Redazione RHC : 1 Settembre 2025 14:57
BruteForceAI è un nuovo framework di penetration testing che unisce intelligenza artificiale e automazione per portare il brute-force a un livello superiore. Sviluppato da Mor David, lo strumento utilizza modelli linguistici di grandi dimensioni per analizzare automaticamente i moduli di login e condurre attacchi mirati in modo più veloce ed efficace. A differenza delle soluzioni tradizionali, non richiede configurazioni manuali complesse e riduce il rischio di errori umani, semplificando il lavoro degli specialisti di sicurezza.
Il funzionamento si articola in due momenti distinti. In una prima fase, l’LLM analizza l’HTML della pagina target e individua con estrema precisione campi di input, pulsanti e selettori CSS. Successivamente entra in gioco la cosiddetta “fase Smart Attack”, durante la quale il tool lancia test di credenziali multi-thread sfruttando i selettori rilevati. L’utente può scegliere tra un approccio brute-force classico, che prova tutte le combinazioni possibili, oppure la modalità password-spray, più discreta e utile per ridurre i rischi di blocco.
Tra i punti di forza ci sono le capacità di evasione. Lo strumento è in grado di imitare il comportamento umano grazie a ritardi temporizzati e jitter casuale, alterna gli user-agent, supporta l’uso di proxy e controlla la visibilità del browser. Questo rende gli attacchi più difficili da intercettare da parte dei sistemi di difesa automatizzati. Inoltre, registra tutto in un database SQLite e invia notifiche immediate tramite webhook a piattaforme come Slack, Discord, Teams o Telegram.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per chi si avvicina al penetration testing, BruteForceAI offre una chiave di lettura interessante. Non si tratta solo di un software per lanciare attacchi, ma di un supporto per comprendere come funzionano i meccanismi di autenticazione e quanto siano vulnerabili se non adeguatamente protetti. Usato in contesti autorizzati, diventa un alleato per imparare, testare e migliorare le difese informatiche senza dover scrivere codice complesso.
| Parametro | Descrizione | Predefinito |
|---|---|---|
--mode | Modalità di attacco (bruteforce/passwordspray) | forza bruta |
--threads | Numero di thread | 1 |
--delay | Ritardo tra i tentativi (secondi) | 0 |
--jitter | Jitter casuale (secondi) | 0 |
--success-exit | Fermati dopo il primo successo | Falso |
--force-retry | Riprova i tentativi esistenti | Falso |
La sua adozione è pensata soprattutto per red team, ricercatori di sicurezza e professionisti che svolgono test su incarico. Automatizzando passaggi solitamente lenti e ripetitivi, riduce drasticamente i tempi di analisi e rende più immediato il rilevamento di sistemi di login deboli. È un esempio concreto di come l’intelligenza artificiale possa migliorare strumenti già consolidati, trasformando un processo manuale e noioso in un flusso ottimizzato.
Dal punto di vista tecnico, l’installazione non è complicata. Sono necessari Python 3.8 o superiore, Playwright e alcune librerie standard come requests e PyYAML. Dopo aver clonato il repository da GitHub ed eseguito il comando pip install -r requirements.txt, è possibile scegliere il modello linguistico da utilizzare: Ollama per un’esecuzione locale o Groq per lavorare in cloud. Una volta configurato, il tool si avvia con comandi semplici per l’analisi degli obiettivi e l’esecuzione degli attacchi.
È importante sottolineare che BruteForceAI è destinato esclusivamente a scopi etici e professionali: test autorizzati, ricerca accademica e attività formative. L’utilizzo improprio contro sistemi non autorizzati è illegale e contrario all’etica professionale.
Nelle mani giuste, però, rappresenta una risorsa preziosa per scoprire vulnerabilità e rinforzare la sicurezza dei sistemi digitali, avvicinando nuove generazioni di specialisti a metodologie più intelligenti e consapevoli.
RedazioneIl primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
