Era solo questione di tempo. Quando si sarebbe verificata la prima aggressione o intrusione di tipo para-militare, con l’uso esclusivo dell’intelligenza artificiale? Ora possiamo declinare i verbi al passato. A questo punto è successo: a settembre. A scatenare l’operazione, o ad autorizzare gli «agenti ostili» che l’hanno attuata, è stata con ogni probabilità la Cina. La vicenda viene ricostruita dall’esperto legale Nury Turkel sul Wall Street Journal, in un articolo che merita di essere letto come un documento storico. Perché racconta il primo grande attacco di spionaggio condotto quasi interamente da un’intelligenza artificiale.

A scoprire l’operazione è stata la sua prima vittima: Anthropic, una delle aziende americane più avanzate nel campo dell’IA. I suoi ricercatori hanno individuato un gruppo di hacker legati alla Cina – sigla GTG-1002 – che è riuscito a manipolare uno dei loro sistemi, Claude Code, trasformandolo in un agente autonomo capace di condurre un’operazione di infiltrazione sistematica.

Turkel sottolinea il salto di qualità: non si parla qui della solita «assistenza» dell’IA. Non un supporto marginale, non un acceleratore di mansioni ripetitive. L’80-90% dell’azione è stato svolto dalla macchina. Claude ha fatto ricognizione, mappato sistemi, individuato bersagli sensibili, estratto dati, riassunto informazioni utili: come uno 007 artificiale che impara il mestiere mentre lo esercita. «Lo spionaggio informatico tradizionale – scrive Turkel – richiede grandi squadre impegnate in ricognizione, mappatura dei sistemi, identificazione delle vulnerabilità e movimenti laterali. Un’intrusione sofisticata può richiedere giorni o settimane. La Cina ha compresso quel tempo in modo drastico grazie all’IA. Gli aggressori hanno manipolato Claude affinché funzionasse come agente cyber autonomo, mappando i sistemi interni, identificando asset di alto valore, estraendo dati e riassumendo informazioni prima che gli operatori umani prendessero decisioni».

Ciò che colpisce, al netto dei dettagli tecnici, è la soglia simbolica che viene superata. Per anni gli esperti ci hanno detto che l’IA poteva «assistere» gli attacchi. Adesso abbiamo la prova che può condurli in autonomia, su scala ampia, contro bersagli reali: aziende tecnologiche americane, agenzie governative, infrastrutture critiche.

E colpisce anche la facilità. Il gruppo cinese GTG-1002 non ha usato malware di fantascienza né strumenti da miliardi di dollari. Ormai basta mettere insieme strumenti open source – quelli disponibili a qualsiasi studente brillante o aspirante pirata informatico – e farli orchestrare dall’intelligenza artificiale. È questa la democratizzazione del potere offensivo: un tempo era privilegio degli imperi digitali, ora è alla portata di attori molto più piccoli.
Gli aggressori ci sono riusciti con un trucco semplice: hanno convinto Claude di essere degli esperti al servizio della cyber-sicurezza, come se stessero conducendo test autorizzati di vulnerabilità. Hanno mascherato le operazioni più sospette come procedure di routine. E l’IA ci è cascata.

Questa è la parte che farà discutere a lungo: dei sistemi pensati per essere sicuri possono essere manipolati attraverso il linguaggio, lo stesso strumento che noi esseri umani usiamo per dialogare, persuadere, confondere. L’intelligenza artificiale può essere ingannata, lusingata, manipolata. E gli aggressori sembrano già sapere come farlo. C’è un limite che emerge dal rapporto di Anthropic: anche nell’operazione di spionaggio la macchina ogni tanto ha «allucinato», ha esagerato l’importanza di informazioni banali. È un ostacolo reale alla piena autonomia dell’attacco; ma è anche un monito inquietante, perché se l’IA sbaglia, può sbagliare a un ritmo e su una scala dimensionale che nessun umano può controllare.

L’aspetto più strategico è forse questo: Pechino non si limita a usare l’intelligenza artificiale per spiare gli occidentali. Sta studiando le intelligenze artificiali occidentali mentre le usa, osservandone le reazioni, gli errori, i punti deboli. Mentre noi cerchiamo di proteggere i nostri sistemi, loro usano i nostri stessi sistemi per addestrare i loro.

Turkel invita a considerare questo episodio come un momento fondatore, un po’ come fu il primo worm informatico nel 1988 o la prima ondata globale di ransomware. Un punto di svolta che inaugura una fase nuova: nella guerra fredda digitale, le armi ora sparano da sole.

Non siamo ancora all’autonomia totale, ma la direzione è tracciata. Gli attacchi del futuro si muoveranno a velocità inaccessibili per squadre umane. E il confine tra difendere e contrattaccare diventerà più labile, più ambiguo, più pericoloso.