Vai al contenuto

T3MP3ST: il tuo AI coding agent è già un hacker

La narrativa sull'AI agentica parla di produttività. Ma un ecosistema offensivo da 60.000 stelle su GitHub sta emergendo in sordina, e le difese non sono pronte.

T3MP3ST: il tuo AI coding agent è già un hacker

Due settimane fa, mentre il dibattito tech era concentrato su benchmark di coding e API pricing, un repository TypeScript chiamato T3MP3ST ha raccolto 4.813 stelle in 14 giorni. Il progetto trasforma Claude Code, Codex, Hermes, o qualsiasi modello locale via Ollama in un cacciatore autonomo di vulnerabilità. Non serve una nuova API key: usa l'agente che hai già installato sulla tua macchina.

Il tuo AI coding agent è già un hacker. T3MP3ST gli mette in mano un arsenale.

La frase è tratta dal README del progetto, ed è più letterale di quanto sembri. Non è un esercizio accademico: su 104 challenge XBEN (la suite di XBOW), T3MP3ST segna 90.1% pass@1, sopra l'85% che XBOW riporta per sé stessa. Su 40 challenge Cybench, risolve 23/40 senza hint. E su 10 CVE reali post-cutoff che il modello non aveva mai visto, trova 8 su 10 con esattezza di file, riga e CWE. Ogni numero è riproducibile con npm run verify-claims: un comando che ricalcola tutti i benchmark dai dati grezzi, 24/24 verifiche verdi.

Non è un tool, è un'architettura

T3MP3ST non è uno scanner di vulnerabilità nel senso tradizionale. È un framework multi-agente con 8 operatori mappati sulla kill chain MITRE ATT&CK: Recon, Scanner, Exploiter, Infiltrator, Exfiltrator, Ghost, Coordinator, Analyst. La kill chain va da recon a exploit a report, orchestrata da una War Room browser-based o da CLI.

Ma il dettaglio tecnico che conta è un altro: il progetto è brutalmente onesto su cosa funziona e cosa no. Ogni componente ha un flag esplicito nel README: ✅ Stable per il motore di recon e l'engine della missione, ⚠️ Experimental per gli operatori di exploitation, lateral movement ed exfiltration, 🚧 Planned per i moduli avanzati di cloud, persistenza e cognizione. E la nota più importante: i benchmark headline sono stati ottenuti con un singolo agente ReAct, non con lo swarm a 8 operatori. Lo swarm è l'architettura del framework, ma la parte end-to-end è ancora sperimentale e non benchmarkata.

Questa onestà è rara, e va presa sul serio proprio per questo. Il progetto non sta vendendo una fantasia di «hacker AI autonomo che buca qualsiasi cosa». Sta dicendo: il motore di base funziona ed è pericolosamente efficace. Il resto è in costruzione, e ve lo diciamo apertamente.

Keyless: il paradigma che cambia tutto

La caratteristica più dirompente di T3MP3ST non è tecnica ma architetturale: è keyless. Non richiede una nuova API key, un nuovo abbonamento cloud, o un nuovo tenant. Usa l'agente AI che hai già autenticato sulla tua macchina.

Keyless non è una feature, è una categoria di rischio — Quando uno strumento offensivo non ha bisogno di credenziali nuove perché sfrutta quelle già presenti, il costo di attivazione crolla. Non c'è onboarding, non c'è un secondo fornitore da approvare, non c'è traccia su un billing separato. L'agente che scrive il tuo codice può, con lo stesso accesso, testare le difese del tuo perimetro.

Il progetto include anche un egress-scope containment attivo di default: una volta impostato un target, gli strumenti di rete rifiutano host pubblici fuori scope. E c'è una pipeline di coordinated disclosure che produce bozze per i vendor con CVSS e pannello di refutazione. Il README è esplicito: «solo test autorizzati».

Ma il punto non è se T3MP3ST verrà usato in modo etico o meno. Il punto è che la barriera tecnica all'uso offensivo dell'AI agentica è appena crollata.

