagne di attacco avanzate guidate da gruppi criminali organizzati o stati nazionali.
La mancanza di meccanismi di persistenza, ad esempio, significa che il codice maligno viene rimosso al primo riavvio del sistema, limitandone drasticamente l’efficacia.
Allo stesso modo, l’assenza di tecniche di movimento laterale impedisce al malware di diffondersi attraverso la rete una volta che ha infettato un dispositivo iniziale, contenendo potenzialmente il danno.
Questi limiti sono intrinseci all’approccio attuale dello sviluppo guidato da prompt, che fatica a gestire la complessità e la pianificazione a lungo termine richieste da un attacco informatico di successo.
Il Futuro della Minaccia e la Postura Difensiva
Sebbene l’attuale generazione di malware basato su IA non rappresenti una minaccia immediata, la comunità della sicurezza rimane vigile.
L’evoluzione di questi strumenti è inevitabile e le aziende, così come i singoli utenti, devono continuare a basare la propria difesa su principi consolidati.
Questi includono:
- L’aggiornamento regolare di software e sistemi operativi.
- L’utilizzo di soluzioni antivirus e antimalware di provata efficacia.
- L’implementazione dell’autenticazione a più fattori.
- La formazione continua degli utenti per riconoscere tentativi di phishing e ingegneria sociale.
La narrativa sull’IA come creatrice di super-malware è, per il momento, più marketing che sostanza.
Tuttavia, serve come un promemoria cruciale: gli strumenti a disposizione di cybercriminali e difensori si stanno evolvendo, e la vigilanza proattiva rimane l’arma più potente per garantire la sicurezza nel cyberspazio.
La vera sfida per la sicurezza informatica futura non sarà tanto il codice generato dall’IA in sé, ma come i criminali utilizzeranno questi strumenti per automatizzare e potenziare tattiche esistenti, rendendo gli attacchi più numerosi e, forse, più personalizzati.
