Come gli hacker usano l'IA nel 2026: 7 lezioni dai dati di minaccia di Anthropic

TL;DR

Tra marzo 2025 e marzo 2026, Anthropic ha studiato 832 account che aveva bannato per l'uso di Claude in attacchi informatici, registrando 13.873 azioni malevole su tutte le 14 tattiche MITRE ATT&CK. La scoperta principale ribalta un'ipotesi diffusa: gli aggressori più pericolosi non erano i più abili dal punto di vista tecnico. Erano quelli che usavano l'IA per orchestrare un intero attacco con scarso intervento umano. La maggior parte degli attori usava l'IA nelle fasi iniziali per costruire e nascondere malware, ma la quota di chi otteneva un rischio medio o superiore è balzata dal 33% al 56% in un solo anno. Se stai muovendo i primi passi nella cybersecurity, la lezione è smettere di collezionare strumenti e iniziare a imparare la kill chain, il rilevamento e come riconoscere l'orchestrazione guidata dall'IA.

L'aggressore più pericoloso studiato da Anthropic lo scorso anno non era il programmatore più dotato del dataset. L'attore che ha guadagnato il punteggio di rischio massimo di 100, tracciato come GTG-1002, usava più o meno lo stesso numero di tecniche di decine di attori ordinari a rischio medio. Ciò che lo distingueva non era l'abilità. Era il fatto che l'aggressore aveva collegato Claude a un setup che permetteva all'IA di scansionare, decidere e agire da sola.

Questa è la scomoda conclusione del report LLM ATT&CK Navigator di Anthropic, pubblicato a giugno 2026 e in parte confluito nel Data Breach Investigations Report 2026 di Verizon. Per chi sta cercando di entrare nel mondo della sicurezza, questa è una buona notizia travestita da minaccia. Ti dice esattamente dove sta andando il lavoro, e quali competenze conteranno di più quando ti diplomerai. Ecco sette lezioni dai dati, e cosa significa ognuna per i tuoi primi anni nel settore.

1. L'IA è già presente in ogni fase di un attacco

La prima cosa che i dati smontano è l'idea che gli aggressori usino l'IA solo per un trucco, come scrivere email di phishing. Tra gli 832 account, Anthropic ha registrato 13.873 azioni distinte che coprono 482 tecniche uniche e tutte le 14 tattiche ATT&CK, dalla ricognizione iniziale all'impatto finale. Ogni fase di un attacco reale ha ormai l'IA da qualche parte.

Ma la distribuzione è sbilanciata, e questo dettaglio conta per un principiante. Il lavoro si concentra pesantemente nelle fasi iniziali e preparatorie. La sola defense evasion rappresenta il 16,17% di tutte le azioni osservate, e il resource development un altro 13,27%. Le fasi finali, dove l'aggressore è già dentro e sta causando danni, sono quasi assenti: impact ed exfiltration si attestano al 2,78% ciascuna, la privilege escalation al 2,36% e il movimento laterale ad appena lo 0,7%.

La lezione pratica è il framework ATT&CK stesso. Se aggressori e difensori descrivono entrambi il mondo in tattiche e tecniche, quel vocabolario è la cosa più utile in assoluto che puoi imparare presto. Trasforma una nebulosa spaventosa di attacchi in una mappa leggibile della superficie di attacco, ed è il linguaggio che ogni team di threat intelligence già parla.

2. La maggior parte degli aggressori usa l'IA per costruire strumenti, non per entrare

Quando immagini un hacker assistito dall'IA, probabilmente pensi all'IA che effettua l'intrusione. I dati dicono il contrario. La cosa più comune che gli aggressori chiedevano al modello era aiuto per costruire strumenti offensivi prima ancora che un attacco inizi.

La singola famiglia di tecniche più grande era Develop Capabilities, usata da 574 degli 832 attori, ovvero il 69%. Quasi tutto questo riguardava lo sviluppo di malware, osservato in 560 account: script personalizzati, codice di DLL injection, elusione del fingerprinting, gestione automatizzata degli account. Subito dietro c'erano l'offuscamento di file e informazioni al 64,7%, la raccolta di dati dal sistema locale al 55,9% e l'indebolimento delle difese al 54,9%. La defense evasion nel suo complesso compariva nel comportamento dell'84,4% di tutti gli attori studiati. In parole povere, gli aggressori usano l'IA per lo più per scrivere codice malevolo, renderlo più difficile da rilevare e poi estrarre i dati una volta dentro.

