Le AI stanno diventando “vettori Zero-Day”! il 2026 sarà l’anno del caos digitale?

Fino a poco tempo fa, le vulnerabilità zero-day sembravano artefatti esotici provenienti dal mondo delle operazioni speciali e dello spionaggio. Ora sono uno strumento comune per hackerare le reti aziendali, e non solo perché gli attacchi sono aumentati. Il cambiamento principale è la velocità: dai primi segnali di allarme allo sfruttamento effettivo, a volte possono passare solo poche ore.

Una tempesta perfetta si avvicina

Questo quadro è descritto nel ForeScout Labs 2025 H1 Threat Review: secondo questo rapporto, il numero di attacchi zero-day è aumentato del 46% nella prima metà del 2025. Mentre un tempo i team di sicurezza consideravano normale un intervallo di giorni tra la pubblicazione di una vulnerabilità e la comparsa degli exploit sul campo, oggi questo intervallo si è ridotto a ore, e a volte anche meno.

Questa crescita non sembra essere una fluttuazione casuale. Gli esperti la attribuiscono a una “tempesta perfetta”: crescente complessità del software, espansione delle supply chain, crescenti dipendenze e accelerazione degli attacchi grazie all’intelligenza artificiale. I sistemi stanno diventando così complessi che lo sviluppo sicuro non riesce a tenere il passo e i bug stanno diventando sempre più difficili da rilevare durante i test di routine.

Allo stesso tempo, anche il mercato commerciale degli zero-day è esploso: le vulnerabilità che consentono l’escalation dei privilegi, l’aggiramento dell’autenticazione o la compromissione degli account sono diventate beni molto ricercati. Sia i gruppi criminali che gli acquirenti affiliati agli stati nazionali competono per tali scoperte, soprattutto quando si tratta di accesso a cloud, piattaforme di identità e infrastrutture industriali.

L’Intelligenza artificiale riduce le distanze tra ricercatori e 0day

L’intelligenza artificiale. riportano i ricercatori nel report, ha accelerato quasi l’intero ciclo: fuzzing automatizzato, ricerca di bug sfruttabili e generazione di proof-of-concept riducono il tempo dal rilevamento alla distribuzione in produzione. Ciò che prima richiedeva competenze specifiche è ora più accessibile e veloce da perfezionare, anche per gli aggressori meno esperti.

La superficie di attacco è in continua espansione. Più dispositivi, più dispositivi edge e IoT, più sistemi legacy e, di conseguenza, più luoghi in cui trovare vulnerabilità.

Gli aggressori si stanno spostando sempre più oltre browser e workstation, esplorando obiettivi “non convenzionali”, come telecamere IP e apparecchiature industriali. Tali dispositivi forniscono un punto d’appoggio comodo e furtivo per ulteriori spostamenti di rete, e questo scenario si verifica sempre più spesso negli attacchi ransomware e nelle operazioni mirate.

I vecchi componenti, come file system, driver e stack di rete, rimangono terreno fertile per nuove scoperte. Le tensioni geopolitiche stanno alimentando la domanda di exploit zero-day, poiché i gruppi di ricognizione sono fortemente motivati a cercare e accumulare vulnerabilità sconosciute.

Le TTPs stanno cambiando verso lo sfruttamento “industriale”

Anche le tattiche stesse stanno cambiando. Le operazioni mirate stanno cedendo sempre più il passo allo “sfruttamento industrializzato”, in cui gli attacchi zero-day diventano solo un punto di partenza. Gli aggressori costruiscono quindi una catena di compromissioni della supply chain, furto di credenziali, movimenti laterali ed escalation dei privilegi. Invece di affidarsi a una singola falla, combinano più vettori per ottenere un accesso privilegiato in modo più affidabile.

Per chi si occupa della difesa, questo è uno spiacevole problema matematico. Alcune vulnerabilità vengono sfruttate entro poche ore dalla divulgazione pubblica, soprattutto quando si tratta di sistemi edge o dispositivi diffusi. La finestra temporale per l’applicazione di patch o soluzioni alternative è quasi scaduta e il consueto ritmo “aggiornamento rilasciato, lo implementeremo come da programma” cessa di essere valido. Mentre la penetrazione iniziale può richiedere minuti, la “durata di vita” dell’aggressore all’interno della rete si estende per mesi.

Le difese devono essere implementate come se lo sfruttamento di una vulnerabilità sconosciuta potesse iniziare quasi istantaneamente. L’enfasi è posta su modelli come zero trust e misure di compensazione a livello di identità, endpoint, applicazione e rete che rallentano gli aggressori ancor prima che una patch sia disponibile. Privilegi minimi, segmentazione e verifica continua degli account diventano sempre più importanti per prevenire la diffusione degli attacchi. È necessario un passaggio da pratiche “intermittenti” a pratiche continue, con particolare attenzione al contenimento, alla segmentazione e al rilevamento comportamentale.

Ma ci sono anche buone notizie

Ci sono buone notizie: negli ultimi anni l’osservabilità è aumentata. La telemetria viene condivisa più frequentemente, i processi di divulgazione delle vulnerabilità e il reporting dei fornitori sono maturati.

Ma questo non basta a contrastare l’adattamento degli aggressori. Il punto cieco più pericoloso è l’identità: gli exploit zero-day spesso sembrano accessi legittimi con credenziali reali. Senza un adeguato logging, linee di base comportamentali e controlli dei privilegi, gli aggressori possono rimanere invisibili. Inoltre, i punti ciechi persistono nelle supply chain, nel firmware, nei dispositivi non gestiti e nei servizi SaaS shadow. I sistemi IoT, edge, OT e legacy sono spesso scarsamente monitorati e le patch vengono applicate lentamente o non vengono applicate affatto, quindi gli attacchi possono rimanere inosservati per lunghi periodi.

Nel complesso, questo non sembra un picco a breve termine, ma piuttosto un segnale di un cambiamento delle regole.

Il vecchio presupposto che ci sia una finestra di opportunità per reagire tra una vulnerabilità e il suo sfruttamento diffuso non è più valido. Le organizzazioni sono costrette a costruire le proprie difese basandosi sull’infelice presupposto che vulnerabilità sconosciute verranno sfruttate, e l’obiettivo della difesa non è solo quello di risolverle rapidamente, ma anche di impedire che una violazione diventi una reazione a catena.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione