Martedi 07 Luglio 2026 02:53:02 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

AI Security & Agentic Systems

IA sotto assedio: dentro il mercato ombra degli endpoint di modelli linguistici dirottati

Pubblicato: 28 Gennaio 2026 15:51Categoria: AI Security & Agentic SystemsAutore: NEURALSHIELD

Sottotitolo: I cybercriminali stanno monetizzando i servizi di IA esposti, creando un fiorente mercato nero di potenza di calcolo rubata e dati sensibili.

È iniziato con un rivolo-strane, incessanti attività di probing su endpoint di IA poco noti. Nel giro di poche settimane, si è trasformato in una vera e propria ondata di cybercrimine, che mostra come la corsa a distribuire l’intelligenza artificiale stia aprendo nuove e pericolose frontiere per gli hacker. Benvenuti nel Bizarre Bazaar: un’operazione criminale nell’ombra in cui l’accesso rubato ai servizi dei large language model (LLM) viene scambiato come contrabbando digitale, alimentando di tutto, dal crypto mining allo spionaggio aziendale. Il futuro dell’IA, a quanto pare, è già sotto assedio.

Bizarre Bazaar: il nuovo volto del crimine legato all’IA

I ricercatori di Pillar Security hanno predisposto honeypot-sistemi-esca progettati per attirare gli hacker-e si sono ritrovati rapidamente al centro di una corsa all’oro digitale. In poco più di un mese, le loro trappole sono state colpite più di 35.000 volte da attaccanti che scandagliavano senza sosta alla ricerca di endpoint LLM vulnerabili. Queste non sono le solite intrusioni informatiche. Invece, gli attaccanti-ora collegati a un gruppo che opera con il nome “Bizarre Bazaar”-stanno sfruttando il lato oscuro del boom dell’IA: infrastrutture di IA esposte o protette in modo inadeguato.

Una volta dentro, questi criminali rubano preziosa potenza di calcolo (spesso per il mining illecito di criptovalute), sottraggono dati sensibili dalle conversazioni con l’IA e poi rivendono l’accesso a questi servizi compromessi su piattaforme clandestine. Uno di questi marketplace, “SilverInc”, si propone persino come un punto unico per un accesso unificato all’IA, con più di 50 modelli a disposizione-senza domande, purché si paghi in crypto o tramite transazioni PayPal sospette.

Ciò che distingue questa campagna è la sua sofisticazione. L’operazione è divisa in tre ruoli: un gruppo scandaglia internet alla ricerca di punti deboli, un altro testa e convalida queste vulnerabilità, e un terzo gestisce il servizio commerciale di rivendita. Gli attaccanti si muovono in fretta-spesso sfruttano un nuovo endpoint configurato male entro poche ore dalla sua individuazione da parte di servizi di scansione come Shodan o Censys. Tra i bersagli comuni figurano LLM self-hosted, API aperte e server di sviluppo esposti.

I rischi vanno oltre il tempo di calcolo rubato. Endpoint LLM compromessi possono far trapelare dati aziendali sensibili, esporre segreti organizzativi dalle cronologie delle chat e persino consentire agli attaccanti di spingersi più a fondo nei sistemi interni tramite protocolli come MCP (Model Context Protocol). In alcuni casi, gli attaccanti hanno tentato movimenti laterali verso cluster Kubernetes e ambienti cloud, alzando la posta in gioco per le organizzazioni colpite.

Nonostante l’esposizione pubblica, l’operazione Bizarre Bazaar resta attiva. SilverInc continua a pubblicizzare la propria offerta e gli attori della minaccia-identificati da alias come “Hecker”, “Sakuya” e “LiveGamer101”-non mostrano segni di rallentamento. Per ora, il mercato nero dell’IA è aperto e il prezzo della negligenza è più alto che mai.

Conclusione

La campagna Bizarre Bazaar è un colpo di avvertimento per l’industria dell’IA: man mano che i modelli linguistici diventano onnipresenti, aumentano anche i rischi di lasciarne le porte aperte. Nella corsa all’innovazione, la sicurezza non può essere un ripensamento. Altrimenti, il prossimo grande balzo dell’intelligenza artificiale potrebbe arrivare con un cartellino del prezzo criminale.

WIKICROOK

  • LLM (Large Language Model): Un Large Language Model (LLM) è un’IA avanzata addestrata su enormi dataset testuali per generare linguaggio simile a quello umano e comprendere richieste complesse.
  • Endpoint: Un endpoint è qualsiasi dispositivo, come un computer o uno smartphone, che si connette a una rete e deve essere mantenuto sicuro e aggiornato per prevenire minacce informatiche.
  • Honeypot: Un honeypot è un sistema fittizio predisposto per attirare i cyberattaccanti, consentendo alle organizzazioni di studiare i metodi di attacco senza mettere a rischio asset reali.
  • API (Application Programming Interface): Un’API è un insieme di regole che permette a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono bersagli comuni della cybersecurity.
  • Movimento laterale: Il movimento laterale avviene quando gli attaccanti, dopo aver violato una rete, si spostano “di lato” per accedere ad altri sistemi o dati sensibili, ampliando controllo e portata.