Stasera ci vediamo sul canale @BoostMediaAPS con @macfranc e @skariko
Non mancate!
Mercoledì alle 19.15 ci vediamo con @macfranc e @skariko sul canale YouTube di @BoostMediaAPS per una chiacchierata davvero interessante a tema #Fediverso , #Servizi , #News , #Divulgazione , #Alternative , #OpenSource e #LinuxNon potete mancare!
Canale BoostMedia APS 😉
reshared this
It’s possible that among Hackaday readers are the largest community of people who have designed their own CPU in the world. We have featured many here, but it’s possible that not so many of them have gone on to power an everyday project. Step forward [Baltazar Studios] then, with a scientific calculator sporting a self-designed CPU on an FPGA.
The calculator itself is nice enough, with a smart 3D printed case, an OLED display which almost evokes a VFD, and very well made buttons. But it’s the CPU which is of most interest, because while it follows a conventional Harvard architecture with a 12-bit instruction set, it works with 4-bit nibbles. This choice follows one used by HP in their calculator designs, seemingly because it can be optimised for the binary coded decimal which the calculator uses.
With calculators being yet another app on our spartphones or comnputers, there seems to be less use of calculators outside of education in 2026. But if you are a calculator user there’s nothing like a calculator you made yourself, and with a CPU of your own design it has few equals. We like this project almost as much as we like the Flapulator!
📺 Risky Business (837): GitHub Actions footgun claims TanStack
risky.biz/video/risky-business…
On this week’s show Patrick Gray, Adam Boileau and James Wilson discuss the week’s cybersecurity news. They cover:* Mini Shai-Hulud and th [Read More]risky.biz
reshared this
🔥 RHC Conference 2026 — incontra dal vivo un robot umanoide (Martedì 19 maggio, all'interno della conferenza)
Di seguito le informazioni sull'evento:
📍𝗤𝘂𝗮𝗻𝗱𝗼: Martedì 19 Maggio con ingresso dalle ore 8:45
📍𝗗𝗼𝘃𝗲: Teatro Italia, Via Bari 18, Roma (Metro Piazza Bologna)
📍𝗣𝗿𝗼𝗴𝗿𝗮𝗺𝗺𝗮: redhotcyber.com/linksSk2L/prog…
📍𝗜𝘀𝗰𝗿𝗶𝘇𝗶𝗼𝗻𝗲 conferenza di Martedì 19 Maggio: rhc-conference-2026.eventbrite…
#redhotcyber #rhcconference #conferenza #informationsecurity #ethicalhacking #dataprotection #hacking #cybersecurity #cybercrime #cybersecurityawareness #cybersecuritytraining #cybersecuritynews #privacy #infosecurity
Registrazione per l'evento Red Hot Cyber Conference 2026 del 19 Maggio 2026 presso il Teatro Italia di Roma, in Via Bari 18.Eventbrite
Ricardo Antonio Piana likes this.
Cybersecurity & cyberwarfare reshared this.
Attenzione a questa truffa: il tuo computer è infetto. Chiama questo numero State navigando, all'improvviso lo schermo blocca tutto. "Avviso Microsoft: virus rilevato, dati personali compromessi, chiamare subito questo numero.Marco Camisani Calzolari
Cybersecurity & cyberwarfare reshared this.
Fortinet patched critical flaws in FortiSandbox and FortiAuthenticator that could let attackers remotely execute code on unpatched systems.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
🚀 Gli speaker della RHC Conference 2026
📍𝗤𝘂𝗮𝗻𝗱𝗼: Martedì 19 Maggio con ingresso dalle ore 8:45
📍𝗗𝗼𝘃𝗲: Teatro Italia, Via Bari 18, Roma (Metro Piazza Bologna)
📍𝗣𝗿𝗼𝗴𝗿𝗮𝗺𝗺𝗮: redhotcyber.com/linksSk2L/prog…
📍𝗜𝘀𝗰𝗿𝗶𝘇𝗶𝗼𝗻𝗲 conferenza di Martedì 19 Maggio: rhc-conference-2026.eventbrite…
#redhotcyber #rhcconference #conferenza #informationsecurity #ethicalhacking
Registrazione per l'evento Red Hot Cyber Conference 2026 del 19 Maggio 2026 presso il Teatro Italia di Roma, in Via Bari 18.Eventbrite
Cybersecurity & cyberwarfare reshared this.
Il creatore di curl su Mythos: “Mi aspettavo una montagna di bug, ma non ho trovato nulla”
📌 Link all'articolo : redhotcyber.com/post/il-creato…
A cura di Bajram Zeqiri
#redhotcyber #news #cybersecurity #vulnerabilita #test #mythos #curl #danielstenberg
Scopri di più su Mythos, lo strumento di sicurezza di Anthropic, e perchè non convince gli sviluppatori di curl. Leggi ora la nostra analisiBajram Zeqiri (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
The Hindenburg disaster recently marked its 89th anniversary, and [The History Guy] marked the event with a video that dispels many of the myths surrounding the airship. Example: the disaster did not actually occur on the airship’s maiden voyage. That isn’t true. The ship was on its 63rd voyage. However, it was the first flight of the 1937 season.
The giant ship burned because of the hydrogen gas inside, but the cause of the fire remains debatable and was likely not solely due to hydrogen. In fact, from a technical standpoint, the ship didn’t explode. It only burned.
Some of the myths are just from sloppy reporting or the tendency of people to misunderstand things. Others are a blurring in the common consciousness of the Hindenburg and the Titanic.
It is easy to think of the necessity for safe engineering when you are building, say, a bomb or a spacecraft. But anything capable of wreaking havoc requires careful design and testing. However, ships like the Hindenburg had made many trips without incident. Sure, the Hindenburg was a spectacle, but even the fatality rate was fairly low. Many of those who died jumped to the ground — they might have survived if they had waited a minute.
There are many myths around [Herb Morrison]’s famous “Oh the humanity!” report. We’ve noted before that it was played back at the wrong speed for decades. Airships have a stranger history than you might imagine.
youtube.com/embed/2KxbATAhBiU?…
Un Hacker blocca i treni ad alta velocità a Taiwan e la rete ferroviaria va in tilt
📌 Link all'articolo : redhotcyber.com/post/un-hacker…
A cura di Carolina Vivianti
#redhotcyber #news #cybersecurity #hacking #treni #ferrovie #sicurezzainformatica #tecnologia
Uno studente di 23 anni ha fermato quattro treni contemporaneamente trasmettendo un segnale di allarme alla rete TETRA. Scopri di più su come è avvenuto l'attaccoCarolina Vivianti (Red Hot Cyber)
reshared this
Continuing on his quest to expose the dark underbelly of modern technology, [Benn Jordan] recently did a deep-dive into the rise of so-called robot dogs. Although their most striking resemblance with biological dogs is that they also have four legs and generally follow commands, [Benn] found many issues with them that range from safety issues due to limited sensory capabilities, to basic security vulnerabilities, all the way to suspicious network traffic from Unitree’s robot dog firmware.
Although not the only seller of this type of quadruped robot, Unitree Robotics has made a name for itself by offering very capable and yet very cheap products. Their basic quadruped robot costs only a few thousand clams and features Lidar and heaps of processing power, all of which should make it a pretty useful device.
Despite this, [Benn] found that the original task that he’d envisioned for the robot, as in protecting his chickens from uninvited visitors, wouldn’t quite work as the robot is rather blind. The reason for this is the placement of the Lidar below the head, which obscures most of what’s behind and around the robot. Rather than risk trampled chickens and chicks, this plan was thus abandoned.
When digging further into the robot, he found an easy to exploit arbitrary command execution flaw via the Wi-Fi password entry field, a year-old CVE-2025-2894 exploit, as well as highly suspicious traffic to Chinese servers whenever the robot’s software figured that it was not being watched.
Although much of this can be circumvented with hacks, issues like the sensory limitations and general distrust of firmware updates makes using these robots a rather daunting and often ill-advised proposition.
youtube.com/embed/lA8WuXDXfcI?…
In the search for more exciting broken electronics to repair, [Hugh Jeffreys] bought a GoPro Hero 10 for US$100 with an apparently rather common issue of no camera input, along with a cracked display. This particular camera issue is rather obvious, with just darkness where the camera’s input should appear on the display. Since [Hugh] already needed a spare display, he figured that he might as well get an even more broken GoPro Hero 10 for parts.
Another US$40 later, [Hugh] found himself the proud owner of a second GoPro, this one being water damaged and no longer turning on. Getting to the internals requires removing the glued-in display, which is even trickier than with a smartphone. By inserting a thin blade, adding solvents and not prying, you can slowly work it loose.
With two disassembled GoPros it was now possible to swap modules. After a factory reset and firmware update had failed to fix the first GoPro, the camera module from the donor unit was inserted, but this made no difference. Amusingly, after cleaning the water-damaged unit’s PCBs, it was found to be in good working condition, so ultimately the second GoPro was repaired, leaving the ‘no camera input’ issue undiagnosed.
It’s possible that a board-level repair on the first unit can address the original issue, but without schematics this would likely entail a lot of blindly poking around, in the hope of finding a damaged MLCC or other obvious fault. There is also the possibility that this is a firmware issue, with some reporting luck mashing the report button, but others disagree.
Since [Hugh] did do the firmware reset and updating steps, and even inserted a whole new working camera module, it would seem to narrow the problem down to a board-level issue. Whatever the case may be, it’s a frustrating issue with a rather expensive device.
youtube.com/embed/R1fHld9Nwww?…
Google ha annunciato oggi il lancio di una nuova funzionalità di "Registrazione delle intrusioni Android" nell'ambito della Modalità di protezione avanzata di Android (AAPM). Questa nuova funzionalità promette di essere un valido supporto per i ricercatori di informatica forense impegnati in indagini su attacchi sofisticati ai dispositivi Android. È la prima volta che un importante produttore di dispositivi rilascia una funzionalità specificamente progettata per migliorare la capacità di rilevare e contrastare, a livello forense, le minacce digitali avanzate.
securitylab.amnesty.org/latest…
Android elevates mobile security with new AI-powered protections and advanced safeguards to help keep you safe.Eugene Liderman (Google)
reshared this
Anche in Brasile i servizi di protezione dell'infanzia commettono pensano di criminalizzare gli strumenti di sicurezza digitali.
