Quando l’AI concepisce da sola l’attacco. Scoperta da Check Point Research una nuova tecnica di ransomware browser-native nata da un’allucinazione di DeepSeek. I ricercatori nanno scoperto un elemento destinato a cambiare il modo in cui concepiamo le minacce assistite dall’intelligenza artificiale. Ossia un campione di malware in cui un modello di AI ha collegato autonomamente un rischio teorico legato al browser a una tecnica di ransomware funzionante. Il tutto senza ricorrere ad exploit, senza richiedere l’installazione di applicazioni e senza necessitare di competenze tecniche da parte dell’attaccante.
La scoperta di Check Point Research
Si tratta del primo caso documentato in cui un modello di AI di ultima generazione ha colmato autonomamente il divario tra un rischio teorico di ransomware browser-based e una catena di attacco concreta e funzionante. Individuando un nuovo vettore di attacco che finora era considerato impraticabile a causa delle limitazioni imposte dalla sandbox dei browser. La capacità di individuare nuovi percorsi di attacco non rappresenta più il principale ostacolo. Infatti è un cambiamento che i difensori devono iniziare a considerare fin da ora, prima che gli attori delle minacce riescano a sfruttarlo su larga scala.
Perché DeepSeek è parte di questa storia
I principali fornitori di modelli di intelligenza artificiale hanno reso la sicurezza informatica uno degli ambiti principali dei propri meccanismi di controllo. Le richieste che riguardano comportamenti tipici dei ransomware, il furto di credenziali o la distribuzione di malware vengono sistematicamente rifiutate dai modelli più avanzati di Anthropic e OpenAI.
DeepSeek, invece, mostra un comportamento meno coerente. È gratuito, ampiamente accessibile. Inoltre nei test condotti da Check Point Research, un singolo prompt generico è sufficiente per ottenere un’applicazione malevola completa. Esso con altri modelli avrebbe avuto bisogno di numerose richieste successive e un consistente intervento manuale per essere assemblata. Tale soglia di accesso più bassa lo rende particolarmente interessante per gli attori delle minacce con competenze tecniche limitate.
- L’AI ha svolto il ragionamento che fino a oggi spettava all’attaccante
Analizzando quasi 3.000 file attribuiti a DeepSeek presenti nella telemetria pubblica, i ricercatori hanno individuato un’applicazione Python Flask che sembrava un classico esempio di “allucinazione” dell’intelligenza artificiale. Il codice tentava infatti di integrare in un’unica pagina web un keylogger, un malware per il furto di credenziali, la cattura delle immagini della webcam e un’interfaccia ransomware, operazioni che i browser normalmente non consentono.
Tra numerosi errori, tuttavia, il modello aveva individuato correttamente un elemento fondamentale. La funzione showDirectoryPicker(), una API legittima del browser che permette a una pagina web di leggere, modificare ed esfiltrare file contenuti in una cartella selezionata dall’utente. In pratica, oggi anche una persona priva di competenze specialistiche può descrivere in linguaggio naturale l’obiettivo di un attacco. Inoltre ottenere un prototipo che collega tale obiettivo a una funzionalità reale della piattaforma, della cui esistenza non era nemmeno a conoscenza.
- Da un’allucinazione dell’AI a una proof of concept perfettamente funzionante
Per validare la tecnica, Check Point Research ha sviluppato una proof of concept controllata: un falso strumento di miglioramento fotografico basato sull’intelligenza artificiale. Denominato AI Avatar Enhancer, utilizza la File System Access API per cifrare le immagini contenute nella cartella selezionata dall’utente. Nei test effettuati direttamente con DeepSeek V4 utilizzando il termine “ransomware”, il modello si è rifiutato di generare il codice richiesto.
Tuttavia, utilizzando una formulazione più neutra, ha prodotto con regolarità codice funzionante per un ransomware browser-based. In una delle risposte è stato lo stesso modello a descrivere il risultato come “una trappola costruita ad arte che combina un’interfaccia convincente per il miglioramento delle immagini tramite AI con comportamenti nascosti simili a quelli di un ransomware”. Il flusso operativo non richiede l’installazione di APK, payload nativi, exploit del browser o privilegi di root: è sufficiente che l’utente conceda un’unica autorizzazione richiesta dal browser.
- Gli utenti Android rappresentano il gruppo maggiormente esposto
Con Chrome 132 Google ha introdotto il supporto completo alla File System Access API su Android. <i test effettuati con Chrome 148 hanno confermato che una pagina web può richiedere l’accesso alla cartella DCIM. Essa normalmente può contenere anni di fotografie personali, documenti di identità digitalizzati, screenshot bancari, referti sanitari, codici di recupero e documenti di viaggio. Safari su iOS non espone questa API e, pertanto, questa tecnica non risulta applicabile ai dispositivi Apple.
