Prima di procedere
Un esperto di sicurezza informatica, Mohan Pedhapati, ha dimostrato come l'intelligenza artificiale (IA) possa essere utilizzata per scopi malevoli, creando una catena di exploit completa per violare il motore JavaScript V8 nel browser Google Chrome 138. Questa versione obsoleta di Chrome è utilizzata dal client Discord, una popolare piattaforma di comunicazione.
Pedhapati ha sfruttato il modello di IA Anthropic Claude Opus 4.6 per sviluppare l'exploit in una settimana. Il processo ha richiesto l'elaborazione di 2,3 miliardi di token e un costo di $2283 per l'accesso all'API dell'IA. Nonostante l'aiuto dell'IA, l'esperto ha dedicato circa 20 ore per risolvere i problemi e perfezionare l'exploit. Sebbene il costo possa sembrare elevato per un singolo ricercatore, Pedhapati ha sottolineato che senza l'IA, lo stesso progetto avrebbe richiesto diverse settimane di lavoro.
L'investimento potrebbe rivelarsi redditizio: le ricompense offerte da Google e Discord per la segnalazione di tali vulnerabilità possono raggiungere circa $15.000. Inoltre, sul mercato nero, un exploit zero-day (una vulnerabilità sconosciuta ai produttori) potrebbe valere cifre ancora più elevate. È importante sottolineare che questo tipo di attacco non è limitato a Discord. Molte applicazioni utilizzano il framework Electron, che si basa su Chrome, come Slack. Tuttavia, il codice di Electron spesso rimane indietro di una versione rispetto al browser e gli sviluppatori non sempre aggiornano tempestivamente le dipendenze. Gli utenti, a loro volta, potrebbero non installare sempre le ultime versioni delle applicazioni.
Pedhapati ha scelto di concentrarsi sul client Discord perché funziona con Chrome 138, una versione obsoleta di nove versioni rispetto all'ultima versione del browser. Questo esperimento dimostra che un programmatore con una conoscenza di base e l'accesso a un modello di IA può violare software non aggiornato. Secondo Pedhapati, si tratta di una questione di tempo, non di probabilità. Ogni patch di sicurezza rilasciata per un software open source può essere interpretata come un indizio per creare un exploit. Poiché i progetti open source sono sviluppati in modo trasparente, le correzioni di bug sono spesso disponibili pubblicamente nel codice prima del rilascio di una versione aggiornata del software.
Per proteggere le applicazioni da tali attacchi, Pedhapati raccomanda di monitorare attentamente le dipendenze e di applicare tempestivamente le modifiche necessarie. Suggerisce, inoltre, di implementare aggiornamenti di sicurezza automatici per evitare che il software degli utenti rimanga vulnerabile a causa della mancata installazione degli aggiornamenti. Infine, invita i progetti open source a prestare maggiore attenzione alla pubblicazione di dettagliate informazioni sulle vulnerabilità.
L'esperimento di Mohan Pedhapati solleva importanti questioni sulla sicurezza informatica nell'era dell'IA. La capacità dell'IA di automatizzare e accelerare il processo di scoperta e sfruttamento delle vulnerabilità rappresenta una sfida significativa per gli sviluppatori di software e i responsabili della sicurezza. Le aziende devono adottare misure proattive per proteggere i propri sistemi e applicazioni, investendo in strumenti di sicurezza avanzati, monitorando attentamente le vulnerabilità e implementando processi di aggiornamento rapidi ed efficienti.
È fondamentale che la comunità della sicurezza informatica collabori per sviluppare nuove strategie e tecniche per contrastare le minacce emergenti basate sull'IA. Ciò include la condivisione di informazioni sulle vulnerabilità, lo sviluppo di strumenti di analisi automatica e l'adozione di un approccio di sicurezza olistico che tenga conto di tutti i livelli della catena di approvvigionamento del software.
L'incidente evidenziato da Pedhapati dimostra che la sicurezza informatica non è più un problema statico, ma un campo in continua evoluzione che richiede un'attenzione costante e un adattamento continuo alle nuove minacce. La collaborazione tra esperti di sicurezza, sviluppatori di software e ricercatori di IA è essenziale per garantire un futuro digitale sicuro e protetto.