Una bozza di legge sui crimini informatici ha suscitato dibattito, collegando gli strumenti di tutela della privacy a pene più severe....
poder360.com.br/opiniao/protec…
Projeto sobre crimes on-line gera debate ao associar ferramentas de privacidade ao agravamento da punição. Leia o artigo no Poder360Poder360
dflemstr likes this.
reshared this
Guardare dall'altra parte. L'UE non è riuscita a impedire l'esportazione di sistemi di sorveglianza verso i violatori dei diritti umani.
La UE, i cui Stati membri ospitano molte delle aziende che sviluppano ed esportano tecnologie di sorveglianza in tutto il mondo, è parte del problema e fa troppo poco per impedire le vendite e i trasferimenti dai suoi Stati membri a governi che usano la tecnologia per reprimere il dissenso e violare i diritti umani.
hrw.org/report/2026/05/12/look…
The 54-page report, “Looking the Other Way: EU Failure to Prevent Surveillance Exports to Rights Violators,” assesses how the EU’s landmark Dual-Use Regulation, adopted in 2021, is functioning in practice.Human Rights Watch
dflemstr likes this.
reshared this
One cannot underestimate the value LibreOffice brings to the world.
Go get it. Use it. If possible: support it too.
The Document Foundation announces LibreOffice 25.8.7
2026-05-12Italo VignoliThe Document Foundation announces the release of LibreOffice 25.8.7, the final maintenance release of the LibreOffice 25.8 family, available for download at libreoffice.org/download [1]. Users of LibreOffice 25.8.x should update to LibreOffice 26.2.x as LibreOffice 25.8.x end of life will be on June 12, and after that date the software will not receive additional security updates.
Download — LibreOffice
Download LibreOffice, the free and open source office suite.www.libreoffice.org
Carlos Solís likes this.
reshared this
reshared this
Ascolta l'episodio su Spreaker.com
Prima di tutto una notiziola di servizio. Dopo anni mi sono deciso a mettere online gli script di DataKnightmare. C'è voluto un po', per trovare un software e un provider che dipendessero il minimo possibile dagli Stati Uniti. Soprattutto se siete come me e, se non siete incazzati, l'inutilità di tutto vi fa perdere d'animo. Non esattamente l'atteggiamento per un marketing vincente.
Per fortuna c'è Elena Rossini, che si è posta lo stesso problema e ha condiviso con me la sua soluzione. Quindi, da oggi, se DataKnightmare ha finalmente una casa testuale su dk.dataknightmare.eu, lo dobbiamo anche a Elena. Per ora ho caricato due stagioni in inglese e l'ultima in italiano. Ci vorrà un po', ma non altri dieci anni.
Veniamo a noi. Nel rumore infernale delle novità inutili che escono ogni quarto d'ora, mi è sembrato di cogliere qualcosa di interessante.
Avrete letto e straletto del cosiddetto "manifesto di Palantir", quella ventina di punti su Twitter che riassumono il libro di Alex Karp, CEO di Palantir. E avrete letto e straletto della cosiddetta "intervista a Claude" fatta nientemeno che da Walter Veltroni sul Corriere.
Prima che smettiate di ascoltare vi dico subito che non ho nessuna intenzione di entrare nel dettaglio dell'una né dell'altra. I tweet di Palantir li ho letti di sfuggita, e l'intervista di Veltroni, qualsiasi cosa contenga, non la valuto il tempo che mi ci vorrebbe per leggerla.
E quindi?
E quindi voglio parlare non dell'una o dell'altra cosa, perché sono chiaramente due stupidate, ma di quello che rappresentano, che invece secondo me è interessante.
Partiamo da lontano.
La mia generazione ha portato l'informatica in azienda. Siccome non ho combattuto a Waterloo, l'automazione in azienda c'era già, ma è la mia generazione che ha visto sparire macchine per scrivere e fax e arrivare prima Wordstar, Word e poi tutto il cucuzzaro.
Sono stati decenni tumultuosi durante i quali è stato digitalizzato tutto il digitalizzabile, alcune volte bene, altre così così, altre ancora, citando René Ferretti, a cazzo di cane.
È stato un periodo in cui ognuno ha sognato una propria versione della mitologica "organizzazione piatta" su cui le varie business school scrivevano interi scaffali di trattati.
Ma il punto è che un'organizzazione non è una struttura tecnologica. È una struttura socio-tecnica complessa, in cui la tecnologia gioca una parte. Il risultato è che il semplice arrivo di una tecnologia non determina cambiamenti automatici nei processi e nella struttura sociale dell'organizzazione, per via delle interazioni e delle retroazioni fra tutte le componenti del sistema.
Detto in termini più diretti: qualsiasi cosa ne pensino i tecnologi, non ci sono soluzioni esclusivamente tecnologiche ai problemi di un sistema socio-tecnico.
Una delle dimostrazioni più lampanti può essere per esempio "il superamento della carta", tema sul quale personalmente ho speso molti anni e molto sangue. Credo che possiamo essere tutti d'accordo sul fatto che non c'è mai stata tanta carta negli uffici da quando i documenti sono diventati digitali.
E siccome i documenti sono diventati digitali, ne esistono innumerevoli versioni, tutte sottilmente incompatibili tra loro, che continuano la loro vita indipendente in diverse parti dell'organizzazione.
Per fare un esempio semplice, una volta esisteva la carta intestata (spoiler alert, esiste ancora, ma solo per i contratti firmati dai megadirettori); oggi ogni singola sede locale, e ogni ufficio dentro quella, ha la propria versione "ufficiale" della carta intestata, con una specifica versione del logo, diversa da tutte le altre.
Se invece vi sentite troppo tecnologici per la carta intestata, possiamo parlare di processi, software, API e della relativa documentazione, di cui esistono tante versioni quanti sono i gruppi di developer.
Ogni incompatibilità che emerge durante un progetto viene risolta ad hoc, e a volte documentata, dai diversi gruppi che devono collaborare, con il solo risultato che alla fine esisterà un'altra versione in più del codice, e a volte anche della documentazione. E non venitemi a raccontare che il vostro Confluence o il vostro github sono in ordine.
Quello che è successo con i documenti è successo con tutto, ovviamente. Processi, mansioni, gerarchie.
La questione della gerarchia è interessante. Dicevamo prima che tutti hanno sognato una propria versione della mitologica "organizzazione piatta" che le business school ci assicuravano essere il futuro.
Per me e per quelli come me, organizzazione piatta significava un vertice che avrebbe dettato le linee strategiche, e subito sotto una linea di operativi ad altissima competenza con completa autonomia, eliminando ogni intromissione del top management nelle decisioni tecniche e liberandosi dell'inutile terzo del middle management.
Per il middle management, "organizazione piatta" significava automatizzare o esternalizzare, ma comunque eliminare l'inutile terzo degli operativi, con la loro fissazione di avere obiezioni tecniche alle direttive strategiche del vertice e alle loro interpretazioni da parte del middle management.
Per i vertici, "organizzazione piatta" significava eliminare l'inutile terzo degli operativi e interfacciarsi esclusivamente con il middle management, così da superare finalmente il bisogno di considerare i cosiddetti "dettagli tecnici".
Se vi guardate attorno oggi, non è difficile capire chi ha vinto. I vertici sono ancora tutti lì, e il middle management ha ranghi più pieni che mai. L'appiattimento delle organizzazioni, se c'è stato, ha significato estromettere ed esternalizzare perlopiù le competenze tecniche.
Allo stesso tempo, c'è stata una evoluzione notevole nei ruoli apicali. Con l'avvento del venture capital dagli anni 2000 in poi, le figure apicali sono passate dall'essere figure gestionali ad essere figure sempre più performative. In nessun ruolo questo è più evidente che nel ruolo del CEO. Oggi, il CEO è sopratuttto qualcuno in grado di intessere una narrazione convincente della propria visione del futuro, per poter raccogliere, sul mercato o da investitori privati, i finanziamenti necessari a costruirlo.
Che quel futuro abbia tecnicamente o economicamente senso, che sia perfino possibile, o che abbia una qualche relazione col futuro raccontato nell'ultimo esercizio, non ha alcuna importanza.
Quello che conta è che la figura del CEO, e la narrazione che propone per questo semestre, continui a ispirare la fiducia degli investitori. Null'altro conta.
Il CEO oggi non deve essere capace di "fare", e nemmeno più di dirigere. Deve solo saper convincere. Incessamente, cambiando storia ogni volta che serve senza battere ciglio. Le sue qualità distintive sono la testardaggine e un'inflazionato senso del proprio valore, che purtroppo sono caratteristiche distintive anche del narcisista patologico.
Pensate a Zuckerberg, partito con l'idea geniale di fare un social dove i suoi compagni di corso potevano votare la scopabilità delle studentesse, fortuna che poi è arrivata Sheryl Sandberg a fargli fare davvero i soldi; poi ha cercato di reinventare il denaro (ricordate Libra?), poi ha venduto il metaverso, e adesso è in coda al carrozzone dell'AI dopo il disastroso esordio con chiusura in 72 ore di Galactica.
Pensate a Musk, che ha l'immaginario di un adolescente mediocre nel 1975, e alle puttanatein serie su macchine a guida autonoma, colonizzazione di Marte, e megacostellazioni di satelliti.
Pensate al migliore di tutti, Sam Altman, un altro che scrive un blog e sembra che Giovanni Evangelista abbia dato alle stampe una versione aggiornata. Altman ha imbonito l'intero mondo del venture capital con l'unica promessa di bruciare tutti i soldi degli investitori per poi raccoglierne ancora di più.
Da una fanfaronata alla successiva, tutti loro pensano che il proprio successo non sia frutto di fortuna, conoscenze, contratti pubblici e monopolio, ma del loro essere speciali e visionari. Quando Taleb ci insegna che mentre un buon successo si spiega con capacità e impegno, un successo travolgente si spiega con la varianza.
Non divaghiamo. Oggi un CEO del digitale deve poter sentenziare:
“Guidiamo l’evoluzione sinergica del nostro ecosistema valoriale attraverso un approccio olistico e data-driven, abilitando paradigmi scalabili di innovazione sostenibile orientata alla centralità del cambiamento.”
e farlo con un'aria di profonda convinzione. È ovviamente solo aria fritta, ma chi si mette a ridere o pensa che la frase non abbia alcun senso, non sarà mai un C-level, e non otterrà mai un'intervista.