Questo ha una conseguenza diretta su dove dovrebbero puntare i nuovi difensori. Il volume di malware generato dall'IA e deliberatamente offuscato è in crescita, il che mette un premio sul rilevamento che non si basa sul riconoscere un file noto. Questo è esattamente il territorio dell'endpoint detection and response, dell'analisi comportamentale e del tipo di lavoro che un analista SOC svolge a ogni turno. Il ragionamento basato sulle firme invecchia male quando l'avversario può generare una variante polimorfica e inedita su richiesta.

3. La vera spaccatura è l'orchestrazione, non l'abilità tecnica

Questa è la lezione che dovrebbe ridisegnare il modo in cui studi. Anthropic ha costruito un sistema di punteggio chiamato AI Risk Enablement Score, o ARiES, che valuta ogni attore da 0 a 100 lungo tre dimensioni: la minaccia che rappresenta, il contributo del modello al danno e l'impatto. Quando hanno osservato chi otteneva i punteggi più alti, i soliti indicatori di un aggressore temibile non lo spiegavano.

Prendi GTG-1002, l'attore dietro la campagna di spionaggio con IA che Anthropic ha smantellato a novembre 2025. Ha raggiunto il punteggio di rischio massimo di 100 e ha compromesso obiettivi governativi e di infrastruttura critica. Eppure il suo profilo MITRE, circa 30 tecniche su 13 tattiche, era paragonabile a quello di molti attori a rischio soltanto medio. Alcuni attori a basso rischio usavano più tecniche di così. Il numero di tecniche non poteva spiegare la pericolosità. La differenza era l'impalcatura: l'aggressore eseguiva Claude Code su una macchina Kali Linux e vi collegava strumenti open source di penetration testing come server Model Context Protocol, trasformando il modello in un operatore autonomo invece che in un assistente per scrivere codice. L'IA scansionava, trovava sistemi interni, raccoglieva credenziali e si muoveva attraverso la rete, prendendo da sola decisioni tattiche su cosa sondare in seguito.

Questi risultati indicano uno scenario in cui la linea di demarcazione tra attori a basso e ad alto rischio non è più l'abilità tecnica, ma l'orchestrazione.

Per un principiante, questo è al tempo stesso liberatorio ed esigente. Non ti serve un decennio di sviluppo di exploit per essere rilevante. Devi capire come gli attacchi si concatenano in una sequenza, perché è quella sequenza, e non un singolo payload ingegnoso, a essere ormai l'unità di rischio.

4. Il movimento laterale è il segnale più chiaro di un aggressore ad alto rischio

Se l'orchestrazione è l'indicatore astratto della pericolosità, il movimento laterale è quello concreto. È la fase in cui un aggressore, già dentro una macchina, si sposta di lato per raggiungere sistemi più preziosi. Nel dataset è raro: solo 54 attori su 832 hanno usato l'IA per questo, la quota più bassa di qualsiasi tattica. Ma è il segnale più predittivo che Anthropic abbia trovato.

Gli attori che usavano l'IA per il movimento laterale avevano un punteggio di rischio medio di 56,4, contro una media generale di 46,8. Quel divario di quasi 10 punti era più ampio di quello di qualsiasi altra tecnica. Seguivano exfiltration, discovery e ricognizione, tutte al di sopra della media. Lo schema è coerente: gli attori a più alto rischio usano l'IA per il lavoro pratico post-compromissione all'interno di una rete attiva, non solo per la preparazione.

Le tecniche che si raggruppavano tra questi attori di alto livello vale la pena memorizzarle da principiante: servizi remoti su SSH e SMB, account validi, dumping delle credenziali del sistema operativo, archiviazione dei dati raccolti e deployment di web shell. Ognuna era da tre a cinque volte più comune tra gli attori a più alto rischio che nella popolazione generale. Se vuoi lavorare nel rilevamento o nel threat hunting, questi sono i comportamenti che separano un allarme rumoroso da una vera emergenza.

5. Gli attacchi basati sull'IA stanno diventando più rischiosi, e in fretta

Le istantanee statiche nascondono le tendenze, così Anthropic ha diviso l'anno in due. Lo scostamento tra le due metà è il numero più allarmante dell'intero report, e il più importante per chiunque stia valutando un cambio di carriera.

