Il worm che pensa: come l'IA sta cambiando le regole del malware

Un worm tradizionale è come un'onda: una volta lanciato, segue sempre lo stesso percorso. Sfrutta una falla specifica, si replica e basta. Quando quella falla viene corretta, l'onda si ferma. Ma cosa succede se il malware potesse ragionare, capire il terreno che attraversa e cambiare strategia a ogni passo? Secondo una ricerca dell'Università di Toronto, questo scenario non è più fantascienza. Un gruppo di ricercatori guidati da Nicolas Papernot ha dimostrato che è possibile creare un worm alimentato dall'IA che si diffonde autonomamente in una rete, adattandosi a ogni dispositivo incontrato senza richiedere alcun intervento umano.

Chi

L'Università di Toronto è uno dei principali centri di ricerca in cybersecurity e machine learning in Nord America. Nicolas Papernot, a capo del progetto, è un esperto riconosciuto di sicurezza dell'IA. Il team ha scelto di non divulgare i dettagli tecnici completi del prototipo e di non rilasciare il codice sorgente, proprio per evitare che la ricerca potesse diventare una guida operativa per criminali informatici.

Cosa è successo

I ricercatori hanno sviluppato un worm che utilizza un modello di intelligenza artificiale open-weight (cioè accessibile pubblicamente) per analizzare i bersagli, individuare vulnerabilità già note e costruire strategie di attacco personalizzate per ogni dispositivo. Il prototipo è stato testato in un ambiente isolato da Internet, su una rete simulata composta da 33 macchine virtuali che includevano sistemi Linux, Windows e dispositivi IoT.

I risultati sono stati significativi: in 15 esecuzioni indipendenti, il worm è riuscito in media a compromettere circa il 75% della rete nel corso di una settimana, senza alcuna supervisione umana. Ha raggiunto il 50% dei dispositivi in soli 5 giorni. Gli esperimenti sono stati condotti utilizzando due GPU NVIDIA (un'A100 con 80 GB di VRAM e un RTX PRO 6000 Blackwell Edition), sfruttando vulnerabilità pubblicamente note ma non ancora corrette, insieme a configurazioni di sistema errate.

Il meccanismo è radicalmente diverso dai worm storici. Un worm tradizionale come WannaCry (2017) o Blaster (2003) sfrutta una singola vulnerabilità specifica. Il prototipo canadese, invece, esegue centinaia di chiamate di inferenza LLM per raccogliere informazioni sul target, elaborare una strategia di attacco e generare il codice di exploit al volo. Una volta compromesso un dispositivo, il malware può utilizzare la potenza di calcolo di quel sistema (se dotato di GPU) per elaborare le mosse successive, distribuendo il carico computazionale sulla rete stessa.

Lo studio è stato pubblicato il 2 giugno 2026 come preprint su arXiv e non è ancora sottoposto a revisione paritaria. Il team si è confrontato con numerose istituzioni di sicurezza prima di rendere pubblica la ricerca.

Perché è importante

Questa ricerca rappresenta un cambio di paradigma nella minaccia informatica. I worm tradizionali sono vulnerabili a una difesa semplice ma efficace: una volta che il produttore di software rilascia una patch per la falla sfruttata, la catena di propagazione si interrompe. Milioni di utenti e aziende si proteggono aggiornando i sistemi.

Un worm alimentato dall'IA non dipende da una lista fissa di vulnerabilità. Ragiona sui target, adatta l'attacco al volo e può sfruttare combinazioni di falle diverse su dispositivi diversi. Se una strategia fallisce, il malware ne prova un'altra. Questo significa che le difese tradizionali—aggiornamenti e patch—diventano meno efficaci contro una minaccia che cambia tattica continuamente.

Un altro aspetto critico: il prototipo utilizza modelli AI open-weight, cioè software gratuiti e disponibili pubblicamente. Non dipende da API commerciali o servizi cloud proprietari. Questo abbassa drasticamente la barriera d'ingresso per un attaccante. Un gruppo criminale non avrebbe bisogno di infrastrutture sofisticate; basterebbe hardware relativamente modesto (come le GPU utilizzate nei test) e il codice giusto.

Storicamente, i worm più devastanti hanno causato danni globali in poche ore. Blaster colpì tra gli 8 e i 16 milioni di computer Windows nel 2003. WannaCry compromise oltre 300.000 computer in maggio 2017. Un worm intelligente potrebbe teoricamente essere ancora più efficace, perché non si fermerebbe quando incontra un sistema diverso o una vulnerabilità già corretta.

Cosa aspettarsi

Nei prossimi mesi, l'attenzione della comunità di sicurezza informatica si concentrerà su come difendersi da questa nuova classe di minacce. Le strategie tradizionali—aggiornamenti rapidi, firewall, segmentazione di rete—rimangono importanti, ma non sufficienti. Gli esperti suggeriscono un approccio a più livelli: hardening dei sistemi (configurazioni più sicure), monitoraggio continuo del comportamento anomalo della rete, e isolamento dei sistemi critici.

Un indicatore da osservare è se questa ricerca stimolerà una risposta normativa. Regolatori e governi potrebbero iniziare a imporre standard di sicurezza più stringenti per i dispositivi IoT e i sistemi critici, proprio perché sono stati identificati come bersagli facili in questo scenario.

Un'altra domanda aperta: quanto tempo passerà prima che un attaccante reale provi a implementare un malware simile? Il fatto che la ricerca sia stata pubblicata (anche se con dettagli omessi) significa che la comunità criminale sa che è possibile. La corsa tra difensori e attaccanti si è appena accelerata.

Infine, ci sono questioni tecniche ancora irrisolte. Il prototipo era più lento di un worm tradizionale, perché gli agenti AI devono effettuare molte inferenze. Con modelli più efficienti e hardware più potente, quella velocità potrebbe aumentare significativamente. I ricercatori stessi hanno sottolineato che il loro test rappresenta un limite inferiore del problema, non il peggio dei casi possibili.