Report
Rapporto sulla minaccia AI di KELA per il 2026: l’AI sta diventando sia l’arma che il bersaglio

L’intelligenza artificiale non aiuta più semplicemente i cybercriminali a lavorare più velocemente, ma sta diventando sempre più un partecipante attivo in attacchi sofisticati. Questa è la conclusione centrale del Rapporto sulla minaccia AI di KELA per il 2026, che sostiene che la sicurezza informatica ha raggiunto una nuova era in cui l’AI agente, i modelli linguistici open-source e le tecniche di attacco autonome stanno cambiando drasticamente il modo in cui viene condotto il cybercrime. Il rapporto descrive un panorama di minacce in cui l’AI sta accelerando tutto, dalle scoperte di vulnerabilità alle operazioni di ransomware, dalle campagne di phishing allo spionaggio aziendale, creando allo stesso tempo nuove superfici di attacco per i difensori da proteggere.
L’ascesa degli attacchi cibernetici autonomi
Per anni, l’AI ha servito principalmente come strumento di produttività per sviluppatori, professionisti della sicurezza e attaccanti. KELA sostiene che il 2026 segna un fondamentale passaggio dagli assistenti AI ai sistemi AI in grado di eseguire obiettivi multi-step con un limitato coinvolgimento umano. Invece di generare semplicemente codice o rispondere a domande, questi sistemi possono identificare vulnerabilità, analizzare software, concatenare exploit, escalare privilegi e assistere durante l’intero ciclo di attacco con una velocità notevole.
Mentre le prime dimostrazioni di queste capacità provenivano da modelli di frontiera proprietari, KELA ritiene che la preoccupazione più grande a lungo termine sia l’adozione rapida di modelli open-source come DeepSeek, Qwen e Kimi. Poiché questi modelli possono essere auto-ospitati, modificati e privati delle restrizioni di sicurezza, i gruppi criminali non dipendono più dai fornitori di servizi AI commerciali e possono costruire sistemi AI offensivi interamente sotto il loro controllo.
La finestra di patch sta scomparendo
Forse la previsione più allarmante del rapporto riguarda ciò che viene chiamato Scoperta e Sfruttamento Autonomo di Vulnerabilità (AVDE). Tradizionalmente, le organizzazioni avevano un tempo prezioso tra la divulgazione pubblica di una vulnerabilità e la diffusione di exploit funzionanti. Quella finestra permetteva ai team di sicurezza di testare le patch e proteggere i sistemi prima che gli attaccanti potessero approfittarne.
L’AI agente minaccia di eliminare quel vantaggio. Invece di affidarsi solo a vulnerabilità note in precedenza, questi sistemi possono analizzare enormi codebase, ragionare attraverso la logica del software complesso, identificare difetti, validarli automaticamente e generare codice di exploit molto più velocemente dei ricercatori umani. Una volta che una patch del software diventa pubblica, i sistemi AI possono reverse-engineerarla per determinare la vulnerabilità sottostante, compressando drasticamente il tempo a disposizione dei difensori per rispondere. Ciò che una volta si svolgeva nel corso di mesi potrebbe ora accadere nell’arco di poche ore.
I gruppi di ransomware stanno integrando l’AI nelle loro operazioni quotidiane
L’AI non sta sostituendo gli operatori umani, ma sta diventando un moltiplicatore di forza per le organizzazioni di ransomware.
Un esempio presentato nel rapporto esamina le comunicazioni trapelate presumibilmente collegate al gruppo di ransomware noto come TheGentlemen. Secondo l’analisi di KELA, i membri hanno utilizzato l’AI per accelerare lo sviluppo del software, risolvere problemi di infrastruttura, analizzare log, raffinare codice maligno, redigere negoziati di riscatto, elaborare dati aziendali rubati e costruire strumenti interni. Le conversazioni suggeriscono che gli operatori consideravano l’AI come un acceleratore operativo che migliorava notevolmente l’efficienza in quasi ogni fase delle loro campagne, anche se la supervisione umana rimaneva necessaria.
Ciò riflette una tendenza più ampia in tutto l’ecosistema cybercriminale, dove l’AI funziona sempre più come un altro membro del team piuttosto che come uno strumento.
Le operazioni degli Stati nazionali stanno diventando più automatizzate
Il rapporto sostiene anche che i gruppi di minaccia avanzati stanno iniziando ad automatizzare grandi porzioni delle loro operazioni.
Un caso di studio descrive una campagna di spionaggio attribuita al gruppo allineato con la Cina GTG-1002, che ha presumibilmente automatizzato tra l’80% e il 90% di un flusso di lavoro di intrusione. Secondo KELA, l’AI ha gestito la scoperta di vulnerabilità, la generazione di exploit, l’escalation dei privilegi, il movimento laterale e la priorizzazione dei dati con un coinvolgimento umano minimo. Indipendentemente dal fatto che queste operazioni provengano da attori statali o gruppi di cybercrime organizzati, il rapporto suggerisce che l’AI sta diventando lo strato di esecuzione responsabile dell’esecuzione di attacchi sempre più complessi.
Gli attaccanti stanno imparando a manipolare l’AI stessa
Uno dei concetti più affascinanti del rapporto è qualcosa che KELA chiama “Vibe Hacking.”
Invece di tentare di bypassare un modello AI con prompt di jailbreak ovvi, gli attaccanti stanno sempre più manipolando l’AI inquadrando attività maliziose come compiti legittimi. Invece di istruire un’AI a ignorare le sue regole di sicurezza, li convincono che stanno partecipando a test di sicurezza autorizzati, sviluppo del software o troubleshooting interno. Una volta che l’AI accetta quel contesto, potrebbe essere disposta a eseguire azioni che supportano le operazioni offensive.
