‹ Tutti gli articoli
AI

L'AI che trova (e sfrutta) i bug prima di te

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

Per decenni trovare una vulnerabilità grave nel software è stato un mestiere artigianale: occhi esperti, intuizione, pazienza, e strumenti automatici come i fuzzer che bombardano un programma di input fino a farlo crollare. Bravo lavoro, ma lento, e con un limite noto: i fuzzer trovano quello che capita, non quello che capiscono. Non capiscono niente.

L'Ai sta cambiando questo equilibrio, e lo sta facendo in fretta.

Quando la macchina vede quello che il fuzzer non vede

Il caso simbolo è Big Sleep, l'agente di Google nato dalla collaborazione tra Project Zero e DeepMind. Ha trovato una vulnerabilità reale, un buffer overflow, nel motore di database SQLite. Il dettaglio che conta: l'infrastruttura di test esistente, fuzzing incluso, quella vulnerabilità non l'aveva mai trovata. L'AI sì, perché non ha bombardato a caso, ha ragionato sul codice.

Non è un caso isolato. Sistemi come FuzzingBrain V2 (arXiv 2605.21779) hanno scovato 29 vulnerabilità inedite in una dozzina di progetti open source, tutte confermate e corrette dai manutentori, con un paio di CVE assegnati. La capacità di leggere il codice e capire dove può rompersi sta passando, in parte, alla macchina.

Big Sleep ha trovato un bug che il fuzzing tradizionale non vedeva. Non più forza bruta, comprensione.

La lama a doppio taglio (ovviamente)

A questo punto la domanda si scrive da sola: se l'AI trova bug, li trova per difenderti o per attaccarti? Risposta onesta: per entrambi, e dipende da chi tiene il manico.

Il lato luminoso è enorme. Trovare e correggere vulnerabilità su scala, più in fretta degli avversari, riequilibra una partita storicamente sbilanciata a favore di chi attacca. Il lato oscuro è arrivato puntuale: i gruppi che monitorano le minacce hanno già segnalato un attore che, a maggio 2026, ha usato un exploit ritenuto sviluppato con l'aiuto dell'AI. Lo strumento che trova i bug per chiuderli è lo stesso che li trova per aprirli.

C'è anche una nota di umiltà, che i ricercatori onesti aggiungono sempre: questi sono risultati ancora sperimentali, e in molti casi un fuzzer mirato sarebbe efficace quanto l'AI. Non è magia. È un nuovo, potente paio di occhi, non un oracolo.

Perché conta per te

Per chi sviluppa: la finestra tra "il bug esiste" e "qualcuno lo trova" si sta accorciando per tutti, difensori e attaccanti. Patchare in fretta non è più una buona pratica, sta diventando una corsa contro macchine che leggono più veloci.

Per chi usa software: la buona notizia è che molti bug verranno trovati e chiusi prima, in silenzio. La cattiva è che gli stessi metodi sono disponibili a chi non avvisa nessuno.

Per anni abbiamo detto che la sicurezza è una corsa agli armamenti. Adesso, per la prima volta, su entrambi i lati corre qualcosa che impara. La domanda non è più chi è più bravo. È chi addestra meglio il proprio cacciatore di bug, e a chi lo punta.