Nel secondo semestre del 2025, i sistemi di intelligenza artificiale (IA) si sono rivelati l'epicentro del rischio informatico, evidenziando un notevole aumento di falle critiche e un'intensa attività da parte degli avversari, che hanno preso di mira ogni strato dello stack dell'IA. Mentre le debolezze sottostanti dell'ecosistema continuano ad ampliarsi, le organizzazioni sono chiamate ad adottare un approccio di difesa AI-first
e altamente vigile.
Questo rapporto è stato redatto da Peter Girnus, Vincenzo Ciancaglini, Morton Swimmer, David Fiser, Alfredo Oliveira e Benjamin Zigh.
Punti chiave
- Le CVE (Common Vulnerabilities and Exposures) relative all'IA hanno registrato un'impennata, con 2.130 divulgate solo nel 2025, un aumento del 34,6% rispetto all'anno precedente. Quasi la metà delle vulnerabilità IA classificate sono di gravità alta o critica, in particolare in aree emergenti come l'IA agentica e i server MCP (Model Context Protocol), a causa della loro complessità e di una hardening della sicurezza incoerente.
- Un numero significativo di server IA è esposto a internet, esegue software obsoleto e manca di controlli di sicurezza adeguati. Ciò espone dati sensibili e potenzialmente consente l'accesso non autorizzato agli avversari.
- I criminali informatici stanno utilizzando piattaforme IA sia appositamente costruite che legittime per condurre le loro operazioni, inclusa la frode basata su deepfake, malware generato dall'IA e lo sfruttamento di sistemi agentici.
- Minacce sistemiche alla catena di approvvigionamento, come modelli compromessi, tokenizer manipolati e dipendenze non sicure, possono portare a interruzioni operative che richiedono robusti controlli di integrità della supply chain e un monitoraggio continuo per essere affrontate correttamente.
L'IA sta rimodellando il panorama della cybersecurity, introducendo sia opportunità senza precedenti che rischi complessi. L'ampia analisi di TrendAI™ Research rivela un aumento delle vulnerabilità legate all'IA, con oltre 6.000 casi unici identificati dal 2018, culminando in un'impennata record nel 2025. La crescita e la gravità di queste vulnerabilità ampliano il divario tra la rapida adozione dell'IA e la preparazione alla sicurezza, creando terreno fertile per gli attacchi informatici. Gli attori malevoli continuano a sfruttare le debolezze nell'infrastruttura IA, negli strati applicativi e nei componenti della supply chain, con vulnerabilità elevate e critiche concentrate in aree emergenti come i server MCP (Model Context Protocol) e l'IA agentica. La proliferazione di implementazioni IA esposte e obsolete amplifica ulteriormente il rischio sistemico, poiché le organizzazioni corrono per integrare l'IA senza adeguati protocolli di hardening, monitoraggio e aggiornamento.
La militarizzazione e lo sfruttamento dei sistemi IA stanno inoltre diventando una caratteristica distintiva delle moderne minacce informatiche. Gli avversari si stanno rivolgendo all'IA per generare malware ed effettuare frodi tramite deepfake. Allo stesso modo, i sistemi autonomi di IA agentica offrono ai criminali informatici i mezzi per eseguire attacchi adattivi e multi-step.
Insieme, questi problemi persistenti e convergenti espongono le faglie sottostanti al mondo odierno orientato all'IA, sottolineando la necessità di un cambiamento fondamentale nel modo in cui le organizzazioni affrontano la sicurezza. Misure statiche e basate sulla conformità non sono più sufficienti. I team di sicurezza devono evolvere verso strategie adattive e a più livelli, capaci di anticipare e mitigare i rischi emergenti. Questo rapporto delinea tali rischi in dettaglio e fornisce indicazioni per rafforzare la resilienza in un ecosistema IA sempre più complesso e interconnesso.
Vulnerabilità dell'IA
L'ecosistema dell'IA pone ora un significativo rischio per la cybersecurity. L'analisi di TrendAI™ Research di 330.239 Common Vulnerabilities and Exposures (CVE) ha identificato 6.086 vulnerabilità uniche divulgate dal 2018 al 2025 che interessano direttamente i sistemi IA, come mostrato nella Figura 1 (non riprodotta qui).
In particolare, 2.130 di queste vulnerabilità legate all'IA sono state divulgate solo nel 2025, rappresentando un aumento del 34,6% rispetto all'anno precedente. Questo tasso di crescita quasi raddoppia l'aumento del 17,9% nelle divulgazioni complessive di CVE, indicando che i sistemi IA non solo sono sempre più ampiamente distribuiti, ma stanno anche attirando maggiore attenzione dagli attaccanti.
Principali risultati
- CVE totali IA dal 2018 al 2025: 6.086 vulnerabilità uniche in otto sottocategorie IA.
- CVE IA nel 2025: 2.130, crescita del 34,6% rispetto all'anno precedente (contro una crescita complessiva delle CVE del 17,9%).
- Quota IA di tutte le CVE nel 2025: 4,42%, il tasso annuale più alto mai registrato.
- CVE IA di gravità alta/critica dal 2018 al 2025: 1.593, il 26,2% di tutte le CVE IA (punteggio CVSS: 7.0+).
- CVE IA di gravità alta/critica nel 2025: 641 (517 vulnerabilità di gravità alta e 124 di gravità critica).
- CVE totali nel database: 330.239 (48.164 solo nel 2025).