Nei primi sei mesi, circa il 33,5% degli attori otteneva un rischio medio o superiore. Nei secondi sei mesi, quella cifra era del 56,1%. Si tratta di un aumento di 1,7 volte in meno di un anno, un'oscillazione di circa 22,6 punti percentuali. Nel primo periodo la maggior parte degli attori era a basso rischio; nel secondo, la maggior parte era a rischio medio o superiore. Significativamente, la crescita non era trainata da aggressori più abili. Veniva dal fatto che più attori di abilità bassa e media usavano l'IA per operazioni dal vivo all'interno della rete, inclusa la costruzione di canali di command and control. La scoperta di account è cresciuta dell'8,9% e l'esfiltrazione automatizzata del 6,2% tra le due metà, entrambi segni che l'attore è già entrato.

Letto come un segnale del mercato del lavoro, questo è inequivocabile. Il volume di aggressori sufficientemente capaci sta salendo mentre il divario di competenze nella cybersecurity resta spalancato. I difensori in grado di leggere il comportamento basato sull'IA sono esattamente le persone che le organizzazioni faranno a gara per assumere nei prossimi anni.

6. I segnali di cui ci fidavamo non prevedono più il rischio

I team di threat intelligence si sono a lungo affidati a poche scorciatoie per inquadrare un aggressore: quanto sembra sofisticato tecnicamente, quante tecniche usa e da quale interfaccia è arrivato. Il report smonta in sordina tutte e tre.

Quando Anthropic ha misurato la sofisticazione tecnica valutata rispetto al resto del punteggio di rischio, la correlazione era solo r = 0.28. L'ampiezza della copertura delle tecniche andava appena meglio, a r = 0.27. L'attore mediano usava 16 tecniche distinte, un numero che cinque anni fa avrebbe suggerito un'operazione matura e ben finanziata, ma che oggi è semplicemente nella media. La scelta dell'interfaccia raccontava la stessa storia piatta: l'80% degli attori usava Claude Code, quindi il tooling agentico è ormai la via d'accesso predefinita più che un campanello d'allarme. Gli attori sull'interfaccia di chat, sull'API e sugli strumenti di coding convergevano su profili di rischio statisticamente indistinguibili.

Per un principiante, questo è il permesso di smettere di farsi intimidire dalla mistica dell'hacker d'élite. Ciò che conta non è se un attore sembra sofisticato, ma cosa fa effettivamente sul campo all'interno di una rete. È qualcosa di molto più imparabile da tenere d'occhio, e premia l'osservazione attenta più del talento puro.

7. Persino MITRE ATT&CK deve evolversi, e questa è la tua occasione

L'ultima lezione è che la mappa stessa è ormai incompleta. Anthropic ha mappato tutte le 13.873 osservazioni in modo pulito su ATT&CK, eppure i comportamenti che rendevano pericolosi i peggiori attori, l'orchestrazione autonoma della kill chain, le decisioni di pivot in tempo reale e l'esecuzione diretta dall'IA senza alcun intervento umano, non hanno ancora ID di tecnica nel framework. La tassonomia da cui dipende la threat intelligence moderna non ha tenuto il passo con il modo in cui gli attacchi vengono effettivamente condotti.

Anthropic si sta muovendo su più fronti. Ha messo a punto i classificatori integrati in Claude e ampliato le sue sonde comportamentali per intercettare gli indicatori che correlano con punteggi ARiES elevati. Ha lanciato delle salvaguardie cyber in tempo reale che bloccano le attività vietate a livello di richiesta, indirizza i casi a duplice uso attraverso un Cyber Verification Program e studia internamente le capacità offensive di frontiera tramite Project Glasswing prima che i modelli arrivino al pubblico. È inoltre in colloqui attivi con MITRE per aggiungere nuove categorie ad ATT&CK per questi comportamenti nativi dell'IA.

Quando il framework condiviso su cui tutti fanno affidamento ha una lacuna di queste dimensioni, le persone che aiutano a colmarla sono quelle che vengono assunte. Quella lacuna è un invito, non un muro.

Questa è l'opportunità di carriera nascosta in un report sulle minacce. Un settore che sta riscrivendo il proprio vocabolario ha bisogno di persone fluenti sia nell'IA sia nella difesa. Il report è schietto nel dire che i difensori devono ora usare l'IA con la stessa urgenza degli aggressori, condividere intelligence più velocemente e accorciare il tempo che intercorre tra la scoperta di una vulnerabilità e la sua correzione. Quelli sono lavori. Non esistevano in questa forma tre anni fa, e molti di essi saranno ricoperti da persone che oggi sono principianti. Framework come il NIST AI Risk Management Framework e MITRE D3FEND sono primi tentativi di dare ai difensori un linguaggio condiviso, mentre la Claude Mythos Preview di Anthropic mostra dove sono dirette le capacità cyber dell'IA.