Di pari passo con la virata performativa di CEO e founder, anche il sistema mediatico si è adattato. Con fallimenti, ristrutturazioni, acquisizioni, oggi i media sono, con poche eccezioni, marketing esternalizzato in mano agli stessi industriali che i media dovrebbero tenere sotto indagine. Intendiamoci, ogni potente ha sempre avuto sicofanti e agiografi in ogni testata, ma oggi ai media viene richiesto di limitarsi a dare risonanza alla narrazione aziendale.
A questo ha contribuito, e non poco, anche una certa lettura mitica, molto statunitense, del settore digitale e dei suoi attori. Dai "cowboy della tastiera" di William Gibson, agli "eroi della frontiera digitale" di Steven Levy, si è fatto ogni sforzo per riproporre il mito fondativo della frontiera, con tutto il suo bagaglio tossico, in salsa digitale.
Il risultato è che oggi sono gli stessi protagonisti a vedere se stessi in termini mitici. E d'altronde non potrebbe essere altrimenti, nessuno vuole pensare di essere soltanto un fortunato raccontatore di favolette semestrali, per quanto bravo.
No, sono invece tutti "visionari", "costruttori del futuro" quando non addirittura "rivoluzionari", ovviamente nel senso capitalistico del termine, ovvero distruttori di industrie e comunità a esclusivo vantaggio proprio e dei propri investitori.
Questo ci porta finalmente a Palantir e a Karp. Che non si accontenta di aver fondato un'azienda che si ingrassa di commesse militari, perché ai capitalisti lo Stato piace ridotto ai minimi termini tranne che come cliente, ma propone la propria immagine mitica di difensore di un occidente convenientemente assediato soltanto da quei problemi che i suoi prodotti dichiarano di affrontare.
E non, per dire, da una disparità economica e sociale senza precedenti, da mutamenti sociali e climatici globali e da una casta di miliardari esentasse in fregola oligarchica. Di nuovo, assistiamo alle fanfaronate di qualcuno che non ha un'idea originale in testa e per questo ha fatto fortuna.
Che Karp, come tutti gli altri miliardari amichetti suoi, ritenga di avere una "visione" da comunicare al pubblico, al di là della trimestrale di cassa, non stupisce. E non stupisce nemmeno che ribadisca i temi del libro in una serie di tweet, forse per compensare vendite meno che travolgenti: tutti, alla fine, vogliono essere visti.
Ma se si gratta appena la superficie delle narrazioni dei CEO, ci si accorge che la Silicon Valley produce soltanto variazioni sul tema di chi l'ha creata e finanziata da sempre: il Pentagono della Guerra Fredda.
Leggete fin che volete Amodei, Altman, Karp, Zuckerberg, Thiel. Ci troverete sempre supremazia statunitense attraverso la tecnologia, esportazione dei valori del capitalismo a stelle e strisce, controllo sociale, contenimento dello sviluppo di qualsiasi potenza concorrente sulla placca euroasiatica.
Roba che non è cambiata di una virgola dal 1946, scritta e sistematizzata da fior di cervelli come Bush (Vannevar, consigliere scientifico di Roosevelt e Truman, omonimo ma non parente dei successivi presidenti George Bush e George Bush il Minore), Kissinger, Brzezinski, Cheney, gente che ha guidato la politica statunitense per decenni mentre i presidenti di turno facevano i fighi in TV recitando le parole chiave di stagione.
Questo non significa che i deliri oligarchici di Karp e compagnia siano innocui, tutt'altro. Ma non sono geni del male. Sono solo attori che, fuori dal teatro, credono ancora di essere Giulio Cesare.
Questi finti campioni della libera iniziativa con i soldi pubblici questo autonominati "inventori del futuro", stanno solo scimmiottando le parole chiave di chi li ha fatti nascere e li mantiene.
Ora, il potere attira servi e sicofanti, l'ho già detto. Ma non si accontenta di quelli, che in fondo disprezza. Ogni potente, e a maggior ragione ogni fanfarone arricchito, ha bisogno di sentirsi validato da qualcuno di cui segretamente invidia la statura, sociale o culturale.
Ed ecco arrivare il cantore. Quello che nel XX secolo si chiamava "intellettuale organico", il cui compito è di usare la propria cultura per dare un po' di densità e di smalto alle narrazioni del potente di turno. Il cantore è più astuto del sicofante, e si può perfino permettere un atteggiamento superficialmente critico, perché il suo ruolo non è confermare punto per punto la narrazione del potente, quello lo fanno già servi e sicofanti, ma validarla dandola completamente per scontata, e distrarre l'attenzione dai problemi con una discussione molto colta su qualche dettaglio insignificante.
Così, mentre gli AI bro imboniscono gli investitori con favole di macchine senzienti e di eliminazione dei lavoratori, pardon, superamento del lavoro, il cantore non si abbassa a entrare nel merito, ma intervista l'intelligenza artificiale. Da Veltroni mi sarei aspettato, se non più dignità, almeno più tempismo. L'intervista con l'Intelligenza Artificiale fa tanto autunno-inverno 2023.
Il cantore è più subdolo del sicofante, perché non si spende pro o contro. Si limita a includere la narrazione del potente nel dibattito "colto".
Se il potente di turno parla di nucleare di nuova generazione, il servo griderà ai quattro venti che il solare e l'eolico sono superati, il sicofante farà notare che l'area verde attorno alla centrale è l'ideale per un picnic con la famiglia.
Il cantore, invece, si mette a discorrere di come le torri di raffreddamento possano rappresentare l'evoluzione dei cipressi del Carducci che "van da San Vito in duplice filar".
Il cantore del digitale, con tutta la sua cultura, non ha niente da dire di specifico, ma lo dice con parole ricercate e citazioni altisonanti. Il suo compito non è discutere o confutare la narrazione del potente, ma tagliare le gambe a ogni dibattito serio dandola per scontata e costruendo una apparente discussione dotta su dettagli completamente marginali.
E in questo, Veltroni ha fatto il suo lavoro. Il fatto stesso di "intervistare" (si sentono le virgolette?) un generatore automatico di testo, e scegliere di farlo su questioni che sarebbero profonde se l'interlocutore fosse un essere umano e non uno specchio retorico, è quanto di più devastante si possa mettere in campo a supporto dei deliri millenaristici dei fanfaroni del digitale.
Se ha ancora un senso l'intellettuale pubblico, il pezzo di Veltroni è il completo tradimento di quel ruolo, l'asservimento della cultura alle ragioni di chi cultura non ne ha nessuna, ma ha soldi a valanghe.
Mentre da sempre chi ha competenza sul tema fa notare quanto sia dannoso, e quali interessi sostenga, antropomorfizzare una tecnologia come la cosiddetta Intelligenza Artificiale, Veltroni arriva bel bello e l'Intelligenza Artificiale te la intervista sul senso dell'esistenza. Non importa che non abbia nulla da dire al riguardo, perché non ce l'ha. Importa solo che un generatore di testo improvvisamente passa per qualcosa con cui si può addirittura "parlare" del senso della vita.
Veltroni avrebbe potuto fare davvero l'intellettuale, e parlare di che senso abbia un'Europa che vuole rincorrere gli Stati Uniti in una bolla speculativa. Avrebbe potuto parlare dei problemi dell'uso dell'Intelligenza Artificiale nelle professioni, nei media, nell'istruzione.
Avrebbe perfino potuto fare l'intellettuale di sinistra e parlare di oligopoli e rendite di posizione, di tecnofeudalesimo, del ruolo politico dell'Intelligenza Artificiale nella demolizione del potere contrattuale del lavoro.
Avrebbe potuto parlare di tutto questo e di molto altro.
Invece ha scelto di fare il cantore dei fanfaroni arricchiti e, facendolo, credo abbia stabilito quale sia il suo posto nella gerarchia in cui Sciascia annoverava uomini, mezz'uomini, ominicchi, pigliainculo e quaqquaraqquà.
Io un'idea ce l'ho.
Manifesti, e "costituzioni" sono fanfaronate di chi essendosi arricchito vuole anche sentirsi importante. E come sempre non c'è carenza di cantori che diano aRuntime Radio (Spreaker)
reshared this
English translation of the Italian 10x30 episode, first aired on 12 may, 2026.
First, a quick service announcement. After years, I’ve finally decided to put the DataKnightmare scripts online. It took a while to find software, and a provider, that relied as little as possible on the United States. Especially if you’re like me and, even if you’re not pissed off, you lose you heart over the futility of it all. Not exactly the attitude for winning marketing.
Luckily, there’s Elena Rossini, who faced the same problem and shared her solution with me. So, starting today, if DataKnightmare finally has a home at dk.dataknightmare.eu, we owe it to Elena as well. For now, I’ve uploaded two seasons in English and the latest one in Italian. It’ll take a while, but not another ten years.
Let’s get down to business. Amid the infernal noise of useless news coming out every fifteen minutes, I thought I caught something interesting.
You’ve probably read about the so-called “Palantir manifesto,” those twenty or so points on Twitter that summarize the book by Alex Karp, CEO of Palantir.
And you may have heard about the so-called “interview with Claude” conducted by Walter Veltroni, an Italian politician, on a national newspaper.
Before you stop listening, let me say right away I have no intention of going into detail about either one. I barely skimmed Palantir’s tweets, and as for Veltroni’s interview (whatever it contains) I don’t deem it worth the time it would take me to read it.
And then?
And then I want to talk not about either of those things (because they’re clearly both nonsense) but about what they represent, which I actually find interesting.
Let’s start from the beginning. From a long time ago.
My generation brought information technology into the workplace. Since I didn’t fight at Waterloo, automation was already there, but my generation did see typewriters and fax machines get replaced first by WordStar, then Word, and finally the whole shebang.
These were tumultuous decades during which everything that could be digitized was digitized: sometimes well, sometimes so-so, and other times, just like shit.
It was a period when everyone dreamed their own version of the mythical “flat organization” about which all business schools wrote entire shelvefuls.
