Gli attacchi alla supply chain basati sull’intelligenza artificiale rappresentano oggi una delle minacce più gravi e in rapida evoluzione nel panorama della sicurezza informatica. Secondo i dati più aggiornati, nell’ultimo anno si è registrato un incremento del 156% negli attacchi supply chain guidati da AI, spesso caratterizzati da una sofisticazione senza precedenti che mette in crisi le difese tradizionali delle aziende. Questi attacchi non si limitano più a semplici furti di credenziali o aggiornamenti software compromessi, ma sfruttano malware polimorfi, capaci di adattarsi e camuffarsi all’interno dei processi di sviluppo e distribuzione del software.
Tra i casi recenti spiccano gli attacchi del gruppo NullBulge, che ha sfruttato repository open source come Hugging Face e GitHub per colpire strumenti AI e software di gaming, veicolando payload Python in grado di sottrarre dati e distribuire ransomware specializzati. Un esempio notevole riguarda anche la compromissione della libreria npm @solana/web3.js, che ha portato al furto di criptovalute per oltre 160.000 dollari in poche ore tramite versioni malevole rilasciate dopo un attacco di phishing. Non meno rilevante è la vulnerabilità scoperta in Wondershare RepairIt, applicazione AI per l’elaborazione di immagini e video, che esponeva dati sensibili e permetteva la manipolazione di modelli AI all’insaputa degli utenti.
Queste nuove minacce sfruttano caratteristiche come la capacità polimorfica, la consapevolezza del contesto operativo, il camuffamento semantico e la capacità di restare dormienti per mesi in attesa del momento giusto per colpire. Il malware AI può infatti mutare continuamente, rendendo inefficaci le difese basate su firme e analisi statica. Inoltre, la creazione di identità sviluppatore fittizie e campagne di typosquatting su larga scala aumentano il rischio di compromissione, mentre tecniche di data poisoning minano i modelli di machine learning già in fase di addestramento.
Di fronte a questi scenari, le strategie difensive stanno evolvendo: l’adozione di strumenti di rilevamento specifici per AI, l’analisi comportamentale nei processi CI/CD, la verifica dell’identità umana dei contributori e le difese zero-trust in fase di runtime sono diventate prioritarie. Anche il quadro normativo si fa più stringente, con regolamenti come l’AI Act europeo che impongono pesanti sanzioni in caso di violazioni, fino al 7% del fatturato globale.
Per proteggere la propria organizzazione è fondamentale agire subito: revisionare le dipendenze, abilitare la firma dei commit, implementare analisi comportamentali e preparare un piano di risposta agli incidenti AI. Solo chi si adegua tempestivamente potrà trasformare questa sfida in un vantaggio competitivo, riducendo rischi e garantendo la conformità alle nuove normative sulla sicurezza AI.