Un nuovo framework di cybersicurezza chiamato Hexstrike AI pare stia attirando l’attenzione di criminali. Secondo Check Point Software, il sistema è già stato sfruttato da attori malevoli per colpire appliance Citrix Netscaler tramite vulnerabilità zero-day. Il suo creatore, Mohammad Osama, sostiene che l’obiettivo sia proprio quello opposto, ovvero fornire a difensori e ricercatori strumenti più veloci per rispondere agli attacchi. La vicenda pone dunque una doppia evoluzione sulla possibilità di trovarsi davanti a un potenziatore della criminalità informatica, ma anche ad un nuovo alleato dei team di sicurezza.
Che cos’è Hexstrike AI e come funziona
Hexstrike AI è un framework open source disponibile su GitHub, capace di orchestrare oltre 150 strumenti di sicurezza tramite agenti di intelligenza artificiale. Il cuore del sistema è l’uso del Model Context Protocol (MCP), che permette di collegare il framework a grandi modelli linguistici come Claude di Anthropic, GPT di OpenAI e Copilot di Microsoft.
A differenza di un semplice raccoglitore di tool, Hexstrike AI integra un motore decisionale e una rete di dodici agenti autonomi che analizzano i target, scelgono le strategie, correlano vulnerabilità e persino generano exploit su misura. In questo senso è stato paragonato a Metasploit, ma con un livello di “intelligenza” in più: non solo lancia attacchi, ma apprende dai risultati per adattare la valutazione successiva.
Perché adesso
La diffusione di strumenti come Hexstrike si inserisce in un contesto di automazione crescente della cybersicurezza. In passato, scrivere un exploit richiedeva giorni o settimane di lavoro di specialisti esperti, oggi, come ricorda Amit Weigman di Check Point, “un’operazione che a un umano richiede settimane può essere avviata in meno di 10 minuti”.
La rapidità è il vero elemento di discontinuità: riduce drasticamente la finestra di tempo tra la scoperta di una vulnerabilità e il suo sfruttamento. Per i difensori di questo nuovo strumento, questo si traduce in un minor tempo di reazione, mentre per i suoi delatori, offrirebbe più opportunità di attacco.
Due facce della stessa medaglia
Check Point ha già osservato discussioni su forum del dark web in cui attori malevoli parlano apertamente di Hexstrike AI. Gli aggressori lo utilizzano per mappare sistemi vulnerabili Citrix Netscaler e costruire exploit mirati. Questo dimostra che la disponibilità di codice open source riduce la barriera tecnica per chi vuole lanciare attacchi complessi.
Secondo Osama, l’intenzione è diametralmente opposta: “Gli attaccanti useranno questi strumenti per ridurre i tempi di sfruttamento, ma i difensori possono fare lo stesso per rilevare prima, rispondere meglio e patchare più in fretta”. In test condotti da iTNews, Hexstrike 6.0 è stato collegato con successo a Claude.AI per lanciare scansioni su siti web sfruttando strumenti di sicurezza comuni.
Cosa cambia per non esperti e professionisti
Per chi non ha competenze tecniche, la sfida è soprattutto ridurre il rischio che sistemi non aggiornati vengano colpiti in tempi record. Aggiornamenti costanti e patch tempestive diventano indispensabili, così come una maggiore attenzione all’uso di strumenti difensivi automatizzati anche nelle piccole e medie imprese.
Per i professionisti della sicurezza, Hexstrike apre la possibilità di condurre penetration test più rapidi e completi, oltre a supportare le attività di threat hunting grazie al motore AI. Allo stesso tempo, però, richiede un monitoraggio continuo di forum e repository, perché gli stessi strumenti utilizzati per difendere vengono adottati anche da chi attacca.
Prospettive
La prossima versione, Hexstrike 7.0, integrerà un sistema di retrieval augmented generation (RAG) e nuovi strumenti. È plausibile che, nei prossimi mesi, vedremo una corsa agli armamenti tra chi sfrutta e chi difende con l’AI. Resta da capire se normative, enti di certificazione e aziende sapranno reggere l’impatto di una tecnologia che accelera entrambi i fronti.