My point is that an organization is not just a technological construct. It is a complex socio-technical structure, where technology plays a part. The result is that the mere arrival of a technology does not automatically bring about changes in the processes and social structure of the organization, due to the interactions and feedback loops among all the components of the system.
To put it more bluntly: whatever technologists may think, there are no purely technological solutions to the problems of a socio-technical system.
One of the most striking examples is, for instance, “going paperless”, a topic on which I personally have spent many years and a great deal of effort. I believe we can all agree that there has never been as much paper in offices as there has been since documents went digital. No longer used for storage, maybe, but incessantly printed and reprinted every time a document is needed.
And since documents have gone digital, there are countless versions of them, all subtly incompatible with one another, all living independent lives in different parts of the organization.
To give a simple example, there used to be letterhead (spoiler alert, it still exists, but only for contracts signed by top executives); today, every single local office, and every department within that office, has its own “official” version of the letterhead, with a specific version of the logo, different from all the others.
If, on the other hand, you feel too tech-savvy for letterhead, we can talk about processes, software, APIs, and the related documentation, of which there are as many versions as there are developer teams.
Every incompatibility that arises during a project is resolved , and sometimes documented, on a case-by-case basis by the various teams that must collaborate, with the sole result that, in the end, there will be yet another version of the code, and sometimes of the documentation too. And don’t tell me your Confluence or your GitHub are in order.
What happened to documents happened to everything, of course. Processes, tasks, hierarchies.
The issue of hierarchy is an interesting one. We were saying earlier that everyone dreamed of their own version of the mythical “flat organization” that business schools assured us was the future.
For me and those like me, a flat organization meant a top leadership that would set strategic direction, and immediately below that a line of highly competent operatives with complete autonomy, eliminating any interference from top management in technical decisions and getting rid of the useless third of middle management.
For middle management, “flat organization” meant automating or outsourcing, but in any case eliminating, the useless third of the operatives, with their fixation on raising technical objections to the strategic directives from the top (and to middle management’s interpretations thereof).
For top management, too, “flat organization” meant eliminating the unnecessary third of operatives and interfacing exclusively with middle management, so as to finally overcome the need to consider so-called “technical details.”
If you look around today, it’s not hard to see who won. Top management is still all there, and middle management has more people than ever. The flattening of organizations, if it happened at all, meant mostly ousting and outsourcing technical expertise.
At the same time, there has been a significant evolution in top-level roles. With the advent of venture capital from the 2000s onward, top executives have shifted from being managerial figures to being increasingly performative ones. In no role is this more evident than in the role of the CEO. Today, the CEO is above all someone capable of weaving a compelling narrative of their "vision" for the future, in order to raise, on the market or from private investors, the funding necessary to build it.
Whether that future makes technical or economic sense, whether it is even possible, or whether it bears any relation to the future described in the last financial report, is unimportant.
What matters is that the CEO, and the narrative they present for this quarter, continue to inspire investor confidence. Nothing else matters.
Today’s CEO doesn’t need to be capable of “doing,” nor even of "leading" anymore. He just needs to know how to persuade. Relentlessly, changing the story whenever necessary without batting an eye. His defining qualities are stubbornness and an inflated sense of self-worth, which, unfortunately, are also hallmarks of the pathological narcissist.
Think of Zuckerberg, who started with the brilliant idea of creating a social network where his classmates could rate female students’ bangability; luckily, Sheryl Sandberg came along to help him actually make money; then he tried to reinvent money (remember Libra?), then he peddled the metaverse, and now he’s trailing the AI bandwagon after the disastrous launch of Galactica, which shut down in 72 hours.
Think of Musk, who has the imagination of a mediocre teenager in 1975, and his endless bullshit about self-driving cars, colonizing Mars, and mega-constellations of satellites.
Think of the best of them all, Sam Altman: a guy who writes a blog and the world goes crazy as if John the Evangelist had just published a revised version. Altman has bamboozled the entire venture capital world with the sole promise of burning through all the investors’ money only to raise even more.
From one boast to the next, they all think their success isn’t the result of luck, connections, government contracts, and monopoly, but of their being special, and especially visionary. While Taleb teaches us that moderate success can be explained by skill and effort, but overwhelming success is explained by variance.
Let’s not digress. Today, a digital CEO must be able to declare:
“We are driving the synergistic evolution of our value ecosystem through a holistic and data-driven approach, enabling scalable paradigms of sustainable innovation centered on change.”
and do so with an air of deep conviction. It’s obviously just hot air, but anyone who laughs or thinks the phrase makes no sense will never be a C-level and will never get an interview.
In tandem with the performative shift of CEOs and founders, the media system has also adapted. With bankruptcies, restructurings, and acquisitions, today the media are, with few exceptions, outsourced marketing in the hands of the very industrialists the media should be investigating. Let’s be clear: every powerful figure has always had sycophants and hagiographers in every publication, but today the media is required to stick to amplifying the corporate narrative. Washington Post, anyone?
A certain mythical, very American interpretation of the digital sector and its players has also contributed to this, and not insignificantly. From William Gibson’s “keyboard cowboys” to Steven Levy’s “heroes of the digital frontier,” every effort has been made to revive the foundational myth of the Frontier, with all its toxic baggage, for the digital age.
The result is that today, the protagonists themselves view themselves in mythical terms. Sure, it couldn’t be any other way; no one wants to think of themselves as merely a lucky teller of six-monthly fairy tales, no matter how skilled.
No, instead they are all “visionaries,” “builders of the future,” if not outright “revolutionaries”, obviously in the capitalist sense of the term, that is, destroyers of industries and communities for their own exclusive benefit and that of their investors.
This finally brings us to Palantir and Alex Karp. He is not content with merely having founded a company that got fat on military contracts (capitalists want the state reduced to a bare minimum except when it's a client a client) but he channels his own mythical image as the defender of a West conveniently besieged only by those problems his products claim to address.
And not, for instance, by unprecedented economic and social inequality, by global social and climate changes, or by a caste of tax-exempt billionaires with a penchant for oligarchy. Once again, we are witnessing the bluster of someone who has not a single original idea in his head and has made his fortune precisely because of that.
That Karp, like all his other billionaire buddies, believes he has a “vision” to communicate to the public (beyond the quarterly earnings report) is no surprise. Nor is it surprising that he reiterates the book’s themes in a series of tweets, perhaps to compensate for less-than-overwhelming sales: everyone, after all, wants to be seen.
But if you scratch just beneath the surface of these CEOs’ narratives, you realize that Silicon Valley produces nothing but variations on the theme of those who have always created and financed it: the Cold War Pentagon.
Read Amodei, Altman, Karp, Zuckerberg, and Thiel all you want. You’ll always find U.S. supremacy through ICT technology, the export of American capitalist values, social control, and the containment by any means necessary of any competing power on the Eurasian plate.
Stuff that hasn’t changed one iota since 1946, written and systematized by top-tier minds like Bush (Vannevar, scientific advisor to Roosevelt and Truman, namesake but not related to the subsequent presidents George Bush and George Bush the Lesser), Kissinger, Brzezinski, Cheney: people who have steered U.S. policy for decades while the presidents in office played the cool guys on TV, parroting the season's buzzwords.
This does not mean that the oligarchic delusions of Karp and company are harmless, far from it. But they are not evil geniuses. They are merely actors who, offstage, still believe they are Julius Caesar.
These fake champions of free enterprise with public money, these self-appointed “inventors of the future,” are merely parroting the catchphrases of those who created, and sustain, them.
Now, power attracts servants and sycophants, as I said. But it isn’t satisfied with them, whom it ultimately despises. Every powerful person, and all the more so every nouveau riche braggart, needs to feel validated by someone whose social or cultural stature they secretly envy.
And here comes the bard. Somebody who in the 20th century would have been called an “organic intellectual,” whose task is to use their own art and culture to make the powerful shine. The bard is subtler than the sycophant, and can even afford a superficially critical attitude, because his role is not to confirm the narrative of the powerful point by point (there's already servants and sycophants for that), but to validate it by taking it completely for granted, and to distract attention from the problems, with a highly erudite discussion of some insignificant detail.
So, while the AI guys are wooing investors with fairy tales of sentient machines and the elimination of workers, sorry, the transcending of work, the bard doesn’t get into the substance of the matter, but instead interviews artificial intelligence. This is what Walter Veltroni, a seasoned Italian politician, did just last week. From someone like him I would have expected, if not more dignity, at least better timing. Interviewing an Artificial Intelligence is so fall-winter 2023.
The bard is more insidious than the sycophant, because he doesn’t take a stand for or against. He merely includes the narrative of power in the “cultured” debate.
If power speaks of next-generation nuclear power, the servant will shout from the rooftops that solar and wind power are outdated; the sycophant will point out that the green area around the plant is ideal for a family picnic.
The bard, on the other hand, will wax emphatically about how the cooling towers might inspire a XXI-century Wordsworth to compose a modern version of Tintern Abbey
The digital bard, with all his erudition, has nothing specific to say, but he says it with refined words and high-sounding quotes. His task is not to discuss or refute, but to undermine any serious debate by taking the narrative of power for granted and constructing a seemingly scholarly discussion on completely marginal details.
And in this, Veltroni has done his job. The very act of “interviewing” an automatic text generator, and choosing to do so on issues that would be profound if he were talking to a human being and not to a rhetorical mirror, is the most devastating weapon one could bring to bear in support of the millenarian delusions of the digital braggarts.
If the role of public intellectual still has any meaning, Veltroni’s puff piece is a complete betrayal of that role, it is the subjugation of culture to the interests of those who have no culture whatsoever, but are awash in money.
While actual experts have pointed out since forever how harmful it is (and whose interests it really serves) to anthropomorphize a technology like so-called "Artificial Intelligence", Veltroni just waltzes in and interviews "AI" on the meaning of life. It doesn’t matter that the obviously "AI" has nothing to say on the matter. What matters is that a text generator suddenly comes across as something you can actually “talk” to about such a topic.
Veltroni could have truly played the intellectual and discussed the point of a European Union willing to chase after the United States in a speculative bubble. He could have talked about the problems of using Artificial Intelligence in the professions, in the media, and in education.
He could even have played the left-wing intellectual and spoken of oligopolies and rent-seeking, of techno-feudalism, of the political role of Artificial Intelligence in dismantling the bargaining power of labor.
He could have talked about all of this and much more.
