Synthos Logic/News & Insights/Policy & compliance/AI offensiva e AI difensiva: la lezione di JadePuffer e Alberta per le infrastrutture regolate
REF · NEWS-REGO
◉ 2026
Policy & compliance ◉ Approfondimento

AI offensiva e AI difensiva: la lezione di JadePuffer e Alberta per le infrastrutture regolate

JadePuffer e il caso Alberta raccontano lo stesso salto tecnologico da due lati opposti. Per chi difende infrastrutture regolate in Europa, la partita si gioca sul divario di velocità tra chi attacca e chi ripara.

La stessa settimana ha consegnato al mercato due immagini speculari. Da una parte JadePuffer, il primo attacco ransomware documentato condotto interamente da un agente basato su un modello linguistico. Dall'altra il Governo dell'Alberta, che ha impiegato una cinquantina di agenti AI in parallelo per passare al setaccio la sicurezza dei propri sistemi. Attacco automatizzato e difesa automatizzata, a distanza di giorni, sulla stessa curva di capacità. Per chi guida la sicurezza di una banca, di una pubblica amministrazione o di un'impresa regolata in Europa, la lettura utile è nel divario tra le due.

Un centro operativo di sicurezza aziendale di notte, con file di monitor che mostrano flussi di rete e configurazioni sotto una luce ambientale fredda e ambrata.
Un centro operativo di sicurezza aziendale di notte, con file di monitor che mostrano flussi di rete e configurazioni sotto una luce ambientale fredda e ambrata.

La settimana in cui l'attacco si è automatizzato

Il team di ricerca sulle minacce di Sysdig ha ricostruito JadePuffer come una catena completa. L'agente ha ottenuto l'accesso iniziale sfruttando una vulnerabilità nota (CVE-2025-3248) su un'istanza Langflow esposta a internet, ha raccolto in parallelo chiavi API e credenziali cloud, si è spostato lateralmente verso un database di produzione MySQL, ha forgiato token di autenticazione contro un servizio di configurazione Nacos legacy e ha cifrato 1.342 elementi di configurazione. La chiave di cifratura, generata in modo sostanzialmente casuale, è stata stampata una sola volta e resa volatile: pagare il riscatto lascia comunque i dati irrecuperabili.

Il dettaglio che qualifica il salto è la velocità di correzione. Sysdig documenta una sequenza in cui, da un login fallito a un fix funzionante e articolato in quindici righe di codice coordinato, sono passati 31 secondi, con l'agente da solo alla tastiera. I payload si auto-annotavano, spiegando in linguaggio naturale il perché di ogni mossa e la priorità dei bersagli per ritorno atteso. Oltre 600 payload distinti in una finestra compressa.

C'è una precisazione importante, che Sysdig e le testate specializzate hanno messo in chiaro: un umano ha scelto il bersaglio, allestito l'infrastruttura e avviato l'agente. L'esecuzione, da lì in poi, è stata dell'agente. La distinzione è corretta e la rende più significativa, invece di ridimensionarla: la soglia di competenza per condurre un'intera campagna ransomware scende a quanto costa far girare un agente e puntarlo su un server esposto e privo di patch.

La difesa prova a tenere il passo

Il caso Alberta mostra la stessa capacità impiegata dal lato del difensore. La provincia canadese ha documentato l'uso di Claude per individuare e correggere vulnerabilità sui sistemi di governo: circa 466 milioni di righe di codice scansionate in una ventina di ore, su repository usati da 27 ministeri, con una cinquantina di agenti che hanno lavorato in autonomia e in parallelo. Il flusso identifica le vulnerabilità, le ordina per gravità e sfruttabilità, propone patch candidate per le priorità alte e produce documentazione di remediation pronta per l'audit. Ogni patch è passata dalla revisione e dall'approvazione degli ingegneri del ministero prima di andare in produzione.

Alberta riporta un tempo medio di remediation nettamente ridotto rispetto al processo manuale precedente. È un primo passo credibile, ed è il tipo di prova che serve alla tesi difensiva: le stesse capacità di frontiera che rendono reale la minaccia offensiva sono anche gli strumenti migliori per difendersi.

Resta la tensione di fondo. JadePuffer ha dimostrato che un agente può concatenare l'intero ciclo di vita di un ransomware a partire da un singolo servizio esposto e trascurato. La superficie d'attacco che quella dimostrazione apre si espande più in fretta di quanto un flusso di scansione riesca a coprire. La difesa automatizzata avvicina i due ritmi, e il punto aperto è proprio se li avvicina abbastanza.

Cosa cambia per le imprese regolate in Europa

Per banche, assicurazioni, sanità e pubblica amministrazione italiane il quadro normativo già esiste e ora ha un riscontro concreto. NIS2 chiede gestione del rischio e continuità operativa; DORA impone resilienza operativa digitale al settore finanziario; il piano d'azione della Commissione su cybersecurity e AI di luglio 2026 punta a coordinare gli Stati membri proprio sulle minacce poste dai modelli più avanzati. JadePuffer trasforma questi obblighi da adempimento documentale a esigenza operativa misurabile.

La geografia dell'attacco lo rende ancora più concreto. L'agente ha spazzato l'ambiente cercando in modo esplicito credenziali di provider cinesi accanto a AWS, GCP e Azure, e ha colpito componenti open-source diffusi negli stack europei on-premise. Il bersaglio ideale resta l'infrastruttura AI-adiacente: server di orchestrazione che tengono chiavi di provider e credenziali cloud nel proprio ambiente, spesso allestiti in fretta e privi di controlli di rete. È qui che il perimetro sigillato e sovrano — l'idea di isolare i segreti dai processi raggiungibili dal web e di mantenere il controllo dei pesi e dei dati dentro un confine europeo, adottata da diversi hub del continente come Synthos Logic — diventa una misura di igiene difensiva, prima ancora che una scelta di posizionamento.

Le mosse sul tavolo

Le azioni utili valgono per qualsiasi CIO o CISO, a prescindere dal fornitore scelto. Applicare le patch al lungo coda dei sistemi esposti, a partire dai servizi AI-adiacenti raggiungibili da internet, perché un agente rende quasi gratuito lo spray dell'intero catalogo storico di vulnerabilità. Tenere chiavi di provider e credenziali cloud fuori dai server di orchestrazione, delegandole a un secrets manager separato. Applicare controlli di egress, così che un host compromesso raggiunga con difficoltà destinazioni arbitrarie o database esterni. Rafforzare gli store di configurazione (cambiando le chiavi di firma di default, evitando l'esposizione a internet e l'accesso come root al database sottostante). Portare la rilevazione a runtime, perché l'auto-narrazione dei payload di un agente è anche un'opportunità di detection che prima mancava.

C'è un vantaggio inatteso in questa nuova generazione di minacce: un agente dichiara le proprie intenzioni mentre agisce. Sta ai difensori trasformare quella loquacità in segnale. La domanda che il post-JadePuffer lascia aperta al mercato europeo è misurabile e verrà misurata nei prossimi trimestri: il tempo medio in cui la difesa assistita ripara si accorcia più in fretta del tempo in cui l'attacco assistito colpisce, oppure il divario si allarga?

Autore

Pablo Liuzzi

Founder, Synthos Logic

Fonti

↑ Torna al feed