Un’intelligenza artificiale che scopre una vulnerabilità in OpenSSL sarebbe già una notizia. Che però ne individui dodici, tutte in una volta, in uno dei codebase più analizzati della storia del software cambia radicalmente il quadro. OpenSSL non è infatti una libreria qualunque. È la colonna portante della crittografia moderna, responsabile della cifratura di circa due terzi del traffico internet globale e presente, direttamente o indirettamente, nel 95% delle organizzazioni IT.

Considerando banche, ospedali, infrastrutture cloud, sistemi governativi e dispositivi embedded, quando OpenSSL sbaglia, l’impatto non è locale ma sistemico. Proprio per questo, da oltre venticinque anni, il suo codice viene passato al setaccio da ricercatori, audit indipendenti e strumenti automatici.

Alcuni giorni fa OpenSSL ha pubblicato un aggiornamento di sicurezza coordinato che corregge dodici zero-day. Una vulnerabilità è classificata come HIGH, con potenziale esecuzione di codice remoto, una come MODERATE e dieci come LOW. Tutte sono state individuate da un sistema di intelligenza artificiale sviluppato da una società chiamata AISLE. Non c’è stato alcun contributo umano diretto nella scoperta iniziale, ma solo nella validazione e nella gestione della disclosure responsabile.

Crediti: Shutterstock

Crediti: Shutterstock

Il dato più inquietante, in realtà, non è il numero, ma l’età di alcune di queste falle. La CVE-2026-22796, ad esempio, è un bug di type confusion nella verifica delle firme PKCS#7. In pratica, OpenSSL legge un valore senza verificarne il tipo reale e finisce per dereferenziare un puntatore non valido quando riceve dati malformati. Il risultato è un crash, quindi un denial of service. La vera anomalia è che questo bug non nasce in OpenSSL, ma proviene da SSLeay, l’implementazione SSL originale scritta da Eric Young a metà anni ’90. Era insomma già lì quando OpenSSL è nato, nel dicembre 1998, ed è sopravvissuto indisturbato per 27 anni.

Non si tratta però di un caso isolato, visto che altre tre vulnerabilità corrette in questo aggiornamento risalgono allo stesso periodo storico. La vulnerabilità più pericolosa del lotto è però la CVE-2025-15467, un buffer overflow sullo stack nel parsing di CMS AuthEnvelopedData per il quale, durante l’elaborazione di messaggi cifrati con AEAD come AES-GCM, OpenSSL copia l’initialization vector in un buffer a dimensione fissa senza verificare che la lunghezza sia valida.

Il punto critico è che questo avviene prima di qualsiasi verifica crittografica. Non servono quindi chiavi valide né autenticazione, ma basta inviare un messaggio costruito ad arte a un sistema che gestisce CMS, come un parser S/MIME o un servizio di verifica documentale. AISLE non si è limitata a segnalare i problemi, ma per cinque vulnerabilità ha proposto patch concrete, accettate e integrate dagli sviluppatori OpenSSL. Altre sei falle sono state individuate in branch di sviluppo e corrette prima di arrivare in produzione.

Questa vicenda evidenzia che mentre esistono bug vecchi di quasi trent’anni nel cuore della crittografia globale, è ragionevole assumere che siano ovunque. Il codice che l’umanità riesce davvero a revisionare è molto più piccolo del codice che effettivamente gira in produzione. Questa distanza continua ad aumentare e con essa la superficie di rischio. Comprendere come funzionano la crittografia, la caccia alle CVE è così diventata una competenza strutturale per chiunque gestisca sistemi moderni e, in tal senso, l’IA si sta dimostrando un’alleata sempre più importante ed efficace.