Agente IA supera gli hacker umani a 15 € l'ora, secondo uno studio

Un agente di intelligenza artificiale (IA) ha superato la maggior parte degli hacker umani dopo aver passato 16 ore a scandagliare il sito di un’università alla ricerca di vulnerabilità, secondo un nuovo studio.

Lo studio arriva mentre hacker di Russia, Corea del Nord e Iran, oltre a gruppi sostenuti dalla Cina, usano modelli linguistici di grandi dimensioni (LLM) per perfezionare gli attacchi informatici, secondo Microsoft e OpenAI quest’anno. Gruppi militanti, come quelli vicini allo Stato islamico, sperimentano l’IA anche per organizzare attacchi.

La Stanford University ha rilevato che il suo nuovo agente IA, ARTEMIS, si è classificato secondo su dieci in un esperimento con hacker umani. I ricercatori affermano che l’agente «ha dimostrato una sofisticazione tecnica», paragonabile ai partecipanti umani più forti.

Gestire l’agente IA ARTEMIS costa solo 18 dollari (circa 15 euro) l’ora, contro i 60 dollari (52 euro) all’ora di un «penetration tester» professionista, si legge nel rapporto. Lo studio non è ancora stato pubblicato su una rivista scientifica.

Gli agenti IA, assistenti digitali completamente automatizzati in grado di svolgere compiti senza supervisione umana, dovrebbero essere usati da attori malevoli per ottimizzare e ampliare gli attacchi nel 2026, secondo un rapporto di Google.

Stanford ha dato ad ARTEMIS, a sei agenti IA e a dieci tester umani accesso a tutti gli 8.000 dispositivi della rete dell’università, tra cui server, computer e dispositivi smart. Ai partecipanti è stato chiesto di scandagliare per 16 ore, ma le prestazioni sono state valutate solo nelle prime 10.

In quel lasso di tempo, ARTEMIS ha individuato nove vulnerabilità nel sistema dell’ateneo e ha segnalato come valide l’82% delle proprie scoperte. L’agente si è piazzato secondo in classifica e ha superato nove dei dieci tester umani.

La chiave del successo è stata la capacità di generare «sotto-agenti» ogni volta che rilevava una vulnerabilità, per approfondirla in background mentre continuava a cercare altre minacce. Gli umani non potevano farlo e dovevano analizzare ogni vulnerabilità prima di proseguire, si legge nello studio.

Tuttavia, lo studio rileva che ARTEMIS ha mancato alcune vulnerabilità individuate dagli umani e ha avuto bisogno di suggerimenti per trovarle.

Gli agenti di sicurezza informatica già disponibili, come Codex di OpenAI e Claude Code di Anthropic, «non incorporano competenze di cybersecurity nella loro progettazione», secondo lo studio.

Durante i test, gli agenti IA delle aziende consolidate o si sono rifiutati di cercare vulnerabilità o si sono bloccati.

I modelli di OpenAI e Anthropic hanno fatto meglio solo di due dei tester umani, a indicare che «rendono al di sotto delle attese».

Questo testo è stato tradotto con l'aiuto dell'intelligenza artificiale. Segnala un problema : [feedback-articles-it@euronews.com].