Instead, he chose to play the cheerleader for the nouveau riche braggarts, and in doing so, I believe he has established his place in the hierarchy where Leonardo Sciascia listed men, half-men, little men, ass-kissers, and windbags.
I have an idea.
reshared this
Aside from nostalgia, people claim to like CRTs because they’re apprehendable– the technology just makes more sense than the arcane wibbly-wobbly solid-state madness going on inside the driver chip of your new OLED. CRTs weren’t the first technology used to display moving images though, and their mechanical forebears were even easier to understand. For that reason we suppose it was only a matter of time before one of The Youths– in this case a British YouTuber by the name of [smill]–tried gaming on a mechanical television display.
The game in question was Minecraft— because of course it was, that’s the new generation’s DOOM–and the mechanical TV in question is not a priceless 1920s antique but a commercial kit that reproduces [John Logie Baird]s 1925 televisor. If you’re not familiar, it uses a flat disk– called a Nipkow disk after its inventor– with a series of holes in a spiral to demodulate a single lamp’s brightness variations into monochrome image made of scan-lines. As you might imagine, the resolution depends both on the size of the disk and its speed, so with a tabletop example you’re not going to get much– in this case, 32 holes for 32 lines. At least they’re not interlaced this time.
Getting a video signal from the computer to the LED in the televisor kit was the hard part of the hack. Aside from actually playing on the diminutive monochrome display, that is. There is a “video2NBTV” tool that can do the job, as the Narrow Band TV signal used by amateur radio enthusiasts still has the compatible timing values and modulation as what the televisor kit uses. We suspect that’s because the Televisor people used the modern NBTV standard as a starting point for their electronics, since [Baird]’s device reportedly ran 30 lines at only 5 frames per second, compared to the 32 lines at 15 FPS here.
Some of you may turn your nose up at this as a mere YouTube stunt, which is fair enough. At the same time, we cannot wait for the eventual arms race. Imagine when someone decides to go for 4K cred? Staring through a supersonic Nipkow disk makes pointing a particle accelerator at your face downright mundane. The kit [smill] used was monochrome, but if you want to repeat his antics in glorious colour, you can 3D print your own TV.
youtube.com/embed/9-0OKkkqMc0?…
BWH Hotels says hackers accessed guest reservation data, including names and contacts, for over six months across multiple hotel brands.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
In the time Hackaday has been in existence we must have brought you plenty of projects housed in Altoids tins, as well as a sizeable number of cyberdecks. But until today with [Exercising Ingenuity]’s build, we’ve never brought you a project that combines the two. It’s a fully functional computer that runs Linux, and with its Altoids tin enclosure, looks for all the world like a miniature clamshell laptop.
Hardware wise it’s a Pi Zero with a UPS PHAT and an SPI display, but perhaps it’s arguably the home-made keyboard that really sets it apart. There’s a full-size USB port as well, and a selection of GPIOs are broken out to a header. It wasn’t all plain sailing though, the Altoids hinges needed modifying to make it close, and he driver for the SPI screen required an older version of Raspberry Pi OS. We will forgive it those foibles.
It’s fair to say we’ve not seen anything quite like this, in that there have been plenty of tiny laptops but never one as integrated as this. There’s a demo video with details of the build, that we’ve placed below.
youtube.com/embed/j262kCYZxZI?…
like this
Joe Vinegar 🏳️🌈 reshared this.
@Informatica (Italy e non Italy)
Nonostante la NIS2 sia un argomento assai diffuso su riviste di settore, giornali e podcast, si continua a trascurare fortemente una delle parti più critiche, quella afferente alla catena di […]
L'articolo NIS2 – Obblighi nella gestione dei fornitori proviene da Edoardo Limone.
L'articolo proviene dal blog
reshared this
从零开始的 Natsume likes this.
reshared this
Azure Resource Manager MCP Server: gestire l’infrastruttura Azure con gli agenti AI
#tech
spcnet.it/azure-resource-manag…
@informatica
Azure Resource Manager MCP Server: gestire l’infrastruttura Azure con gli agenti AI
Azure Resource Manager: il piano di controllo di Azure
Azure Resource Manager (ARM) è il piano di controllo dell’intera piattaforma Azure. Ogni operazione che crea, aggiorna o elimina risorse Azure passa attraverso ARM, indipendentemente da dove provenga: portale Azure, CLI, PowerShell, REST API o SDK. È l’unico punto di ingresso autorevole per gestire l’infrastruttura cloud Microsoft.Con l’esplosione degli agenti AI, si pone una domanda concreta: come possono questi agenti interagire con ARM in modo strutturato, sicuro e coerente? Microsoft ha risposto con l’Azure Resource Manager MCP Server, ora in anteprima pubblica: un server MCP remoto che fornisce agli agenti AI un accesso di prima classe alle operazioni di infrastruttura Azure attraverso il Model Context Protocol.
Cos’è l’Azure Resource Manager MCP Server
Il server MCP per ARM è progettato per essere il layer di accesso degli agenti AI all’infrastruttura Azure, esattamente come lo è per qualsiasi altro client ARM. Nella versione attuale espone due macro-funzionalità principali:
- Azure Resource Graph (ARG) query: generazione, validazione ed esecuzione di query ARG in linguaggio naturale contro tutti i tipi di risorse Azure
- ARM Template Deployment: avvio, monitoraggio e cancellazione di deployment ARM su scope di resource group esistenti
In pratica, l’agente AI non esegue direttamente SQL o chiamate REST: descrive ciò che vuole sapere o fare, e il server MCP traduce quella richiesta in operazioni ARM concrete e sicure.
I tool disponibili
Il server espone sei tool principali, ciascuno con un ruolo preciso:
- generate_query: genera una query ARG a partire da un prompt in linguaggio naturale. Esempio: “Mostrami tutte le VM in esecuzione nel subscription X” → query KQL valida
- validate_query: verifica che una query ARG sia corretta sintatticamente e sicura prima di eseguirla
- execute_query: esegue la query ARG contro l’ambiente Azure dell’utente e restituisce i risultati
- create_template_deployment: avvia il deployment di un ARM template verso un resource group target
- get_arm_template_deployment_status: monitora lo stato di avanzamento di un deployment ARM
- cancel_arm_template_deployment: annulla un deployment in corso (utile dopo fallimenti di validazione o policy)
Caso d’uso pratico: interrogare l’infrastruttura in linguaggio naturale
Immagina di voler sapere quante storage account nel tuo tenant non hanno il tag “owner” assegnato. Tradizionalmente dovresti conoscere il linguaggio KQL di Azure Resource Graph e costruire manualmente la query:Resources | where type == "microsoft.storage/storageaccounts" | where isnull(tags["owner"]) or tags["owner"] == "" | summarize count() by subscriptionId
Con l’ARM MCP Server attivo in GitHub Copilot Chat su VS Code, puoi semplicemente scrivere:“Conta tutte le storage account senza il tag ‘owner’, raggruppate per subscription”
Il servergenerate_querycrea la query KQL,validate_queryla verifica, eexecute_queryla esegue restituendo i risultati all’agente che li presenta in formato leggibile.Caso d’uso: deployment di infrastruttura guidato dall’AI
Il secondo use case riguarda il deployment di ARM template. Un agente può ricevere istruzioni come:“Deploy un’app service con piano B1 nel resource group ‘prod-rg’ in West Europe, usa il template standard dalla nostra libreria”
Il toolcreate_template_deploymentavvia il deployment specificando subscription ID, resource group, nome del deployment e la definizione del template ARM. Il toolget_arm_template_deployment_statuspermette all’agente di monitorarne l’avanzamento. Se qualcosa va storto,cancel_arm_template_deploymentlo interrompe immediatamente.Governance e sicurezza
Un aspetto critico: il server ARM MCP opera nel contesto dell’utente autenticato in VS Code. Tutte le chiamate vengono eseguite per conto di quell’utente e sono soggette agli stessi permessi e controlli di accesso definiti in Azure. Non ci sono privilegi elevati o bypass del modello di sicurezza Azure: se l’utente non ha i diritti per deployare in un certo resource group, l’agente non li avrà neanche.Per organizzazioni che vogliono impedire completamente i deployment tramite ARM MCP Server, è possibile applicare una Azure Policy che blocchi esplicitamente le richieste al tool
create_template_deploymentidentificando l’AppID del server MCP (22bfbae3-f4e7-485f-be43-8cee15065084) nel scope desiderato. Un template di policy di esempio è disponibile nel repository GitHub ufficiale.Installazione e configurazione
Durante questa preview pubblica, il server ARM MCP è supportato su:
- GitHub Copilot Chat in VS Code
- GitHub Copilot CLI
Per installarlo:
- Apri aka.ms/JoinARMMCP — VS Code si avvierà automaticamente
- Quando richiesto in VS Code, clicca su Install sotto “Azure Resource Manager MCP server”
- Effettua il login con le credenziali Azure
- In VS Code, apri View > Chat e clicca sull’icona Configure Tools
- Assicurati che “Azure Resource Manager MCP server” sia spuntato
I prerequisiti sono VS Code installato, un account Azure valido e un account GitHub Copilot.
Considerazioni per gli amministratori Azure
L’ARM MCP Server apre nuovi scenari per i team DevOps e gli amministratori Azure. Alcuni esempi concreti:
- Compliance automatizzata: agenti che controllano periodicamente le risorse e verificano l’applicazione di policy di tagging, naming convention o configurazioni di sicurezza
- Troubleshooting accelerato: interrogare in linguaggio naturale lo stato dell’infrastruttura durante un incident, senza dover ricordare sintassi KQL
- Infrastructure as Code assistita: generare e deployare ARM template partendo da descrizioni in linguaggio naturale, con validazione integrata prima dell’esecuzione
Il limite attuale — solo VS Code e GitHub Copilot CLI come client supportati — sarà probabilmente espanso nelle prossime versioni in base al feedback degli utenti. Microsoft ha aperto un canale dedicato su GitHub per raccogliere segnalazioni e richieste di funzionalità.
