Google sta estendendo le capacità di Gemini all’interno della propria piattaforma di threat intelligence, con l’obiettivo di monitorare il dark web alla ricerca di minacce e dati rubati. I sistemi tradizionali di dark web monitoring si basano su pattern matching e regole statiche, tipicamente implementate tramite espressioni regolari. Questo approccio produce però un’elevata quantità di segnalazioni irrilevanti, costringendo i team di sicurezza a filtrare manualmente un rumore informativo che rallenta la risposta operativa.

L’architettura costruita attorno a Gemini introduce una discontinuità, grazie alla quale il modello non cerca semplicemente parole chiave, ma costruisce una rappresentazione strutturata dell’organizzazione da proteggere. In fase iniziale, il sistema aggrega informazioni pubbliche per generare un profilo che include asset tecnologici, struttura aziendale, marchi, figure apicali e contesto operativo. Questo profilo diventa il riferimento semantico attraverso cui vengono valutati i segnali raccolti nel dark web.

La differenza è sostanziale sul piano metodologico. Invece di chiedersi se un contenuto contenga una stringa rilevante, il sistema valuta se esiste una correlazione plausibile tra quanto osservato e la superficie d’attacco dell’organizzazione (è di fatto un passaggio da logiche sintattiche a logiche inferenziali). Quando un attore malevolo dichiara, ad esempio, di vendere accesso a un istituto finanziario con determinate caratteristiche dimensionali e operative, il modello è in grado di stabilire un grado di compatibilità con il profilo analizzato, assegnando una priorità al potenziale rischio.

Questo tipo di correlazione si basa su tecniche di embedding e confronto vettoriale, che permettono di individuare similarità anche in presenza di descrizioni ambigue o incomplete. Il vantaggio immediato è la riduzione drastica dei falsi positivi, storicamente uno dei principali limiti delle piattaforme di threat intelligence. Secondo le metriche interne condivise da Google, il sistema raggiunge livelli di accuratezza prossimi al 98%, un valore che, se confermato in contesti reali, ridefinirebbe le aspettative di efficienza per i Security Operations Center (SOC).

Gemini dark web

Crediti: Shutterstock

Un ulteriore elemento distintivo è l’integrazione tra intelligenza artificiale e analisi umana. Il sistema non opera infatti in isolamento, ma incorpora il know-how del Google Threat Intelligence Group, che monitora centinaia di gruppi di minaccia a livello globale. Questo consente di arricchire il modello con conoscenze contestuali difficilmente deducibili da dati grezzi, come tattiche, tecniche e procedure specifiche degli attori ostili. L’AI diventa così un amplificatore dell’esperienza umana, più che un suo sostituto.

Google sta estendendo l’uso degli agenti AI anche alla risposta operativa. All’interno di Google Security Operations, gli utenti possono integrare agenti capaci di gestire autonomamente fasi critiche del ciclo di difesa tra cui triage degli alert, raccolta delle evidenze, analisi preliminare e formulazione di un verdetto accompagnato da spiegazioni. Questo passaggio introduce un livello di automazione che, fino a poco tempo fa, sarebbe stato considerato eccessivamente rischioso per via della complessità decisionale coinvolta.

L’aspetto più interessante, in questo contesto, è la possibilità per le organizzazioni di sviluppare agenti personalizzati attraverso protocolli come l’MCP. Questo consente di adattare il comportamento dell’AI alle specificità infrastrutturali e normative di ciascun ambiente, mantenendo al contempo un controllo centralizzato su governance e policy. Un passaggio cruciale per l’adozione enterprise, dove la standardizzazione deve convivere con requisiti di compliance e sicurezza molto stringenti.

Rimane tuttavia una questione aperta, ovvero che l’introduzione di agenti intelligenti in ambienti critici espande inevitabilmente la superficie d’attacco. Se viene compromesso, un sistema che ha accesso a dati sensibili e capacità decisionali autonome può infatti diventare un vettore di rischio significativo. La stessa logica che consente di analizzare il dark web con maggiore efficacia potrebbe quindi essere sfruttata da attori ostili per comprendere e aggirare i meccanismi di difesa.

Google sottolinea che il sistema opera prevalentemente su dati pubblici e su informazioni fornite volontariamente dagli utenti, con un’enfasi dichiarata sulla trasparenza. Il bilanciamento tra visibilità operativa e protezione dei dati resta però un tema centrale, soprattutto considerando che l’AI tende a richiedere quantità crescenti di informazioni per migliorare le proprie prestazioni.