L'AI ha accorciato la finestra dello zero-day, ma i vendor sono pronti (in ordine sparso)

Al RSAC 2026 il consenso è chiaro: senza AI i team di sicurezza non stanno al passo. Il problema è cosa resta sotto il marketing.

a cura di Valerio Porcu

Senior Editor @Tom's Hardware Italia

I sistemi di intelligenza artificiale di frontiera scoprono vulnerabilità più velocemente degli umani che dovrebbero correggerle, e il dato non è più una previsione di analisti: è documentato dai test sul campo del 2025-2026. Anthropic ha dichiarato che il proprio strumento Claude Mythos ha individuato migliaia di zero-day di alta severità su tutti i principali sistemi operativi e browser. Trend Micro ha identificato ventuno CVE critici da metà 2025 con la piattaforma ÆSIR, su prodotti che includono Nvidia, MLflow e tooling MCP. Magari questi annunci sono un po’ esagerati, conditi con un goccio di salsa di marketing, ma la verità alla loro base è indiscutibile: l’AI è un serio problema di cybersecurity.

L'economia della scoperta vulnerabilità è cambiata in dodici mesi, ma per fortuna (si fa per dire) il cambiamento taglia i costi in entrambe le direzioni: chi attacca spende molto meno di prima sia per trovare una vulnerabilità sia per sfruttarla, ma se non altro chi difende può usare l’AI per rispondere con la stessa moneta ... o almeno provarci.