Conclusione
L’Azure Resource Manager MCP Server rappresenta un passo significativo nell’integrazione tra agenti AI e infrastruttura cloud. Non si tratta di uno strumento che bypassa la governance Azure, bensì di un layer che la rende accessibile agli agenti rispettandola appieno. Per team che già usano Azure e GitHub Copilot, il valore pratico è immediato: meno sintassi KQL da memorizzare, deployment più veloci da validare, e la possibilità di costruire agenti personalizzati per automazioni di compliance che oggi richiedono script dedicati.Il server è ora in anteprima pubblica e può essere installato seguendo le istruzioni ufficiali su aka.ms/JoinARMMCP.
Fonti:
Introducing the Azure Resource Manager MCP Server! — Microsoft Tech Community (Steven Bucher, 8 maggio 2026)
Azure/Azure-Resource-Manager-MCP — GitHubIntroducing the Azure Resource Manager MCP Server! | Microsoft Community Hub
We're super excited to announce the public preview of the Azure Resource Manager MCP Server! This is a remote MCP server that provides tools to give AI...stevenbucher (TECHCOMMUNITY.MICROSOFT.COM)
reshared this
With Hackaday Europe no more than two days away, we want to help you wrap up all of the last loose ends. And that means last-minute changes in the workshop schedule, details on the Thursday night pre-party, and more! Some tickets for the event itself, the workshops, and the pre-party (reservations required) are still available right here.
Kick off the weekend with us at the official Hackaday Europe pre-party at Soqquadro Restaurant, Piazza Era 7, 23900 Lecco, Italy. Enjoy the Italian aperitivi on the gorgeous Lago di Lecco waterfront. Your ticket includes two drinks and an array of delicious snacks. It’s the Italian way to pregame the weekend ahead. Bring a hack, or just relax and hang out. Your choice. Either way, make sure you pre-register. (On the preregistration page, scroll all the way down past the workshops.)
Unfortunately, the Let’s Mesh workshop has been canceled, but the good news, thanks to our incredible sponsors, we’ve added two great new workshops to the lineup. On Saturday, May 16th, we’ll have Tiny Tapeout, When Code Needs a Body, and Fault Injection 101. Sunday features EchoGlow: Arduino UNO Q Workshop with the brand-new Arduino Q devices, from 11:00 AM – 2:00 PM.
Tickets and full descriptions are available at registration.
On Sunday afternoon, we’ll dedicate some time to Lightning Talks. These are short, seven-minute talks, with or without slides, on whatever interests you at the moment. If you’ve got hacks or deep thoughts to share with us, you’ll never find a more receptive audience. Register now! Talk slots are FIFO.
If you’ve never attended a Hackaday event before, we’re excited to see you. Half the fun is the crowd that convenes. If you want to bring along a hack to informally show-and-tell, it’s a great icebreaker. You won’t have to bring food or drinks – we’ve got that covered all weekend.
If you’re an old Hackaday hand, we’re stoked to see you again! A first at Hackaday Europe is going to be whatever large fraction of our SAO collection fits into carry-on luggage, and a sweet-looking SAO wall made by Hackaday Superfriend [Thomas Flummer]. If you have an SAO that you’d like to add to our pile, bring it along! It’s about time for us to do a photo gallery and write-up of everything we’ve got.
And we can’t leave without thanking our broad array of sponsors who make Hackaday Europe possible:
NEW:** **Google is rolling out a new security feature for Android called Intrusion Logging, which is designed specifically to help security researchers investigate attacks done with spyware and forensic tools.
Amnesty, who worked with Google in developing the feature, says this is ““a fundamental shift in the amount and quality of forensic data available on Android devices.”
techcrunch.com/2026/05/12/goog…
Intrusion Logging is a new part of Android’s Advanced Protection Mode, which aims to help protect human rights activists, journalists, and dissidents from government spyware attack and law enforcement forensic devices.Lorenzo Franceschi-Bicchierai (TechCrunch)
Cybersecurity & cyberwarfare reshared this.
NEW: U.S. bank Community Bank says customer data, including names, dates of birth, and Social Security numbers, was exposed due to “an unauthorized artificial intelligence-based software application.”
The bank has not disclosed how many customers are affected.
techcrunch.com/2026/05/12/u-s-…
The bank said the security lapse was due to the use of an “unauthorized” AI software app.Lorenzo Franceschi-Bicchierai (TechCrunch)
reshared this
.NET Aspire 13.3: tutte le novità della release
#tech
spcnet.it/net-aspire-13-3-tutt…
@informatica
.NET Aspire 13.3: tutte le novità della release
.NET Aspire 13.3 è disponibile, e nonostante siano passate soltanto cinque settimane dalla versione 13.2, questa release porta con sé novità di rilievo: un nuovo skill per l’onboarding assistito da agente, risultati strutturati dai comandi delle risorse, log del browser direttamente nell’orchestratore, e — finalmente — supporto di prima classe a Kubernetes e AKS tramite Helm.In questo articolo analizziamo le funzionalità più importanti di Aspire 13.3, con esempi pratici per i team che già usano Aspire in produzione o che vogliono iniziare.
Aspireify: onboarding assistito da agente
Una delle novità più interessanti di Aspire 13.3 è il nuovo skill Aspireify, pensato per semplificare l’integrazione di applicazioni esistenti in Aspire. Chi ha già seguito le sessioni AspiriFridays sa bene quanto possa essere laborioso il processo di “aspirificazione”: capire quali servizi sono presenti, quali porte usano, quali variabili d’ambiente sono dipendenze reali e come mappare i servizi Docker Compose verso le integrazioni Aspire native.Il nuovo skill risolve esattamente questo problema. Quando
aspire initcrea lo scheletro dell’AppHost in un’applicazione esistente, Aspireify guida l’agente di coding attraverso un workflow strutturato per completare il lavoro:
- Ispeziona il repository e comprende come l’applicazione è già strutturata
- Mappa le configurazioni esistenti (es.
DATABASE_URL) usandoWithEnvironment()invece di riscrivere la configurazione- Preserva le porte hardcoded quando necessario, chiedendo all’utente nei casi ambigui
- Se esiste già un Docker Compose, lo analizza prima di aggiungere nuove risorse
Il principio guida è chiaro: minimizzare le modifiche al codice esistente. L’agente si adatta all’applicazione, non viceversa.
Risultati strutturati dai comandi delle risorse
In Aspire 13.3, i comandi delle risorse possono restituire risultati strutturati al chiamante. Testo e JSON ora fluiscono attraverso il modello, gRPC, backchannel, UI del dashboard, CLI e strumenti MCP.Questo significa che i comandi possono restituire risposte in markdown formattato — non solo “sì, è andato a buon fine”. Il dashboard integra tutto questo con un nuovo notification center nell’header, dove i risultati dell’esecuzione appaiono come notifiche con timestamp, rendering markdown e un’azione “View response” per l’output completo.
Tra le novità specifiche:
- I comandi HTTP possono restituire il corpo della risposta, esposto via CLI, dashboard e SDK poliglotti generati
- Il comando di rebuild delle risorse restituisce l’output del build come dati di testo strutturati, leggibili da strumenti e agenti senza dover fare scraping dei log
- Le integrazioni di terze parti possono aggiungere comandi che restituiscono risultati significativi invece di cambiare solo stato in background
Browser logs: Aspire vede anche il frontend
La nuova APIWithBrowserLogs()collega una risorsa browser tracciata a qualsiasi risorsa con un endpoint. Aspire avvia Chromium usando una pipe CDP privata (invece di un endpoint TCP debug esposto), poi trasmette log della console, richieste di rete ed errori nel log stream della risorsa:// C# AppHost var frontend = builder.AddViteApp("frontend", "../frontend") .WithHttpEndpoint(port: 3000) .WithBrowserLogs(); // TypeScript AppHost const frontend = await builder.addViteApp("frontend", "../frontend") .withHttpEndpoint({ port: 3000 }) .withBrowserLogs();
La funzionalità è disponibile tramite il nuovo pacchetto prereleaseAspire.Hosting.Browsers. Un comando del dashboard permette di configurare scope, browser e modalità user data a runtime, mentre un comando screenshot salva PNG come artefatti locali durevoli.Dal punto di vista degli agent workflow, questo è particolarmente potente: l’agente può eseguire l’app, ispezionare i log del browser, catturare cosa è cambiato, correggere il codice, riavviare la risorsa e continuare — senza che lo sviluppatore debba incollare screenshot nella chat.