KELA documenta diversi esempi che coinvolgono assistenti di codifica AI e server del protocollo di contesto del modello, illustrando come prompt attentamente progettati possano convincere gli agenti AI a ispezionare file sensibili, esporre segreti o eseguire porzioni di una catena di attacco mentre credono di svolgere un lavoro legittimo.
L’ingegneria sociale sta diventando più convincente
L’intelligenza artificiale sta anche trasformando uno dei metodi di attacco più antichi della sicurezza informatica: l’ingegneria sociale.
Il rapporto descrive un mercato sotterraneo in espansione dove i criminali vendono piattaforme di phishing alimentate da AI, sistemi di phishing vocale multilingue, servizi di deepfake, tecnologia di clonazione vocale e strumenti di raccolta di credenziali assistiti da AI. Alcuni servizi pubblicizzano la capacità di condurre centinaia di chiamate automatizzate mentre mimano rappresentanti del servizio clienti reali, complete di supporto multilingue e capacità conversazionali realistiche.
Queste offerte riducono notevolmente l’esperienza tecnica richiesta per lanciare attacchi convincenti, consentendo ai criminali di acquistare capacità sofisticate attraverso servizi di abbonamento piuttosto che svilupparle internamente.
Gli infostealer stanno rubando ora la conoscenza organizzativa
Una delle osservazioni più importanti del rapporto riguarda l’evoluzione del malware infostealer.
Storicamente, gli infostealer si sono concentrati su password, cookie del browser, portafogli di criptovaluta e token di autenticazione. Oggi, il malware si concentra sempre più su ciò che KELA descrive come il “livello cognitivo” dell’utilizzo dell’AI. Invece di rubare solo credenziali, gli attaccanti cercano ora librerie di prompt, file di memoria AI, conversazioni in cache, flussi di lavoro di automazione, istruzioni aziendali e contesto persistente archiviato dagli assistenti AI.
Ciò cambia completamente la natura del compromesso. Una postazione di lavoro infetta non espone più solo credenziali di accesso, ma potrebbe rivelare come funziona un’organizzazione, il ragionamento dietro le decisioni aziendali, flussi di lavoro proprietari, pianificazione strategica, architettura del software e conoscenza interna accumulata attraverso mesi di lavoro assistito dall’AI.
Il rapporto stima che KELA abbia osservato oltre un milione di macchine infette uniche solo nei primi quattro mesi del 2026, mentre documenta anche una crescita continua nel malware focalizzato su macOS che colpisce sviluppatori ed esecutivi.
I cookie di sessione sono diventati più preziosi delle password
KELA sostiene che le sessioni AI autenticate stanno rapidamente diventando bersagli premium per i cybercriminali.
Invece di rubare nomi utente e password, gli attaccanti cercano sempre più i cookie di sessione del browser che consentono loro di bypassare l’autenticazione a più fattori nel suo complesso. Una volta che ottengono accesso a una sessione AI autenticata, possono ereditare non solo conversazioni, ma anche strumenti di sviluppo connessi, servizi cloud, repository di codice, flussi di lavoro di automazione e integrazioni aziendali.
Il rapporto documenta un mercato sotterraneo in crescita dedicato specificamente all’acquisto, alla convalida e alla rivendita di sessioni di piattaforme AI autenticate, suggerendo che il hijacking di sessioni potrebbe diventare uno dei modi più efficaci per compromettere ambienti aziendali alimentati da AI.
L’infrastruttura AI è diventata una superficie di attacco
Mentre le organizzazioni distribuiscono strati di orchestrazione AI, endpoint di inferenza, database vettoriali, server del protocollo di contesto del modello e agenti autonomi, i cybercriminali stanno adattando i loro sforzi di ricognizione di conseguenza.
Invece di scansionare solo applicazioni web tradizionali, gli attaccanti cercano sempre più infrastrutture AI esposte che possono fornire l’accesso diretto ai modelli, alle API, alle credenziali cloud o ai sistemi di automazione aziendale. KELA evidenzia piattaforme offensive in grado di automatizzare la scoperta su Internet di servizi AI esposti prima di convalidare e organizzare le credenziali rubate in intelligence immediatamente utilizzabile.
Il risultato è un ecosistema di cybercrime in cui la ricognizione, la raccolta di credenziali, lo sfruttamento e l’analisi post-compromissione stanno diventando sempre più automatizzati, abbassando notevolmente la barriera delle competenze necessarie per lanciare attacchi sofisticati.
Difendere l’era agente
KELA conclude che le organizzazioni non possono più affidarsi esclusivamente a strategie difensive tradizionali mentre l’AI continua ad accelerare il ritmo degli attacchi informatici. Invece, le imprese devono supporre che gli agenti AI, le librerie di prompt, le memorie, i flussi di lavoro autonomi e le identità delle macchine siano ora asset critici che richiedono lo stesso livello di protezione un tempo riservato ai server, alle credenziali e ai database.
Il messaggio generale del Rapporto sulla minaccia AI di KELA per il 2026 è che l’intelligenza artificiale sta ridisegnando la sicurezza informatica da entrambi i lati. L’AI sta dotando i difensori di nuove capacità, ma sta anche trasformando l’economia e la velocità del cybercrime. Mentre le aziende integrano l’AI più profondamente nelle loro operazioni, proteggere non solo l’infrastruttura, ma anche la conoscenza, il contesto e la presa di decisione autonoma incorporata nei sistemi AI potrebbe diventare una delle sfide di sicurezza informatica più importanti del decennio.