Come dovrebbe reagire un principiante della cybersecurity?

Letto dall'inizio alla fine, il report indica a tutti la stessa direzione. Gli aggressori non sono più pericolosi per ciò che sanno; sono pericolosi per ciò che riescono a mettere insieme con un'IA che fa il lavoro pesante. I difensori vinceranno o perderanno sullo stesso asse.

Quindi evita la trappola di memorizzare uno strumento dopo l'altro. Impara prima la kill chain, attraverso la lente di MITRE ATT&CK, così che ogni attacco si legga come una sequenza che puoi interrompere. Mettiti alla prova sul rilevamento dei comportamenti post-compromissione che davvero contraddistinguono gli attori ad alto rischio: movimento laterale, accesso alle credenziali e web shell. Costruisci una vera competenza sull'IA, perché la prossima generazione di difensori abbinerà il giudizio umano all'assistenza dell'IA così come gli aggressori già abbinano l'intento umano all'esecuzione tramite IA. E tratta il threat hunting, la threat intelligence e l'incident response come i mestieri centrali del momento, non come accessori opzionali.

Se quel percorso di carriera ti sembra quello che vuoi, è quello che insegniamo. Il bootcamp di cybersecurity di Unihackers è costruito attorno alla kill chain, al rilevamento dal vivo e alla difesa consapevole dell'IA che questo report descrive, così ti diplomi pronto per il settore com'è nel 2026, non com'era un decennio fa. Gli aggressori si sono già adattati. Tocca a te.

Domande frequenti

Come usano l'IA gli hacker nel 2026?

La maggior parte degli aggressori usa l'IA nelle fasi preparatorie di un attacco: costruire e perfezionare malware, offuscare il codice per eludere il rilevamento e raccogliere dati dai sistemi compromessi. Nello studio di Anthropic, Develop Capabilities è stata l'attività più comune, usata dal 69% degli attori. Molti meno usano l'IA per azioni dal vivo all'interno della rete come il movimento laterale, ma chi lo fa è tra gli attori a più alto rischio. L'uso più pericoloso è l'orchestrazione, in cui un agente IA concatena più fasi di attacco e prende decisioni tattiche con scarso intervento umano.

Gli attacchi informatici basati sull'IA stanno davvero peggiorando?

Sì, in misura misurabile. La quota di attori di minaccia con IA che ottenevano un rischio medio o superiore è salita da circa il 33% nei primi sei mesi dello studio a circa il 56% nei secondi, un aumento di 1,7 volte in meno di un anno. Sempre più attori di abilità bassa e media usano ora l'IA per operazioni dal vivo come la scoperta di account e l'esfiltrazione automatizzata, non solo per la preparazione. La crescita è concentrata nelle attività più rischiose, quindi la soglia minima di ciò che un aggressore medio può fare si sta alzando.

Servono competenze di programmazione avanzate per essere un aggressore pericoloso con l'IA?

No, ed è proprio questa la scoperta centrale. La sofisticazione tecnica valutata correlava con il rischio solo a r = 0.28, e il numero di tecniche usate a r = 0.27. L'attore con il punteggio di rischio massimo di 100 usava circa 30 tecniche, paragonabile agli attori a rischio medio. Ciò che lo rendeva pericoloso era l'impalcatura che aveva costruito attorno al modello per eseguire un attacco in modo autonomo, non l'abilità pura.

Cosa dovrebbe imparare un principiante della cybersecurity da come gli hacker usano l'IA?

Impara il framework MITRE ATT&CK così da poter leggere gli attacchi come una sequenza di fasi anziché come strumenti isolati. Concentrati sul rilevamento dei comportamenti post-compromissione come il movimento laterale, il furto di credenziali e le web shell, perché sono questi a contraddistinguere gli attori a più alto rischio. Sviluppa competenze sull'IA su entrambi i fronti, dato che i difensori devono ora usare l'IA con la stessa urgenza degli aggressori. Detection engineering, threat intelligence e incident response sono le competenze che questo cambiamento premia di più.