L'AI stravolge la divulgazione delle vulnerabilità: il 'Copy Fail' di Linux infrange l'embargo

L'embargo che non ha retto

L'8 maggio 2026, una vulnerabilità critica del kernel Linux soprannominata 'Copy Fail' ha esposto una crescente spaccatura nelle pratiche fondamentali della sicurezza informatica. Hyunwoo Kim, lo scopritore, ha seguito il protocollo standard di networking Linux: condividere i dettagli con una lista di sicurezza chiusa mentre si spinge pubblicamente una correzione, sperando di correggere silenziosamente il difetto prima che il mondo lo notasse.

Questa speranza è durata solo poche ore. Qualcuno ha individuato il commit relativo alla sicurezza, ne ha compreso l'importanza e ha pubblicato un'analisi pubblica, infrangendo l'embargo previsto. La successiva e rapida catena di eventi - compresa la riscoperta indipendente del bug solo nove ore dopo - evidenzia un sistema sotto enorme pressione.

Questo incidente non è solo un'altra correzione di bug. È un caso di studio su come l'intelligenza artificiale stia fondamentalmente infrangendo due culture di divulgazione delle vulnerabilità consolidate da tempo, costringendo gli esperti a chiedersi se i modelli esistenti possano sopravvivere al nuovo ritmo di scoperta.

Le due culture in conflitto

Per anni, due principali filosofie hanno governato il modo in cui vengono gestiti i difetti di sicurezza. La prima, la divulgazione coordinata, è lo standard del settore. Un ricercatore informa privatamente un fornitore, avviando un conteggio alla rovescia di 90 giorni verso una correzione pubblica. L'obiettivo è proteggere gli utenti correggendo il buco prima che gli attaccanti lo trovino.

La seconda, prevalente nello sviluppo del kernel Linux, è la cultura del 'i bug sono bug'. L'argomentazione è che se il kernel sta facendo qualcosa di sbagliato, è un bug che dovrebbe essere corretto immediatamente e pubblicamente. Attirare l'attenzione al minimo consente di avere tempo per far circolare le patch prima che il potenziale di exploit del difetto diventi di dominio pubblico.

L'incidente 'Copy Fail' mostra che entrambi gli approcci stanno fallendo. La correzione silenziosa è stata individuata quasi immediatamente. Nel frattempo, la velocità della riscoperta indipendente ha reso inutile e potenzialmente pericoloso qualsiasi periodo di embargo tradizionale, creando un falso senso di sicurezza.

L'AI: il grande acceleratore

L'elemento dirompente principale è l'AI. Come notano più fonti, l'AI sta abbassando drasticamente la barriera all'ingresso per la scoperta delle vulnerabilità. "Prima, solo una piccola popolazione di esperti a livello globale aveva la capacità e il tempo di trovare vulnerabilità oscure", ha detto un esperto a CNBC. "Ora, utilizzando i modelli AI attualmente disponibili, le barriere all'ingresso per scatenare il caos informatico sono state abbassate".

Ciò crea un doppio problema per i difensori. Innanzitutto, il volume di vulnerabilità trovate dall'AI sta aumentando vertiginosamente, trasformando quella che un avvocato ha definito "il grande compito di Sisifo della sicurezza informatica" in una salita ancora più ripida. In secondo luogo, l'AI rende molto più efficiente l'esame dei commit di codice pubblico.

Un rapido test condotto dal blogger originale ha dimostrato il punto. Quando gli è stato fornito il commit di correzione 'Copy Fail', tre modelli AI di punta (Gemini 3.1 Pro, ChatGPT-Thinking 5.5, Claude Opus 4.7) hanno tutti identificato correttamente la patch di sicurezza quasi istantaneamente. Questa capacità di scansionare i commit in modo economico e automatico trasforma l'approccio 'i bug sono bug' in un faro per gli attaccanti.

Lo squilibrio tra offesa e difesa

Le prove attuali suggeriscono che l'offesa ha un chiaro vantaggio. "Il vantaggio iniziale va all'offesa, non alla difesa", hanno detto i ricercatori a CNBC. Il CEO di JPMorgan, Jamie Dimon, ha recentemente notato che l'AI sta rendendo le aziende più vulnerabili, poiché gli strumenti che trovano difetti superano quelli che li correggono.

Questo squilibrio è visibile nelle conseguenze di 'Copy Fail'. Secondo CyberScoop, centinaia di exploit di prova di concetto hanno inondato i repository online nel giro di pochi giorni. La società di sicurezza Rapid7 ha notato che molti erano "PoC AI di copia-incolla" - codice leggermente modificato o tradotto privo di intuizioni innovative ma che amplifica comunque la minaccia.

Ciò crea un ambiente caotico per i difensori, che devono ora selezionare un diluvio di codice di exploit generato dall'AI, gran parte del quale potrebbe essere 'spazzatura' non funzionante ma che richiede comunque un'indagine.

La lacuna di governance e l'AI 'ombra'

A complicare la sfida tecnica è una diffusa lacuna politica. Come riportato da Infosecurity Magazine, l'adozione dell'AI sta drammaticamente superando la creazione di politiche di sicurezza e governance all'interno delle organizzazioni. Ciò lascia i sistemi critici esposti a nuovi rischi introdotti sia da attacchi esterni potenziati dall'AI che da strumenti interni 'AI ombra' utilizzati dai dipendenti senza autorizzazione.

Gli esperti sottolineano che una difesa efficace inizia con la governance dei dati. "Senza una forte governance dei dati e della privacy come base, le organizzazioni non possono gestire il rischio AI, garantire la fiducia o sbloccare valore sostenibile", ha concluso un rapporto. Eppure, molti professionisti della sicurezza ritengono che le minacce potenziate dall'AI stiano aumentando senza essere notate.

Alla ricerca di un nuovo modello

Quindi, cosa viene dopo la rottura di queste due culture? L'analisi originale suggerisce un passaggio verso embargo molto brevi e attuabili, che si accorciano nel tempo man mano che migliorano anche gli strumenti di difesa assistiti dall'AI. La chiave è mantenere una finestra di risposta coordinata così breve da superare la riscoperta guidata dall'AI.

Questo nuovo modello richiederebbe livelli senza precedenti di automazione e collaborazione tra fornitori, ricercatori e grandi utilizzatori come governi e banche. Alcuni temono che le release limitate ed esclusive di strumenti avanzati di sicurezza AI - come Mythos di Anthropic - potrebbero creare "livelli di haves e have-nots", soffocando l'innovazione difensiva più ampia.

Il percorso da seguire, come visto nei dipartimenti IT delle amministrazioni statali, implica appiattire le organizzazioni, avvicinarsi alle agenzie operative e concentrare i progetti AI su risultati concreti piuttosto che sulla mera sperimentazione.

Un punto di svolta per la sicurezza informatica

La vulnerabilità 'Copy Fail' è più di un semplice difetto del kernel Linux. È un segnale forte che i processi fondamentali della sicurezza del software non sono più sostenibili in un mondo accelerato dall'AI. Sia la correzione silenziosa che l'embargo coordinato stanno diventando obsoleti a causa dell'analisi e della scoperta su scala macchina.

L'industria ora si trova di fronte a un paradosso: gli strumenti che stanno creando un'ondata travolgente di vulnerabilità potrebbero anche contenere la chiave per gestirle. Costruire una difesa AI che possa eguagliare le capacità offensive, stabilendo al contempo una governance rigorosa e cicli di risposta radicalmente più rapidi, è la sfida di sicurezza informatica che definisce questa era. Le vecchie culture sono rotte. Ciò che le sostituirà determinerà la sicurezza del prossimo decennio del software.