AI worm è il nome che sta facendo discutere la cybersecurity: non un semplice malware che sfrutta una falla già nota, ma un prototipo capace di analizzare una rete, scegliere una strategia e propagarsi in modo autonomo. Il progetto arriva dall’Università di Toronto e mostra una minaccia ancora sperimentale, ma molto concreta.
AI worm: cosa cambia rispetto ai malware tradizionali
Un worm classico si replica da un computer all’altro sfruttando una vulnerabilità precisa. Se quella falla viene corretta, la diffusione rallenta o si ferma. Un AI worm cambia logica: usa un modello linguistico per osservare il bersaglio, valutare configurazioni deboli, credenziali esposte e servizi vulnerabili, poi genera una strada di attacco adatta al contesto.
Lo studio AI Agents Enable Adaptive Computer Worms descrive un proof of concept in ambiente isolato. Il codice operativo non è stato pubblicato, proprio per ridurre il rischio di abuso. Il punto non è offrire uno strumento agli attaccanti, ma dimostrare che malware più autonomi sono tecnicamente possibili.
Il tema si collega alla sicurezza quotidiana degli utenti. Molti attacchi iniziano da credenziali rubate o messaggi ingannevoli, come avviene nella truffa Signal Support e nei tentativi di phishing. Qui però il salto è diverso: l’attacco non dipende solo da un clic sbagliato.
Quanto è veloce il worm guidato dall’intelligenza artificiale
Nei test, il prototipo non si è diffuso con la velocità dei grandi worm storici. I ricercatori indicano circa 5 giorni per raggiungere metà della rete simulata. È molto più lento di minacce come WannaCry, che nel 2017 colpì oltre 300.000 computer in poche ore.
Questa lentezza oggi è un vantaggio per i difensori: dà più tempo per rilevare attività anomale, traffico sospetto, riuso sistematico di credenziali o modifiche non autorizzate. Il problema è che l’efficienza dei modelli e dell’hardware può migliorare, riducendo in futuro questa finestra di intervento.
Un elemento critico è l’uso delle risorse del dispositivo compromesso. Il prototipo può sfruttare macchine con GPU per sostenere il ragionamento del modello, riducendo la dipendenza da server esterni. Questo rende più difficile basarsi solo sul blocco delle comunicazioni verso un centro di comando tradizionale.
Cosa devono fare aziende e utenti per ridurre il rischio
La difesa non cambia nei principi, ma deve diventare più rigorosa. Patch tempestive, segmentazione della rete, autenticazione forte, gestione delle password e controllo dei dispositivi IoT restano fondamentali. In una rete piatta, dove computer, server, stampanti e telecamere comunicano liberamente, un malware adattivo trova più spazio.
Serve anche monitorare i comportamenti, non solo le firme note. Un worm che ragiona può cambiare percorso, quindi gli strumenti di sicurezza devono cercare pattern anomali: scansioni interne insolite, accessi laterali, uso inatteso della GPU, creazione automatica di chiavi o account.
L’AI può aiutare anche in difesa, come accade in altri campi dove l’analisi automatica riconosce segnali complessi, dalla bioacustica con l’IA ai sistemi di rilevamento delle anomalie. La domanda ora è chi correrà più veloce: chi sviluppa malware autonomi o chi costruisce reti abbastanza resilienti da contenerli.
