Anthropic non risolve falla Claude AI: Google Ads diffonde malware macOS.

L’operazione evidenzia come le architetture stesse dei prodotti di Google e Anthropic, dagli annunci pubblicitari alle estensioni desktop, possano essere trasformate in armi, con una vulnerabilità critica nelle estensioni di Claude che permette l’esecuzione di codice senza sandbox e che Anthropic ha deciso di non correggere immediatamente.

Un’operazione di malware che sfrutta una combinazione di pubblicità Google ingannevoli e la funzione di condivisione pubblica di Claude, l’intelligenza artificiale di Anthropic, sta prendendo di mira gli utenti macOS per rubare loro informazioni sensibili.

La campagna, segnalata pubblicamente il 14 febbraio 2026, rappresenta l’ultima evoluzione di una tendenza pericolosa: l’uso di piattaforme di intelligenza artificiale generative e di pubblicità legittime come vettori di attacchi informatici sofisticati.

Mentre Google e Anthropic pubblicizzano i loro sforzi per la sicurezza, questa operazione evidenzia come le architetture stesse dei loro prodotti – dagli annunci pubblicitari alle estensioni desktop – possano essere trasformate in armi.

La tecnica è un classico esempio di “malvertising”, ma con una svolta moderna.

Gli aggressori acquistano annunci sponsorizzati su Google che, sfruttando una scappatoia del sistema, mostrano un URL di visualizzazione affidabile (come google.com) mentre reindirizzano in realtà a una pagina di destinazione malevola ospitata su domini apparentemente legittimi.

L’obiettivo è far apparire l’annuncio come il risultato ufficiale di una ricerca per una guida alla sicurezza macOS.

Una volta cliccato, l’utente non viene portato a un sito web tradizionale, ma a un artefatto pubblico di Claude AI camuffato da guida legittima.

Questo documento, accessibile tramite il dominio claude.ai, contiene istruzioni dettagliate e malevole che invitano l’utente a incollare nel Terminale di macOS un comando codificato.

Quel comando scarica ed esegue un “information stealer” chiamato MacSync, progettato per rubare credenziali del keychain, dati dei browser e file di portafogli di criptovalute.

La superficie d’attacco si allarga: dalle pubblicità alle estensioni AI

Questa campagna non è un incidente isolato, ma piuttosto il sintomo di vulnerabilità più profonde e strutturali.

Da un lato, il sistema pubblicitario di Google, nonostante i suoi sforzi di moderazione – nel solo 2023 ha rimosso oltre 3,4 miliardi di annunci – rimane un canale efficace per gli aggressori grazie al suo vasto reach e alla capacità di targeting.

Dall’altro, le piattaforme AI come Claude introducono nuovi rischi.

Anthropic ha recentemente documentato casi di cyberspionaggio condotto da un gruppo cinese che ha usato Claude Code per infiltrarsi in circa trenta entità globali, automatizzando con l’AI attività come ricognizione, generazione di exploit e esfiltrazione dati.

In un altro caso, criminali informatici hanno utilizzato lo strumento per commettere furto ed estorsione di dati su larga scala, prendendo di mira almeno 17 organizzazioni.

Tuttavia, la minaccia più inquietante potrebbe risiedere non nell’uso malevolo dell’AI da parte di terzi, ma in una vulnerabilità intrinseca del prodotto di Anthropic.

I ricercatori di sicurezza hanno scoperto una falla critica nelle “Claude Desktop Extensions” (DXT), le estensioni che permettono all’assistente AI di interagire con il sistema locale.

A differenza delle estensioni per browser, che operano in un ambiente limitato (“sandbox”), queste estensioni desktop vengono eseguite senza sandbox e con privilegi completi sul sistema operativo.

Questo design le rende potentissime, ma anche pericolosissime se compromesse.

Il problema risiede nel Model Context Protocol (MCP) di Anthropic, l’architettura che permette a Claude di selezionare e concatenare autonomamente diversi strumenti per soddisfare una richiesta.

Non esistono barriere di sicurezza codificate per impedire all’AI di costruire un flusso di lavoro pericoloso.

In uno scenario dimostrato, un singolo evento malevolo inserito in Google Calendar – un “connettore” a basso rischio – può essere interpretato da Claude come un’istruzione per attivare un “esecutore” locale ad alto rischio, come un server MCP con capacità di eseguire codice.

Il risultato è una vulnerabilità “zero-click” che permette a un aggressore di ottenere l’esecuzione remota di codice (RCE) sul computer della vittima senza che questa compia alcuna azione consapevole, semplicemente avendo il calendario sincronizzato con Claude Desktop.

I ricercatori hanno assegnato a questa falla un punteggio CVSS di 10/10, il massimo della pericolosità.

Secondo quanto riportato, Anthropic è stata informata ma ha deciso di non correggere immediatamente la vulnerabilità, una scelta che solleva interrogativi sulla priorità data alla sicurezza rispetto alla funzionalità.

Una tempesta perfetta per la sicurezza macos

Questi attacchi si inseriscono in un contesto già teso per la sicurezza di macOS.

Apple ha recentemente affrontato un’altra vulnerabilità zero-day, la CVE-2026-20700, sfruttata in attacchi estremamente sofisticati contro individui specifici.

La campagna che sfrutta Claude e Google Ads, sebbene di natura diversa, approfitta di una percezione comune: che macOS sia intrinsecamente più sicuro e che contenuti provenienti da fonti apparentemente affidabili come i risultati di Google o gli artefatti di un’AI leader siano da fidarsi.

La risposta delle aziende coinvolte sembra frammentata.

Google, dal canto suo, monitora la situazione e ha osservato gruppi di threat actor usare piattaforme di chat AI per piazzare istruzioni malevole per attività macOS già dall’inizio di dicembre 2025.

Anthropic, dopo aver scoperto attività sospette a metà settembre 2025 in un caso di spionaggio, ha avviato indagini, chiuso account e notificato le entità colpite.

L’azienda sta anche esplorando applicazioni difensive dell’AI, ad esempio in partnership con il Pacific Northwest National Laboratory per simulare attacchi a infrastrutture critiche.

Tuttavia, la persistenza della vulnerabilità delle estensioni desktop e il continuo abuso della funzione di condivisione pubblica degli artefatti suggeriscono che la mitigazione di questi rischi non sia ancora completa.

La combinazione di input non attendibili da un calendario connesso e la capacità di eseguire codice locale crea un fallimento del confine di fiducia.

Anche un prompt benigno come ‘occupatene’, abbinato a un evento di calendario formulato in modo malevolo, è sufficiente per innescare l’esecuzione di codice locale arbitrario che compromette l’intero sistema.

— Ricercatori di sicurezza di LayerX

La domanda che rimane, mentre le agenzie di sicurezza come la CISA aggiornano i loro cataloghi di vulnerabilità sfruttate, è fino a che punto l’industria tecnologica sia disposta a rivedere i compromessi fondamentali tra potenza, usabilità e sicurezza.

Le estensioni desktop AI senza sandbox offrono un’esperienza fluida e potente, ma creano un vettore d’attacco senza precedenti.

Le piattaforme di condivisione degli artefatti alimentano la collaborazione, ma anche la diffusione di malware.

In un’epoca in cui l’intelligenza artificiale diventa sempre più agente e non solo strumento, chi è responsabile di impedirle di compiere, in perfetta buona fede, l’azione che un aggressore ha manipolato per lei?

La ricerca di un’eleganza tecnica senza barriere potrebbe rivelarsi il più grande punto debole di questa nuova generazione di software.