La perdita di accesso a queste informazioni, oppure la loro esfiltrazione, può determinare conseguenze rilevanti sia in ambito personale sia aziendale: dagli attacchi ransomware ai tentativi di estorsione, fino alla divulgazione pubblica di dati sensibili, con possibili danni reputazionali. I principali sviluppatori di modelli di AI, come Anthropic e OpenAI, rifiutano sistematicamente richieste relative alla creazione di ransomware, al furto di credenziali o alla distribuzione di malware.
Check Point Research e DeepSeek
DeepSeek, invece, mostra un comportamento meno coerente. Essendo gratuito e facilmente accessibile, nei test è bastato un unico prompt generico per ottenere un’applicazione malevola completa che, con altri modelli, avrebbe richiesto numerose richieste successive e un consistente intervento manuale. Questa minore barriera d’ingresso rende DeepSeek particolarmente interessante per criminali informatici con competenze tecniche limitate.
Cosa possono fare gli utenti
Storicamente, individuare un nuovo vettore di attacco richiedeva competenze altamente specialistiche e capacità creative. L’intelligenza artificiale sta modificando radicalmente questo paradigma. Malware generati in questo modo potrebbero trasformare il panorama delle minacce. Passando da un numero limitato di famiglie malware ampiamente riutilizzate a un volume molto più elevato di artefatti “usa e getta”. Ciascuno caratterizzato da una combinazione unica di tecniche.
Come colmare il divario
L’AI non si limita più a replicare tecniche già esistenti: è in grado di colmare il divario tra rischi puramente teorici e nuovi attacchi concreti che i difensori non hanno ancora osservato nel mondo reale. Proteggersi in questo nuovo scenario significa considerare ogni richiesta del browser di accesso a una cartella come una decisione di sicurezza critica e non come un semplice clic di routine. È fondamentale verificare quale sito richieda l’autorizzazione, quale cartella si stia condividendo e se siano realmente necessari i permessi di scrittura. È inoltre consigliabile non concedere mai ai siti web l’accesso alla libreria fotografica principale, alla cartella DCIM o ad altre directory contenenti documenti di identità, codici di recupero o screenshot bancari.
Check Point Research: cosa scegliere per difendersi
Gli utenti dovrebbero inoltre diffidare di strumenti basati sull’intelligenza artificiale che promettono miglioramenti delle immagini o la creazione di avatar. Piuttosto preferire applicazioni native affidabili o servizi cloud consolidati per attività sensibili, mantenere copie di backup sia offline sia nel cloud. Così da non avere mai file cifrati come unica copia disponibile, e mantenere sempre aggiornati browser e sistemi operativi mobili. Le organizzazioni, dal canto loro, dovrebbero adottare soluzioni di sicurezza in grado di identificare e bloccare i siti malevoli prima che vengano visualizzate richieste di autorizzazione sospette.
Un cambiamento epocale
Eli Smadja, Head of Research di Check Point Research
Quello a cui stiamo assistendo rappresenta un cambiamento radicale nel modo in cui nascono nuove tipologie di attacco informatico. Per la prima volta abbiamo la prova che un modello di intelligenza artificiale è in grado di ragionare autonomamente sulle funzionalità legittime di una piattaforma e individuare una tecnica di attacco realmente funzionante che fino a oggi gli esperti avevano soltanto ipotizzato. Senza che l’attaccante fosse nemmeno consapevole dell’esistenza dell’API sottostante. La barriera che separava la teoria dall’operatività degli attacchi più complessi si sta rapidamente abbassando.Questo avrà implicazioni profonde per tutte le organizzazioni che integrano l’intelligenza artificiale nei propri processi e per tutti gli utenti mobile. Questi ultimi oggi custodiscono nella propria libreria fotografica gran parte della loro vita personale e professionale. La sicurezza dell’intelligenza artificiale non può più basarsi sulla speranza che i modelli rifiutino le richieste più palesemente malevole. Occorre partire dal presupposto che la prossima tecnica di attacco potrebbe essere scoperta non da un ricercatore, ma da un’allucinazione dell’AI che, per caso, individua l’elemento giusto.
Le organizzazioni che inizieranno fin da subito a rafforzare i meccanismi di protezione, a ripensare il modello di fiducia basato sulle autorizzazioni, a considerare ogni richiesta del browser come una vera decisione di sicurezza saranno quelle che riusciranno a proteggersi efficacemente quando il resto del settore dovrà ancora adeguarsi.