L'iceberg sotto la superficie

T3MP3ST è il progetto più visibile, ma non è solo. L'ecosistema offensivo basato su AI agent su GitHub si avvicina a 60.000 stelle aggregate (calcolo sui progetti con oltre 1.000 stelle a luglio 2026). Ecco cosa c'è oltre la punta:

ProgettoStelleCosa fa
promptfoo23.315Red teaming e vulnerability scanning per prompt, agent e RAG: usato da OpenAI e Anthropic
HexStrike AI10.337MCP server che espone 150+ tool di cybersecurity a qualsiasi AI agent
Viper5.136Adversary simulation e red teaming con AI
Decepticon4.735Agente di hacking autonomo per red team
AI-Infra-Guard4.127Piattaforma full-stack di AI red teaming di Tencent
Raptor3.331Claude Code come agente offensivo/difensivo
DeepTeam2.233Framework per red team di LLM e AI agent

Non è una coincidenza che questi progetti stiano crescendo in parallelo. Siamo all'intersezione di tre tendenze: modelli sempre più capaci di ragionamento multi-step, tool calling nativo negli agent, e infrastrutture di deploy che rendono banale orchestrare più modelli. HexStrike AI è emblematico: un server MCP che mette 150+ strumenti di penetration testing direttamente nel prompt dell'agente. Non devi più sapere come si usa Nmap: lo chiedi all'agente e lui lo esegue.

Il divario

Il rapporto tra stelle su progetti offensivi e difensivi (considerando i principali progetti con oltre 1.000 stelle nel perimetro offensivo e tutti quelli identificati in ambito difensivo) è di circa 37:1. Per ogni stella su uno strumento di difesa per AI agent, ce ne sono 37 su strumenti di attacco. Ecco il panorama difensivo:

  • brain0 (448 ⭐): Provenance tracking per codice AI-generato. Traccia quale prompt ha prodotto quale commit, rileva drift tra ciò che l'agente ha dichiarato e ciò che ha fatto, e monitora le letture sensibili (DLP). È lo strumento più sofisticato del lotto, ma è essenzialmente una scatola nera passiva.
  • Flawless (662 ⭐): AI SRE AgenticOps per Kubernetes con loop discover-diagnose-preview-approve-execute-verify-learn.
  • kill-ai-slop (510 ⭐): Rilevamento pattern di codice AI-generato: più un sintomo culturale che una difesa.

Nessuno di questi strumenti è inutile. brain0 in particolare è tecnicamente impressionante: osservazione passiva, zero integrazioni richieste negli agent, grafo decisionale che linka ogni commit al prompt che l'ha generato. Ma il numero di stelle racconta una storia: l'ecosistema offensivo sta catalizzando attenzione, contributori e iterazione a una velocità che le difese non possono eguagliare.

Quanto costa violare un AI agent?

La dimensione economica rende il quadro ancora più nitido. Secondo l'ACE Benchmark (Adversarial Cost to Exploit, presentato su HN), violare un AI agent ha un costo misurato in dollari, non in mesi di ricerca:

  • Claude Haiku 4.5: $10.21 per essere violato
  • Altri modelli: sotto $1.15

Questo significa che il costo marginale di un attacco riuscito contro un sistema agentico è inferiore al costo di un caffè. Non stiamo parlando di APT finanziati da stati-nazione: stiamo parlando di un attaccante con una carta di credito e un prompt ben scritto.

Nella cybersecurity tradizionale, l'attaccante deve investire più del difensore. Nell'AI agentica, il rapporto si è invertito: difendere costa ordini di grandezza più che attaccare.
L'asimmetria economica è il segnale da guardare — Nella cybersecurity tradizionale, l'attaccante deve investire di più del difensore per violare un sistema ben configurato. Nell'AI agentica, il rapporto si è invertito: difendere costa ordini di grandezza più che attaccare, e gli strumenti di difesa non scalano con la stessa velocità degli strumenti di attacco.