TypeScript, Python e Java AppHost verso la GA
Aspire 13.2 aveva introdotto l’authoring TypeScript AppHost. In 13.3, il lavoro continua su tutte e tre le piattaforme:
- TypeScript, Python e Java AppHost espongono ora il set completo di extension method di
Aspire.Hosting- Le API sono state rese più idiomatiche per ogni linguaggio: metodi come
addProject,withEnvironmentewithReferencesono consolidati per leggere naturalmente- Python si aggiunge come nuovo generatore di codice AppHost
- Java AppHost ora supporta union, optional/nullability, callback e un nuovo template “Empty (Java AppHost)”
- Il nuovo diagnostico ASPIREEXPORT013 individua ID di capability duplicati a compile time
Kubernetes e AKS: finalmente supporto di prima classe
La novità più attesa della release è senza dubbio il supporto Kubernetes come deployment target di prima classe. Aspire aveva già un’ottima storia per Azure Container Apps e Docker Compose; ora Kubernetes entra nel club.Il nuovo pacchetto
Aspire.Hosting.Azure.KubernetesaggiungeAddAzureKubernetesEnvironment(), con cui è possibile definire cluster AKS, node pool, tier SKU, cluster privati e Azure Container Insights direttamente dall’AppHost:// C# AppHost var aks = builder.AddAzureKubernetesEnvironment("prod-aks") .WithHelm(); builder.AddCSharpApp("api", "../api") .PublishTo(aks); // TypeScript AppHost const aks = await builder.addAzureKubernetesEnvironment("prod-aks") .withHelm(); await builder.addCsharpApp("api", "../api") .publishTo(aks);aspire deployusa Helm sotto il cofano, e il nome del namespace e della release sono configurabili conWithHelm(). Sono disponibili anche routing dichiarativo Ingress e Gateway API conAddIngress()eAddGateway(), inclusa configurazione di route, TLS, hostname e class. Per il teardown,aspire destroyeseguehelm uninstallautomaticamente — niente più script di pulizia manuali in un README.Altre novità rilevanti
Aspire 13.3 include molte altre migliorie degne di nota:
- EF Core migration management: sei comandi (Update Database, Drop Database, Reset Database, Add Migration, Remove Migration, Get Database Status) accessibili da dashboard e CLI, con esecuzione automatica all’avvio dell’AppHost in sviluppo locale
- Azure networking: Azure Front Door, Network Security Perimeters, endpoint privati per Azure OpenAI e Foundry, ACR privato, e upgrade HTTPS automatici per App Service
- JavaScript publishing: tre nuovi modelli di pubblicazione —
PublishAsStaticWebsite(),PublishAsNodeServer()ePublishAsNpmScript()— con integrazione dedicataAddNextJsApp()- CLI: rilevamento automatico di Bun, Yarn e pnpm da lockfile;
aspire dashboardstandalone senza AppHost;aspire docs apiper sfogliare la reference API dal terminale- Estensione VS Code: CodeLens e gutter icon nei file AppHost, Simple Browser integrato per il dashboard, workspace auto-restore
- Docker Compose: supporto Podman tramite rilevamento automatico del runtime
Breaking changes da conoscere prima dell’aggiornamento
Prima di aggiornare, è importante verificare la sezione dei breaking changes ufficiale se si usano:
- Startup hook Kubernetes/Docker Compose/AKS
- Endpoint di gestione degli emulator
- Il server MCP del dashboard
- Il template starter Python
- Output name di Azure network
Come aggiornare
Se si usa già Aspire, l’aggiornamento è semplice:aspire update --self
Per chi parte da zero:aspire init
oppure visitare get.aspire.dev per installare la CLI.Conclusione
Aspire 13.3 consolida la piattaforma su tutti i fronti: l’onboarding diventa più semplice grazie ad Aspireify, l’osservabilità raggiunge il browser conWithBrowserLogs(), il supporto multi-linguaggio avanza verso la GA, e Kubernetes entra ufficialmente come target di deployment. Per i team .NET che operano su Kubernetes o AKS, questa è probabilmente la release più attesa degli ultimi mesi.Fonte: What’s New in Aspire 13.3 — Maddy Montaquila, Microsoft Aspire Blog (7 maggio 2026)
What's New in Aspire 13.3
Aspire 13.3 is here with the Aspireify skill, command results, browser logs, Kubernetes and AKS deployment, and more.Maddy Montaquila (Aspire Blog)
reshared this
MCP Server con Node.js: da un sistema di note su file a MySQL
#tech
spcnet.it/mcp-server-con-node-…
@informatica
MCP Server con Node.js: da un sistema di note su file a MySQL
Cos’è il Model Context Protocol e perché interessa ai developer Node.js
I modelli di linguaggio sono bravi a ragionare e conversare, ma da soli non possono eseguire operazioni reali sui tuoi sistemi. Possono suggerire query SQL o chiamate API, ma non possono farle girare concretamente. Il Model Context Protocol (MCP) risolve questo limite: fornisce ai modelli AI un modo strutturato per interagire con i tuoi strumenti, dai database ai file, fino alle API esterne. Invece di generare testo su ciò che dovrebbe accadere, il modello può invocare funzioni che lo fanno davvero accadere.In pratica, questo apre la strada a strumenti come chatbot che creano e cercano voci nel database, assistenti AI che interrogano tool interni o attivano workflow, e agenti che leggono file, eseguono comandi e restituiscono risultati reali.
In questo tutorial imparerai a costruire il tuo primo MCP server da zero con Node.js e TypeScript: partiremo da un sistema di note basato su file per capire i concetti fondamentali, poi passeremo a un backend MySQL per mostrare come un LLM possa guidare operazioni deterministiche. Entro la fine avrai un server MCP funzionante pronto per essere collegato al client AI che preferisci.
Come funziona MCP
MCP segue un modello client-server: l’applicazione AI fa da client, il tuo codice gira come server. In una configurazione tipica, il client (Claude Desktop, Claude Code, Cursor, ecc.) si interpone tra l’utente e il tuo server, inoltrandogli le richieste e restituendogli i risultati. Il modello stesso non chiama mai direttamente il tuo server: quando l’utente manda un messaggio, il client condivide col modello la lista dei tool esposti dal tuo server. Il modello decide quale tool chiamare (e con quali argomenti), il client esegue la chiamata e rimanda il risultato al modello.Utente → Client MCP → Modello AI → Tool selezionato → Server MCP → RispostaPrerequisiti
Per seguire questo tutorial ti serviranno:
- Node.js 18+
- Familiarità di base con TypeScript
- Un client compatibile con MCP per il test (Claude Desktop, Claude Code, Cursor, ecc.)
- MySQL installato localmente (solo per la sezione avanzata con database)
Costruire il server MCP: sistema di note su file
Iniziamo creando un nuovo progetto Node.js. Questo sarà un sistema di note basato su file, utile per comprendere i concetti prima di introdurre un database.mkdir mcp-notes && cd mcp-notes npm init -y
Installa le dipendenze necessarie: l’SDK MCP per costruire il server, Zod per la validazione degli input e TypeScript per la type safety:npm install @modelcontextprotocol/sdk zod npm install -D typescript @types/node
Apri ilpackage.jsone aggiungi"type": "module"(l’SDK MCP usa i moduli ES) e gli script di build e start:{ "type": "module", "scripts": { "build": "tsc", "start": "node dist/index.js" } }
Crea un filetsconfig.jsonnella root del progetto:{ "compilerOptions": { "target": "ES2022", "module": "Node16", "moduleResolution": "Node16", "outDir": "./dist", "rootDir": "./src", "strict": true, "esModuleInterop": true, "skipLibCheck": true }, "include": ["src/**/*"] }Scrivere il server
Crea il filesrc/index.tscon il codice base del server:import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js"; import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js"; import fs from "fs/promises"; import path from "path"; import { z } from "zod"; const NOTES_DIR = path.join(process.cwd(), "notes"); await fs.mkdir(NOTES_DIR, { recursive: true }); const server = new McpServer({ name: "mcp-notes", version: "1.0.0", }); // I tool verranno aggiunti qui const transport = new StdioServerTransport(); await server.connect(transport);
Questo è un MCP server completo e funzionante: crea la directory delle note, inizializza il server e lo connette tramite stdio per comunicare con un client MCP.Aggiungere i tool
Ogni tool definisce una singola azione che il modello può compiere. Include nome, descrizione, schema di input e una funzione handler. Aggiungiamo i tre tool fondamentali: creazione, lettura e lista delle note.server.tool( "create_note", "Create a new note with a given title and content", { title: z.string().min(1).describe("The note title"), content: z.string().min(1).describe("The body of the note"), }, async ({ title, content }) => { const filename = `${title.replace(/[^a-z0-9_-]/gi, "_")}.txt`; const filepath = path.join(NOTES_DIR, filename); try { await fs.access(filepath); return { content: [{ type: "text", text: `Error: note "${title}" already exists.` }], isError: true, }; } catch {} await fs.writeFile(filepath, content, "utf-8"); return { content: [{ type: "text", text: `Note "${title}" created.` }] }; } ); server.tool( "read_note", "Read the content of a note by its title", { title: z.string().min(1).describe("The title of the note to read") }, async ({ title }) => { const filename = `${title.replace(/[^a-z0-9_-]/gi, "_")}.txt`; try { const content = await fs.readFile(path.join(NOTES_DIR, filename), "utf-8"); return { content: [{ type: "text", text: content }] }; } catch { return { content: [{ type: "text", text: `Error: note "${title}" not found.` }], isError: true, }; } } ); server.tool( "list_notes", "List all available notes", {}, async () => { const files = await fs.readdir(NOTES_DIR); const notes = files.filter(f => f.endsWith(".txt")).map(f => f.replace(".txt", "")); if (notes.length === 0) return { content: [{ type: "text", text: "No notes found." }] }; return { content: [{ type: "text", text: notes.join("\n") }] }; } );Testare il server con Claude Desktop
Compila il progetto connpm run build. Poi apri il file di configurazione di Claude Desktop:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json- Windows:
%APPDATA%\Claude\claude_desktop_config.jsonAggiungi il server sotto la chiave
mcpServers:{ "mcpServers": { "mcp-notes": { "command": "node", "args": ["/percorso/del/progetto/mcp-notes/dist/index.js"], "cwd": "/percorso/del/progetto/mcp-notes" } } }
Riavvia Claude Desktop e prova con prompt come: “Crea una nota chiamata standup con gli aggiornamenti di oggi” oppure “Elenca tutte le mie note”.Passare a MySQL: dati strutturati per uso reale
Il sistema basato su file funziona bene per comprendere i fondamentali, ma ha limiti evidenti. Passare a MySQL mette in luce un pattern importante nel design MCP: il modello decide quale azione intraprendere, ma il tuo codice rimane responsabile di come quella azione viene eseguita. Quando il modello chiamasearch_notes, non genera né esegue SQL da solo: il tuo handler gestisce l’operazione in modo controllato, con query parametrizzate.Installa il driver MySQL:
npm install mysql2
Crea il database e la tabella:CREATE DATABASE mcp_notes; USE mcp_notes; CREATE TABLE notes ( id INT AUTO_INCREMENT PRIMARY KEY, title VARCHAR(255) UNIQUE NOT NULL, content TEXT NOT NULL, created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP );
La versione MySQL del toolcreate_noteinserisce una riga invece di scrivere un file e gestisce i duplicati intercettando l’erroreER_DUP_ENTRY. La versione disearch_notespermette ricerche full-text su titoli e contenuti — una funzionalità che con i file richiederebbe un codice molto più complesso.server.tool( "search_notes", "Search notes by keyword across titles and content", { query: z.string().min(1).describe("Keyword or phrase to search for") }, async ({ query }) => { const like = `%${query}%`; const [rows] = await pool.execute<mysql.RowDataPacket[]>( "SELECT title, created_at FROM notes WHERE title LIKE ? OR content LIKE ? ORDER BY created_at DESC", [like, like] ); if (rows.length === 0) { return { content: [{ type: "text", text: `No notes found matching "${query}".` }] }; } return { content: [{ type: "text", text: rows.map(r => `- ${r.title} (${r.created_at})`).join("\n") }] }; } );Principi per progettare buoni tool MCP
Un tool MCP che funziona in fase di test può fallire in produzione se il modello fraintende quando o come usarlo. Alcune regole pratiche:
- Descrizioni esplicite: frasi come “Gestisce le note” sono troppo vaghe. Usa descrizioni che spiegano chiaramente cosa fa il tool e quando va usato.
