L’avvento dell’IA ha rivoluzionato il nostro modo di vivere quotidianamente. Possiamo accendere la luce senza alzarci dal divano, guidare un’automobile senza nemmeno muovere i pedali, scrivere un tema di storia senza aver studiato, creare delle fotografie e dei video ambientati in epoche che non abbiamo mai vissuto. Tutto ciò che fino a pochi decenni fa poteva essere solo immaginato e definito “fantascienza”, oggi fa parte della nostra realtà.
L’IA è uno strumento potente e, come per ogni sorta di potere, è necessario imparare a comprenderlo e rispettarlo per poterlo sfruttare al meglio. Si definisce “intelligenza” la capacità di comprendere, apprendere, ragionare e adattarsi a nuove situazioni, risolvere efficacemente problemi mediante l’applicazione delle conoscenze e delle esperienze acquisite e l’IA è stata progettata per fare esattamente questo. Esistono diverse tipologie di IA e ognuna è studiata per svolgere efficacemente determinati compiti, seguendo le regole del linguaggio e dello scopo con cui è stata ideata, ma cosa può succedere quando l’ingegno umano riesce a trovare il modo per manipolare ed eludere quelle stesse regole a suo favore?
Il Jailbreak rivolto all’IA, è una tattica che consiste nell’aggirare determinati modelli linguistici, soprattutto quelli di grandi dimensioni (LLM) e maggiore è la finestra di contesto su cui si basa, maggiore è il rischio che si riescano a manipolare le informazioni per indurre l’IA a generare risposte e richieste potenzialmente dannose. Eludendo questi schemi, chiunque potrebbe identificarsi come “hacker” in quanto non avrebbe bisogno di grosse conoscenze in materia, ma basterebbe affidarsi completamente all’IA, portarla a generare codici malevoli e metodologie di attacco, per poi eseguire il tutto contro i target che sono stati scelti.
L'IA guida il phishing
Lo scenario che si presenta oggi nel campo della sicurezza informatica indica che gli attacchi di tipo phishing sono aumentati drasticamente e si sono evoluti. È stato dichiarato che più della metà di attacchi sono guidati dall’IA che impara a scrivere e leggere testi sempre più convincenti, aumentando di conseguenza il numero di persone che cadono vittime della truffa. Le tipologie di attacco di conseguenza si sono evolute, portando lo scenario delle classiche e-mail di phishing in cui bisognava premere il link per diventare vittime, al phishing vocale e deepfake phishing, in cui si riceve una telefonata da una voce amica e conosciuta che è stata clonata oppure si farà una video call con una persona che non esiste realmente, ma è stata generata con l’IA.
Se da un lato, quindi, sviluppare nuove tecnologie come l’IA ci consente di progredire a livello evolutivo e ci può aiutare assistendoci durante il nostro percorso, dall’altro può essere rischioso se l’utilizzo che ne viene fatto mette a rischio la sicurezza e l’incolumità delle persone; come per ogni cosa, bisogna attuare la regola del buon senso nell’utilizzo della tecnologia, ma la mente umana è altresì manipolabile tanto quanto l’IA.
Per chi lavora nella sicurezza informatica, mantenere una formazione continua e una mentalità aperta ai cambiamenti equivale al sapersi adattare alle varie situazioni che si presentano, poiché ogni attività svolta, per quanto simile, non sarà mai identica a nessun’altra. L'adozione dell’IA nel penetration testing non deve essere vista come una minaccia al ruolo umano, ma come una preziosa opportunità per potenziare le capacità di chi svolge questo mestiere. L’IA può aiutare a velocizzare le fasi di scanning, enumeration e analisi preliminare, lasciando al professionista più tempo da dedicare alle valutazioni strategiche e all’elaborazione di scenari di attacco avanzati. Inoltre, con l’introduzione di modelli sempre più performanti e contestualizzati può migliorare anche le attività di reporting, suggerimento di exploit chain e simulazione di scenari d’attacco più realistici.
Il valore di un penetration test
Restano, dunque, due fattori rilevanti che non devono essere trascurati, ovvero l’etica e la responsabilità nell’uso dell’IA. Automatizzare un attacco anche in ambito controllato come un penetration test, richiede consapevolezza degli impatti che si possono generare sull'infrastruttura o sui dati. Il rischio è quello di delegare eccessivamente l'azione a uno strumento che, per quanto “intelligente”, non ha la coscienza critica dell'essere umano e qui, entrano in gioco l’esperienza e le conoscenze del penetration tester, fondamentali entrambe per poter verificare e validare ciò che l’IA suggerisce o tenta di eseguire.
Guardando al futuro, è probabile che il penetration testing evolverà verso una modalità ibrida, dove le competenze tecniche e creative dell’essere umano si fonderanno con la potenza di calcolo e la capacità predittiva dell’IA. Il professionista della sicurezza del futuro non sarà solo un esperto di reti o di exploit, ma anche una figura capace di interpretare e gestire sistemi complessi, integrando etica, tecnologia e intuito umano. In fondo, l'arte del penetration testing non è solo tecnica, ma è anche riuscire a pensare in maniera elastica, esplorare con curiosità e riuscire a vedere prima degli altri ciò che potrebbe mettere a rischio la sicurezza informatica.