Il quadro completo: dati sulla superficie di attacco dell'IA
L'accelerazione del 2025 (+0,55 punti percentuali) è fondamentalmente diversa da quella degli anni precedenti, come mostrato nella Tabella 1, che copre i dati sulle vulnerabilità dal 2018 al 2025. Questa crescita è ampiamente distribuita tra gli strumenti LLM (Large Language Model), i server MCP e le categorie tradizionali di apprendimento automatico (ML)/GPU – non è guidata da un singolo audit di fornitore.
Tendenze nelle divulgazioni e tassi di crescita delle vulnerabilità IA dal 2018 al 2025
| Anno | CVE totali | CVE IA | % IA sul totale | Variazione anno su anno | Note |
|---|---|---|---|---|---|
| 2018 | 18.672 | 178 | 0,95% | – | Base di riferimento |
| 2019 | 19.200 | 201 | 1,05% | 0,09 | Crescita iniziale |
| 2020 | 19.776 | 194 | 0,98% | -0,07 | Interruzione Covid |
| 2021 | 22.304 | 539 | 2,42% | 1,44 | Picco audit TensorFlow |
| 2022 | 26.491 | 569 | 2,15% | -0,27 | Normalizzazione post-picco |
| 2023 | 29.357 | 692 | 2,36% | 0,21 | Crescita costante |
| 2024 | 40.844 | 1.583 | 3,87% | 1,52 | Emergenza infrastruttura LLM |
| 2025 | 48.164 | 2.130 | 4,42% | 0,55 | Accelerazione sostenuta |
Sottocategorie: non tutte le vulnerabilità IA sono uguali
Le vulnerabilità dell'IA si raggruppano in otto distinte sottocategorie, delineate di seguito. Le sottocategorie non sono mutuamente esclusive; una singola CVE può essere classificata in più sottocategorie.
Elenco delle sottocategorie
- Hardware GPU e IA (3.127 CVE, 51,4%): Comprende driver Nvidia, librerie CUDA, software vGPU e piattaforme DGX. Principalmente problemi di corruzione della memoria che consentono l'escalation dei privilegi e l'evasione dei container.
- Framework ML (1.624 CVE, 26,7%): Include TensorFlow, PyTorch, MLflow. Il rischio principale è il compromesso della supply chain tramite file modello dannosi che eseguono codice incorporato.
- Strumenti e applicazioni LLM (1.243 CVE, 20,4%): Riflette la crescita esplosiva post-ChatGPT. Langflow, vLLM, Dify, AnythingLLM distribuiti senza una sicurezza matura. Iniezione di codice, SSRF (Server-Side Request Forgery) e path traversal dominano.
- Sicurezza dei modelli IA (876 CVE, 14,4%): Copre l'infrastruttura di servizio dei modelli, i motori di inferenza e i sistemi di validazione. Consente il furto di modelli, la manipolazione avversaria e l'accesso non autorizzato.
- Pipeline di dati IA (755 CVE, 12,4%): Comprende l'ingestione dei dati, la pre-elaborazione e l'ingegneria delle funzionalità. Rischi di avvelenamento dei dati, esfiltrazione dei dati di addestramento e corruzione del ciclo di vita del ML.
- IA agentica (363 CVE, 6,0%): Copre le vulnerabilità nei sistemi IA autonomi. I difetti nelle guardrail e nei confini di esecuzione creano nuovi vettori di attacco man mano che gli agenti interagiscono con sistemi esterni.
- Supply chain IA (114 CVE, 1,9%): Include gestori di pacchetti, registri di modelli e gestione delle dipendenze. Consente attacchi alla supply chain attraverso modelli compromessi e pacchetti dannosi.
- Server MCP (102 CVE, 1,7%): Una sottocategoria emergente, che rappresenta 95 delle 102 CVE scoperte nel 2025. MCP crea rischi di iniezione di comandi per sua stessa natura.
Nota: Poiché le sottocategorie possono sovrapporsi, i loro conteggi sommano a 8.204 CVE, mentre il set di dati contiene 6.086 CVE uniche. Tutte le percentuali si basano sul totale di 6.086 CVE.
Distribuzione della gravità: dove risiede il vero rischio
Come mostrato nella Tabella 2, la distribuzione della gravità delle vulnerabilità legate all'IA indica che quasi la metà di tutte le CVE IA con punteggio rientrano nell'intervallo di gravità alta o critica, sottolineando i significativi rischi per la sicurezza presenti in tutto l'ecosistema. Delle 6.086 vulnerabilità IA totali registrate, 3.257 hanno punteggi CVSS assegnati, con l'11,1% classificate come critiche (punteggio CVSS: 9.0+) e il 37,9% categorizzate come ad alta gravità (punteggio CVSS: 7.0–8.9). In totale, le CVE di gravità alta e critica comprendono 1.593 casi, che rappresentano il 48,9% delle vulnerabilità con punteggio e il 26,2% di tutte le CVE IA.
Ripartizione della gravità delle vulnerabilità IA
| Gravità | Conteggio | % delle vulnerabilità con punteggio |
|---|---|---|
| Critica (9.0+) | 360 | 11,1% |
| Alta (7.0–8.9) | 1.233 | 37,9% |
| Media (4.0–6.9) | 1.397 | 42,9% |
| Bassa (0.1–3.9) | 267 | 8,2% |
| Senza punteggio | 2.829 | N/A |