T3MP3ST: il tuo AI coding agent è già un hacker
La narrativa sull'AI agentica parla di produttività. Ma un ecosistema offensivo da 60.000 stelle su GitHub sta emergendo in sordina, e le difese non sono pronte.
Due settimane fa, mentre il dibattito tech era concentrato su benchmark di coding e API pricing, un repository TypeScript chiamato T3MP3ST ha raccolto 4.813 stelle in 14 giorni. Il progetto trasforma Claude Code, Codex, Hermes, o qualsiasi modello locale via Ollama in un cacciatore autonomo di vulnerabilità. Non serve una nuova API key: usa l'agente che hai già installato sulla tua macchina.
Il tuo AI coding agent è già un hacker. T3MP3ST gli mette in mano un arsenale.
La frase è tratta dal README del progetto, ed è più letterale di quanto sembri. Non è un esercizio accademico: su 104 challenge XBEN (la suite di XBOW), T3MP3ST segna 90.1% pass@1, sopra l'85% che XBOW riporta per sé stessa. Su 40 challenge Cybench, risolve 23/40 senza hint. E su 10 CVE reali post-cutoff che il modello non aveva mai visto, trova 8 su 10 con esattezza di file, riga e CWE. Ogni numero è riproducibile con npm run verify-claims: un comando che ricalcola tutti i benchmark dai dati grezzi, 24/24 verifiche verdi.
Non è un tool, è un'architettura
T3MP3ST non è uno scanner di vulnerabilità nel senso tradizionale. È un framework multi-agente con 8 operatori mappati sulla kill chain MITRE ATT&CK: Recon, Scanner, Exploiter, Infiltrator, Exfiltrator, Ghost, Coordinator, Analyst. La kill chain va da recon a exploit a report, orchestrata da una War Room browser-based o da CLI.
Ma il dettaglio tecnico che conta è un altro: il progetto è brutalmente onesto su cosa funziona e cosa no. Ogni componente ha un flag esplicito nel README: ✅ Stable per il motore di recon e l'engine della missione, ⚠️ Experimental per gli operatori di exploitation, lateral movement ed exfiltration, 🚧 Planned per i moduli avanzati di cloud, persistenza e cognizione. E la nota più importante: i benchmark headline sono stati ottenuti con un singolo agente ReAct, non con lo swarm a 8 operatori. Lo swarm è l'architettura del framework, ma la parte end-to-end è ancora sperimentale e non benchmarkata.
Questa onestà è rara, e va presa sul serio proprio per questo. Il progetto non sta vendendo una fantasia di «hacker AI autonomo che buca qualsiasi cosa». Sta dicendo: il motore di base funziona ed è pericolosamente efficace. Il resto è in costruzione, e ve lo diciamo apertamente.
Keyless: il paradigma che cambia tutto
La caratteristica più dirompente di T3MP3ST non è tecnica ma architetturale: è keyless. Non richiede una nuova API key, un nuovo abbonamento cloud, o un nuovo tenant. Usa l'agente AI che hai già autenticato sulla tua macchina.
Il progetto include anche un egress-scope containment attivo di default: una volta impostato un target, gli strumenti di rete rifiutano host pubblici fuori scope. E c'è una pipeline di coordinated disclosure che produce bozze per i vendor con CVSS e pannello di refutazione. Il README è esplicito: «solo test autorizzati».
Ma il punto non è se T3MP3ST verrà usato in modo etico o meno. Il punto è che la barriera tecnica all'uso offensivo dell'AI agentica è appena crollata.
L'iceberg sotto la superficie
T3MP3ST è il progetto più visibile, ma non è solo. L'ecosistema offensivo basato su AI agent su GitHub si avvicina a 60.000 stelle aggregate (calcolo sui progetti con oltre 1.000 stelle a luglio 2026). Ecco cosa c'è oltre la punta:
| Progetto | Stelle | Cosa fa |
|---|---|---|
| promptfoo | 23.315 | Red teaming e vulnerability scanning per prompt, agent e RAG: usato da OpenAI e Anthropic |
| HexStrike AI | 10.337 | MCP server che espone 150+ tool di cybersecurity a qualsiasi AI agent |
| Viper | 5.136 | Adversary simulation e red teaming con AI |
| Decepticon | 4.735 | Agente di hacking autonomo per red team |
| AI-Infra-Guard | 4.127 | Piattaforma full-stack di AI red teaming di Tencent |
| Raptor | 3.331 | Claude Code come agente offensivo/difensivo |
| DeepTeam | 2.233 | Framework per red team di LLM e AI agent |
Non è una coincidenza che questi progetti stiano crescendo in parallelo. Siamo all'intersezione di tre tendenze: modelli sempre più capaci di ragionamento multi-step, tool calling nativo negli agent, e infrastrutture di deploy che rendono banale orchestrare più modelli. HexStrike AI è emblematico: un server MCP che mette 150+ strumenti di penetration testing direttamente nel prompt dell'agente. Non devi più sapere come si usa Nmap: lo chiedi all'agente e lui lo esegue.