Cosa significa per chi sviluppa (oggi)

La domanda non è «dovremmo preoccuparci», ma «cosa facciamo ora». Ecco tre cose che un team che usa AI agent dovrebbe considerare da subito:

  1. Audit della superficie agentica: Quanti agenti diversi hanno accesso ai vostri sistemi? Con quali credenziali? Con quale scope? Il fatto che un agente sia autorizzato a scrivere codice non significa che debba avere accesso alle variabili d'ambiente di produzione o ai secret di deploy. T3MP3ST è keyless perché sfrutta l'agente già presente: il vostro perimetro di fiducia per gli agent è il vostro perimetro di attacco.
  2. Provenance tracking obbligatorio: brain0 è ancora piccolo, ma l'idea che ogni commit debba essere tracciabile al prompt che l'ha generato è destinata a diventare uno standard. Sapere chi ha fatto un commit (un agente, con quale prompt, leggendo quali file) non è più un lusso da compliance avanzata: è l'unico modo per fare incident response quando l'attaccante è un altro agente AI.
  3. Red teaming interno con gli stessi strumenti: Se T3MP3ST e HexStrike possono testare il vostro perimetro, probabilmente dovreste essere voi i primi a farlo. Gli strumenti sono open source, i benchmark sono pubblici, e il costo è zero oltre al tempo di esecuzione.

Il punto che sfugge ai regolatori

L'AI Act europeo e le discussioni sulla AI safety si concentrano su casi d'uso ad alto rischio: riconoscimento facciale, scoring sociale, veicoli autonomi. Ma il caso d'uso che sta esplodendo sotto i radar è l'AI agentica come vettore offensivo, e non rientra in nessuna delle categorie regolate.

Il problema non è il modello. Il problema è l'agente: un LLM con accesso a strumenti, credenziali e contesto operativo. Votal AI, il team dietro wb-red-team, lo ha espresso con una frase che sintetizza il nodo:

«La più grande vulnerabilità in un sistema agentico non è un bug nel codice: è ciò che un utente rogue o un agente rogue può convincere la tua AI a fare.»

Non è fantascienza. È la stessa dinamica del social engineering applicata a un'entità che esegue comandi a velocità computazionale invece che umana.

Non è allarmismo, è un campanello

T3MP3ST non è il primo tool offensivo basato su AI, e non sarà l'ultimo. Ma la sua traiettoria (4.8k stelle in 14 giorni) e la sua architettura (keyless, riproducibile, onesta) lo rendono un segnale che non si può ignorare.

L'AI agentica sta rendendo obsoleto il modello mentale con cui pensiamo alla sicurezza. Non stiamo più difendendo endpoint, reti e applicazioni: stiamo difendendo agenti autonomi che operano attraverso endpoint, reti e applicazioni, con accesso alle stesse credenziali dei nostri developer. E il rapporto 37:1 tra offensive e difensive non è un dato statistico: è un indicatore anticipato di chi sta investendo nella prossima generazione di minacce, e di chi arriverà in ritardo.

GitHub - elder-plinius/T3MP3ST: autonomous red teaming platform; multi-agent offensive-security meta-harness
autonomous red teaming platform; multi-agent offensive-security meta-harness - elder-plinius/T3MP3ST
GitHub - promptfoo/promptfoo: Test your prompts, agents, and RAGs. Red teaming/pentesting/vulnerability scanning for AI. Compare performance of GPT, Claude, Gemini, DeepSeek, and more. Simple declarative configs with command line and CI/CD integration. Used by OpenAI and Anthropic.
Test your prompts, agents, and RAGs. Red teaming/pentesting/vulnerability scanning for AI. Compare performance of GPT, Claude, Gemini, DeepSeek, and more. Simple declarative configs with command li…
GitHub - Brain0-ai/brain0: The black box for AI-written code. Passive decision graph linking every commit to the agent prompts behind it: drift detection, DLP audit of what agents read, evidence-driven risk, MCP memory for coding agents, signed provenance attestations. One command, offline by default.
The black box for AI-written code. Passive decision graph linking every commit to the agent prompts behind it: drift detection, DLP audit of what agents read, evidence-driven risk, MCP memory for c…
GitHub - votal-ai-hq/wb-red-team: Whitebox & Blackbox red-teaming framework for LLMs & Agentic AI apps. It analyzes your app’s source code to discover tools, roles, and guardrails, then generates new attacks chains across several categories and adapts over multiple multi turn rounds to find vulnerabilities
Whitebox & Blackbox red-teaming framework for LLMs & Agentic AI apps. It analyzes your app's source code to discover tools, roles, and guardrails, then generates new attacks chains acro…