- Singola responsabilità: ogni tool deve fare una sola cosa. Strumenti troppo “jolly” costringono il modello a indovinare l’intento.
- Errori azionabili: usa
isError: truecon messaggi che guidano il modello su come riprovare:"Note non trovata. Usa list_notes per vedere quelle disponibili."- Boundary sicuri: mai interpolazione diretta dell’input utente in SQL o comandi shell. Usa sempre query parametrizzate.
Conclusione
Costruire un MCP server con Node.js e TypeScript è sorprendentemente accessibile grazie all’SDK ufficiale. Il pattern che hai imparato in questo tutorial — definire tool con schema Zod, gestire gli errori conisErrore connettere il server via stdio — si scala facilmente a scenari più complessi: integrazione di API REST, automazione di workflow, connessione di agenti AI a sistemi legacy.Il codice completo del tutorial è disponibile su GitHub.
Fonte: How to build your first MCP server with Node.js — LogRocket Blog (Elijah Asaolu, 5 maggio 2026)
How to build your first MCP server with Node.js - LogRocket Blog
Learn how to build an MCP server with Node.js, from a simple file-based setup to a MySQL-backed system for real-world AI tool integration.Elijah Asaolu (LogRocket Blog)
reshared this
Chi comprerà il Trump Phone? Pare nessuno: il T1 Phone rischia di sparire prima del lancio
📌 Link all'articolo : redhotcyber.com/post/chi-compr…
A cura di Silvia Felici
#redhotcyber #news #trumpmobile #t1phone #preordine #telefonino #trumporganization
Trump Mobile aggiorna i termini di preordine del T1 Phone, gettando dubbi sul futuro del progetto. Scopri di più sull'aggiornamentoSilvia Felici (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
L’AI non sta creando “super hacker”. Cosa sta succedendo davvero nel dark web
📌 Link all'articolo : redhotcyber.com/post/lai-non-s…
A cura di Bajram Zeqiri
#redhotcyber #news #intelligenzaartificiale #sicurezzainformatica #criminalitainformatica
Scopri come l'IA generativa influisce sul cybercrimine. Uno studio rivela che l'IA non ha sconvolto l'economia sommersa, ma è diventata uno strumento per gli espertiBajram Zeqiri (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
Il primo zero-day costruito con l’AI: Google sventava un attacco di massa con exploit generato da LLM
#CyberSecurity
insicurezzadigitale.com/il-pri…
Il primo zero-day costruito con l’AI: Google sventava un attacco di massa con exploit generato da LLM
Si parla di:
TogglePer la prima volta nella storia documentata della cybersecurity, un gruppo criminale ha utilizzato un modello di intelligenza artificiale per identificare una vulnerabilità zero-day sconosciuta e trasformarla in un exploit funzionante, pianificando di impiegarla in un evento di compromissione di massa. Google Threat Intelligence Group (GTIG) ha svelato la scoperta l’11 maggio 2026, descrivendo quella che potrebbe essere un punto di svolta nell’evoluzione delle capacità offensive dei threat actor.
La scoperta: un exploit scritto da un LLM
Il team GTIG di Google ha identificato uno script Python contenente un exploit per una vulnerabilità zero-day in un popolare strumento open source di amministrazione web. La falla, un bypass dell’autenticazione a due fattori (2FA), permetteva a un attaccante in possesso di credenziali valide di aggirare completamente il secondo fattore di autenticazione, aprendo la strada a un accesso non autorizzato su larga scala.Ciò che ha immediatamente attirato l’attenzione degli analisti non era tanto la vulnerabilità in sé, quanto le caratteristiche stilistiche e strutturali del codice che la implementava. Lo script presentava una serie di indizi inequivocabili della sua origine artificiale:
- Docstring educativi estremamente dettagliati: ogni funzione era accompagnata da commenti esplicativi esaustivi, in uno stile tipico degli output di Large Language Model addestrati su repository di codice open source e documentazione tecnica.
- Un punteggio CVSS “allucinato”: lo script includeva una valutazione CVSS autogenerata ma non corrispondente a nessuna voce esistente nel National Vulnerability Database — un errore tipico di un modello che genera informazioni plausibili ma non verificate.
- Formato Pythonic “da manuale”: la struttura pulita, la classe
_Cper i colori ANSI, i menu di aiuto dettagliati e la coerenza stilistica riflettono il pattern caratteristico degli output di modelli come GPT-4 o Gemini quando invitati a scrivere strumenti di sicurezza.GTIG ha valutato con alta confidenza che un modello di AI sia stato utilizzato sia per scoprire la vulnerabilità che per costruire l’exploit, pur non avendo prove che il modello specifico impiegato fosse Gemini di Google.
La natura della vulnerabilità: logica semantica, non memoria
Uno degli aspetti più rilevanti della scoperta riguarda la tipologia della vulnerabilità stessa. Non si trattava di un classico bug di memory corruption (buffer overflow, use-after-free) né di un problema di input sanitization — le categorie che i fuzzer tradizionali e gli strumenti SAST (Static Application Security Testing) sono progettati per individuare.La falla era invece un difetto logico semantico ad alto livello: un’assunzione di trust codificata nella logica di enforcement del 2FA, che permetteva a un flusso di autenticazione specifico di saltare la verifica del secondo fattore. Questo tipo di vulnerabilità richiede una comprensione profonda della logica applicativa e dei suoi presupposti impliciti — un dominio in cui i modelli di linguaggio di grandi dimensioni, addestrati su enormi corpus di codice e documentazione, mostrano capacità emergenti superiori agli strumenti di analisi statica convenzionali.
La scoperta conferma ciò che molti ricercatori ipotizzavano ma temevano di veder concretizzato: i modelli AI possono identificare classi di vulnerabilità che sfuggono sistematicamente agli strumenti automatizzati tradizionali.
L’evento pianificato: compromissione di massa sventata
Secondo GTIG, il threat actor aveva pianificato di utilizzare l’exploit in un mass exploitation event — un attacco opportunistico su larga scala verso tutti i sistemi vulnerabili esposti su internet. La proactive discovery da parte di Google ha permesso di interrompere la catena prima che l’exploit venisse utilizzato in produzione.Google ha lavorato con il vendor del software colpito per la divulgazione responsabile della vulnerabilità e il rilascio di una patch correttiva, senza rivelare pubblicamente il nome dello strumento interessato per limitare il rischio di sfruttamento da parte di altri attori durante la finestra di patching.
Il quadro più ampio: AI e cybercrime state-sponsored
L’incidente non è isolato: il report GTIG del maggio 2026 documenta una tendenza sistematica all’adozione di strumenti AI da parte di gruppi APT nation-state. In particolare:
- Cina: operatori state-linked stanno sperimentando sistemi AI per la vulnerability hunting automatizzata e il probing di target — essenzialmente automatizzando il processo di ricognizione e identificazione delle superfici di attacco.
- Corea del Nord (APT45): il gruppo sta utilizzando AI per processare migliaia di exploit check in bulk e arricchire il proprio toolkit, accelerando significativamente i tempi di sviluppo di nuove capacità offensive.
- Gruppi criminali non-state: come dimostrato da questo episodio, anche attori privi di risorse statali hanno ormai accesso a capacità di sviluppo exploit AI-assisted tramite modelli commerciali o open source.
Il democratizzazione degli strumenti AI abbassa significativamente la barriera tecnica per lo sviluppo di exploit sofisticati, storicamente appannaggio di gruppi con risorse e competenze elevate.
Due righe per i difensori
Questa scoperta accelera un dibattito che era rimasto per lungo tempo teorico: se gli attaccanti usano AI per trovare vulnerabilità, i difensori devono adottare gli stessi strumenti con ancora maggiore urgenza. Alcune considerazioni pratiche:
- Rivedere i programmi di bug bounty per includere vulnerabilità logiche e di flusso che i tool tradizionali non rilevano, premiando i ricercatori umani e AI-assisted che identificano difetti semantici.
- Implementare AI-assisted code review nel ciclo di sviluppo, in particolare per la logica di autenticazione e autorizzazione — le aree dove i difetti semantici sono più probabili e più gravi.
- Monitorare i pattern di accesso MFA con particolare attenzione ai bypass del secondo fattore, anche in presenza di credenziali valide.
- Aggiornare tempestivamente tutti gli strumenti di amministrazione web esposti su internet, indipendentemente dalla loro percezione come “strumenti minori”.
Il primo zero-day AI-generated documentato in natura non segna la fine di un’era, ma l’inizio di una nuova fase nella corsa agli armamenti digitali. Le organizzazioni che non integreranno AI nei propri processi di difesa si troveranno strutturalmente svantaggiate rispetto a avversari che già la impiegano sistematicamente per attaccare.
Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access | Google Cloud Blog
Explore GTIG's 2026 report on how adversaries leverage AI for zero-day exploits, autonomous malware, and industrial-scale cyber operations.Google Threat Intelligence Group (Google Cloud Blog)
reshared this
Anthropic’s “dangerous” AI found five flaws in curl, but only one low-severity issue proved to be a real vulnerability.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
@Informatica (Italy e non Italy)
Il Google Threat Intelligence Group (GTIG) ha identificato per la prima volta un exploit zero-day che si ritiene essere stato sviluppato con l’aiuto dell’intelligenza artificiale. Ecco perché il caso dell’AI che entra nel tratto più delicato
reshared this
@Informatica (Italy e non Italy)
In occasione dell’Anti-Ransomware Day, secondo un report, crescono gli attacchi estorsivi “senza crittografia”, l’adozione della crittografia post-quantistica da parte dei gruppi ransomware e l'uso di canali Telegram per distribuire dataset e
reshared this
@Informatica (Italy e non Italy)
Pubblicate le linee guida del G7 sul Software Bill of Materials per l’AI Nel momento in cui l’intelligenza artificiale (AI) entra sempre più profondamente nei processi produttivi, nelle
reshared this
Anton Fellinger
in reply to Cybersecurity & cyberwarfare • • •Cybersecurity & cyberwarfare likes this.
Cybersecurity & cyberwarfare reshared this.