Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 6 Settembre 2025 09:08
I sistemi di intelligenza artificiale sono stati criticati per aver creato report di vulnerabilità confusi e per aver inondato gli sviluppatori open source di reclami irrilevanti. Ma i ricercatori dell’Università di Nanchino e dell’Università di Sydney hanno un esempio del contrario: hanno presentato un agente chiamato A2, in grado di trovare e verificare le vulnerabilità nelle applicazioni Android, simulando il lavoro di un bug hunter. Il nuovo sviluppo è la continuazione del precedente progetto A1, che era in grado di sfruttare i bug negli smart contract.
Gli autori affermano che A2 ha raggiunto una copertura del 78,3% sulla suite di test Ghera , superando l’analizzatore statico APKHunt, che ha ottenuto solo il 30%. Eseguito su 169 APK reali, ha rilevato 104 vulnerabilità zero-day, di cui 57 confermate da exploit funzionanti generati automaticamente. Tra queste, un bug di media gravità in un’app con oltre 10 milioni di installazioni. Si trattava di un problema di reindirizzamento intenzionale che ha permesso al malware di prendere il controllo.
La caratteristica distintiva principale di A2 è il modulo di convalida, assente nel suo predecessore.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il vecchio sistema A1 utilizzava uno schema di verifica fisso che valutava solo se un attacco avrebbe portato profitto. A2, invece, è in grado di confermare una vulnerabilità passo dopo passo, suddividendo il processo in attività specifiche. A titolo di esempio, gli autori citano uno scenario con un’applicazione in cui la chiave AES era memorizzata in chiaro. L’agente trova prima la chiave nel file strings.xml, quindi la utilizza per generare un token di reimpostazione della password falso e infine verifica che questo token bypassi effettivamente l’autenticazione. Tutte le fasi sono accompagnate da verifica automatica: dalla corrispondenza dei valori alla conferma dell’attività dell’applicazione e alla visualizzazione dell’indirizzo desiderato sullo schermo.
Per funzionare, A2 combina diversi modelli linguistici commerciali : OpenAI o3, Gemini 2.5 Pro, Gemini 2.5 Flash e GPT-oss-120b. Sono distribuiti in base ai ruoli: il pianificatore elabora una strategia di attacco, l’esecutore esegue le azioni e il validatore conferma il risultato. Questa architettura, secondo gli autori, riproduce la metodologia umana, il che ha permesso di ridurre il rumore e aumentare il numero di risultati confermati. Gli sviluppatori sottolineano che gli strumenti di analisi tradizionali producono migliaia di segnali insignificanti e pochissime minacce reali, mentre il loro agente è in grado di dimostrare immediatamente la sfruttabilità di un errore.
I ricercatori hanno anche calcolato il costo del sistema. Il rilevamento delle vulnerabilità costa tra 0,0004 e 0,03 dollari per app utilizzando modelli diversi, mentre un ciclo completo con verifica costa in media 1,77 dollari. Allo stesso tempo, se si utilizza solo Gemini 2.5 Pro, il costo aumenta a 8,94 dollari per bug. A titolo di confronto, l’anno scorso un team dell’Università dell’Illinois ha dimostrato che GPT-4 crea un exploit a partire dalla descrizione di una vulnerabilità per 8,80 dollari. Si scopre che il costo per individuare e confermare le falle nelle app mobili è paragonabile al costo di una vulnerabilità di media gravità nei programmi bug bounty, dove le ricompense sono calcolate in centinaia e migliaia di dollari.
Gli esperti sottolineano che A2 supera già le prestazioni degli analizzatori statici di programmi Android e A1 si avvicina ai migliori risultati negli smart contract. Sono fiduciosi che questo approccio possa accelerare e semplificare il lavoro sia dei ricercatori che degli hacker, perché invece di sviluppare strumenti complessi, è sufficiente richiamare l’API di modelli già addestrati. Tuttavia, rimane un problema: i cacciatori di ricompense possono utilizzare A2 per un rapido arricchimento, ma i programmi di ricompensa non coprono tutti i bug. Questo lascia delle scappatoie per gli aggressori che possono utilizzare direttamente gli errori trovati.
Gli autori dell’articolo ritengono che il settore stia appena iniziando a svilupparsi e che ci si possa aspettare un’impennata di attività sia negli attacchi difensivi che in quelli offensivi nel prossimo futuro. I rappresentanti del settore sottolineano che sistemi come A2 spostano le ricerche di vulnerabilità da allarmi infiniti a risultati confermati, riducendo il numero di falsi positivi e consentendo di concentrarsi sui rischi reali.
Per ora, il codice sorgente è disponibile solo per i ricercatori con partnership ufficiali, per mantenere un equilibrio tra scienza aperta e divulgazione responsabile.
RedazioneIl mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
L’azienda giapponese Science ha lanciato una lavatrice per esseri umani. La capsula lunga 2,30 metri lava una persona in 15 minuti e ha suscitato notevole interesse all’Expo di Osaka concluso rece...
Airbus ha annunciato il richiamo di circa 6.500 aeromobili A320 a causa di potenziali guasti al sistema di controllo ELAC causati da potenti brillamenti solari. Il richiamo è avvenuto in seguito a un...
Questo articolo analizza la disclosure presentata a Microsoft e consultabile in inglese su digitaldefense, dove sono disponibili immagini, video dimostrativi e un esempio di codice Python. Negli ultim...
L’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