Il divario
Il rapporto tra stelle su progetti offensivi e difensivi (considerando i principali progetti con oltre 1.000 stelle nel perimetro offensivo e tutti quelli identificati in ambito difensivo) è di circa 37:1. Per ogni stella su uno strumento di difesa per AI agent, ce ne sono 37 su strumenti di attacco. Ecco il panorama difensivo:
- brain0 (448 ⭐): Provenance tracking per codice AI-generato. Traccia quale prompt ha prodotto quale commit, rileva drift tra ciò che l'agente ha dichiarato e ciò che ha fatto, e monitora le letture sensibili (DLP). È lo strumento più sofisticato del lotto, ma è essenzialmente una scatola nera passiva.
- Flawless (662 ⭐): AI SRE AgenticOps per Kubernetes con loop discover-diagnose-preview-approve-execute-verify-learn.
- kill-ai-slop (510 ⭐): Rilevamento pattern di codice AI-generato: più un sintomo culturale che una difesa.
Nessuno di questi strumenti è inutile. brain0 in particolare è tecnicamente impressionante: osservazione passiva, zero integrazioni richieste negli agent, grafo decisionale che linka ogni commit al prompt che l'ha generato. Ma il numero di stelle racconta una storia: l'ecosistema offensivo sta catalizzando attenzione, contributori e iterazione a una velocità che le difese non possono eguagliare.
Quanto costa violare un AI agent?
La dimensione economica rende il quadro ancora più nitido. Secondo l'ACE Benchmark (Adversarial Cost to Exploit, presentato su HN), violare un AI agent ha un costo misurato in dollari, non in mesi di ricerca:
- Claude Haiku 4.5: $10.21 per essere violato
- Altri modelli: sotto $1.15
Questo significa che il costo marginale di un attacco riuscito contro un sistema agentico è inferiore al costo di un caffè. Non stiamo parlando di APT finanziati da stati-nazione: stiamo parlando di un attaccante con una carta di credito e un prompt ben scritto.
Nella cybersecurity tradizionale, l'attaccante deve investire più del difensore. Nell'AI agentica, il rapporto si è invertito: difendere costa ordini di grandezza più che attaccare.
Cosa significa per chi sviluppa (oggi)
La domanda non è «dovremmo preoccuparci», ma «cosa facciamo ora». Ecco tre cose che un team che usa AI agent dovrebbe considerare da subito:
- Audit della superficie agentica: Quanti agenti diversi hanno accesso ai vostri sistemi? Con quali credenziali? Con quale scope? Il fatto che un agente sia autorizzato a scrivere codice non significa che debba avere accesso alle variabili d'ambiente di produzione o ai secret di deploy. T3MP3ST è keyless perché sfrutta l'agente già presente: il vostro perimetro di fiducia per gli agent è il vostro perimetro di attacco.
- Provenance tracking obbligatorio: brain0 è ancora piccolo, ma l'idea che ogni commit debba essere tracciabile al prompt che l'ha generato è destinata a diventare uno standard. Sapere chi ha fatto un commit (un agente, con quale prompt, leggendo quali file) non è più un lusso da compliance avanzata: è l'unico modo per fare incident response quando l'attaccante è un altro agente AI.
- Red teaming interno con gli stessi strumenti: Se T3MP3ST e HexStrike possono testare il vostro perimetro, probabilmente dovreste essere voi i primi a farlo. Gli strumenti sono open source, i benchmark sono pubblici, e il costo è zero oltre al tempo di esecuzione.
Il punto che sfugge ai regolatori
L'AI Act europeo e le discussioni sulla AI safety si concentrano su casi d'uso ad alto rischio: riconoscimento facciale, scoring sociale, veicoli autonomi. Ma il caso d'uso che sta esplodendo sotto i radar è l'AI agentica come vettore offensivo, e non rientra in nessuna delle categorie regolate.
Il problema non è il modello. Il problema è l'agente: un LLM con accesso a strumenti, credenziali e contesto operativo. Votal AI, il team dietro wb-red-team, lo ha espresso con una frase che sintetizza il nodo:
«La più grande vulnerabilità in un sistema agentico non è un bug nel codice: è ciò che un utente rogue o un agente rogue può convincere la tua AI a fare.»
Non è fantascienza. È la stessa dinamica del social engineering applicata a un'entità che esegue comandi a velocità computazionale invece che umana.
Non è allarmismo, è un campanello
T3MP3ST non è il primo tool offensivo basato su AI, e non sarà l'ultimo. Ma la sua traiettoria (4.8k stelle in 14 giorni) e la sua architettura (keyless, riproducibile, onesta) lo rendono un segnale che non si può ignorare.
L'AI agentica sta rendendo obsoleto il modello mentale con cui pensiamo alla sicurezza. Non stiamo più difendendo endpoint, reti e applicazioni: stiamo difendendo agenti autonomi che operano attraverso endpoint, reti e applicazioni, con accesso alle stesse credenziali dei nostri developer. E il rapporto 37:1 tra offensive e difensive non è un dato statistico: è un indicatore anticipato di chi sta investendo nella prossima generazione di minacce, e di chi arriverà in ritardo.