repubblica.it, 6 luglio 2026
JadePuffer, il primo ricatto informatico da parte di un’IA
Quando un tentativo di intrusione informatica fallisce per un ostacolo imprevisto, un hacker in carne ed ossa si ferma, consulta la documentazione tecnica e riscrive il codice. È un processo che richiede minuti preziosi o intere ore.
Durante un recente attacco a un server aziendale, un errore di formattazione in una password ha bloccato l’ingresso al sistema. Il software malevolo ha esaminato il blocco, dedotto l’origine del problema, generato un nuovo codice di accesso valido ed effettuato il login in trentuno secondi netti.
Nessun essere umano si trovava alla tastiera: l’intera operazione è stata orchestrata in totale autonomia da un modello linguistico avanzato. È l’alba di una nuova categoria di minacce informatiche.
Il primo agente autonomo per le estorsioni
Il Sysdig Threat Research Team, un gruppo specializzato nell’analisi delle minacce alla sicurezza cloud, ha documentato quello che gli esperti definiscono il primo “ransomware agentico”.
Questo termine indica un attacco in cui l’intero ciclo di compromissione viene eseguito da un agente basato su intelligenza artificiale, in grado di prendere decisioni, piuttosto che da strumenti controllati manualmente da un operatore.
Il software, ribattezzato JadePuffer, ha dimostrato capacità di adattamento senza precedenti. Il codice intercettato dai ricercatori era pieno di commenti in linguaggio naturale che spiegavano la logica dietro ogni singola azione, dalla scelta del database più grande da colpire allo scopo di ogni passaggio.
Questa narrazione automatica del proprio operato rappresenta una firma tipica dei modelli per la generazione del codice e ha confermato la natura artificiale dell’aggressore.
La “porta” d’ingresso
L’attacco è iniziato da uno strumento usato per sviluppare applicazioni di intelligenza artificiale. La vittima non è stata resa pubblica, ma secondo l’analisi tecnica l’ingresso nella rete è avvenuto attraverso Langflow, una piattaforma open source che permette agli sviluppatori di creare applicazioni basate su modelli linguistici.
JadePuffer ha sfruttato una vulnerabilità già nota di Langflow, catalogata come CVE-2025-3248. In pratica, quella falla ha funzionato da porta d’accesso al primo sistema compromesso.
Dopo l’ingresso, l’agente ha iniziato a esplorare l’ambiente informatico della vittima. Ha cercato chiavi API, credenziali cloud e altri dati di accesso: informazioni che, in un’infrastruttura aziendale, consentono ai diversi servizi digitali di riconoscersi e comunicare tra loro.
Usando queste informazioni, l’attacco si è poi spostato verso sistemi più importanti della rete. Il bersaglio finale era un server di produzione, quindi una macchina usata per far funzionare servizi reali dell’azienda. Su quel server erano presenti Nacos, uno strumento che gestisce le configurazioni dei servizi, e MySQL, un database molto diffuso.
L’aspetto più rilevante è il comportamento dell’agente durante l’operazione. Quando ha incontrato dati in un formato inatteso, ha modificato al volo un proprio componente per riuscire a leggerli. Questo indica un attacco capace di adattarsi al contesto, invece di limitarsi a eseguire una sequenza fissa di istruzioni.
Dalla crittografia alla distruzione totale
Raggiunto il database principale, l’operazione si è trasformata in un sabotaggio irreparabile. Sfruttando le funzioni native del database stesso, JadePuffer ha cifrato oltre milletrecento elementi di configurazione essenziali per il funzionamento dei sistemi della vittima. Subito dopo, ha cancellato le tabelle originali per paralizzare l’ambiente produttivo e ha lasciato un messaggio di riscatto con un indirizzo Bitcoin.
I ricercatori hanno scoperto un dettaglio allarmante riguardo alla chiave di cifratura utilizzata per bloccare i dati. L’agente l’ha generata in modo effimero, l’ha impiegata per il blocco e poi l’ha letteralmente dimenticata, omettendo il salvataggio o l’invio a un server esterno controllato dai criminali.
I dati sequestrati dunque sono diventati illeggibili in modo permanente, rendendo impossibile qualsiasi recupero anche in caso di pagamento del riscatto.
L’intelligenza artificiale ha inoltre inserito false dichiarazioni nei propri registri, sostenendo di aver eseguito un backup dei file su un indirizzo IP specifico. La mossa si è rivelata una tattica di manipolazione psicologica volta a convincere la vittima a pagare sotto la finta promessa di una via d’uscita.
Il divario difensivo a velocità di macchina
L’efficienza spietata di JadePuffer mette in discussione gli attuali modelli di difesa informatica, pensati per contrastare avversari umani che operano con tempistiche molto più dilatate.
La maggior parte delle organizzazioni impiega ore per rilevare un uso anomalo delle credenziali di accesso. Questo lasso di tempo risulta catastrofico quando l’intruso è un software capace di superare un ostacolo, correggere un errore di logica e muoversi verso il nucleo nevralgico dell’azienda nello spazio di pochi secondi.
Le raccomandazioni tecniche puntano ora sulla necessità di implementare monitoraggi attivi in tempo reale in grado di interrompere immediatamente le sessioni sospette.
Limitare le connessioni in uscita e proteggere rigorosamente le credenziali restano passaggi fondamentali, poiché le barriere difensive tradizionali sono destinate a cedere di fronte ad avversari in grado di muoversi e ragionare alla velocità delle macchine.
L’ombra di Mythos 5 dietro l’evoluzione delle minacce
L’apparizione di JadePuffer si inserisce in un quadro tecnologico profondamente alterato dai progressi dell’IA di frontiera nel campo della cybersicurezza.
Nelle ultime settimane il dibattito si è concentrato in particolare su Mythos, il modello di Anthropic progettato per attività avanzate di difesa informatica, dalla ricerca di vulnerabilità all’analisi delle superfici d’attacco. Anthropic lo ha presentato come il modello più potente per la cybersecurity e ne ha limitato l’accesso a un gruppo ristretto di partner selezionati.
Mythos ha sottolineato quanto rapidamente i modelli più avanzati stiano acquisendo capacità operative nel campo della sicurezza informatica. E ha alimentato nuovi timori: strumenti nati per aiutare i difensori a trovare falle, analizzare codice e simulare intrusioni possono diventare, se aggirati o usati fuori controllo, un moltiplicatore anche per gli aggressori.
JadePuffer rappresenta la traduzione criminale di questa tendenza. L’agente ha sfruttato una falla nota, ha raccolto credenziali lasciate disponibili nell’ambiente e ha usato le informazioni trovate per spostarsi verso sistemi più sensibili.
La novità sta nel modo in cui ha eseguito la catena d’attacco: con capacità di correzione autonoma e con una velocità incompatibile con i tempi di risposta umani.
Risulata evidente che la barriera all’ingresso per il crimine informatico di alto livello si sta abbassando drasticamente, rendendo operazioni un tempo esclusive di gruppi organizzati accessibili a chiunque riesca a sviluppare o manipolare agenti dotati di simili capacità decisionali.