Betrusted sfondo blu

AI-Augmented Penetration Testing: come usiamo gli agenti AI senza rinunciare al giudizio umano

L’Intelligenza Artificiale sta cambiando molti aspetti della nostra vita. Tutti la utilizzano, compresi i malintenzionati che ne sfruttano le potenzialità per accelerare le proprie attività di attacco dei sistemi informatici, aprendo nuovi orizzonti per chi si occupa di sicurezza.

In questo scenario quindi, il penetration testing deve evolvere.

L’AI-Augmented Penetration Testing integra strumenti di AI agentica nel lavoro umano per accelerare le attività a minor valore operativo e dedicare più tempo all’analisi, allo sviluppo di scenari di attacco e alla validazione delle vulnerabilità.

Non è un penetration test automatico. È un penetration test “human-led”, “AI-accelerated”.

In questo articolo raccontiamo il nostro approccio e perché abbiamo scelto di usare l’AI per amplificare le competenze dell’analista, non per sostituirle.

Il ritmo dell’attacco è cambiato. Quello della difesa deve adeguarsi.

Per decenni, un’analista che ha lavorato nel settore dell’Offensive Security ha svolto attività fondamentalmente manuali: realizzazione di una catena d’attacco, concatenazione di strumenti eterogenei e applicazione di anni di esperienza per trovare ciò che gli altri non vedono. Quel lavoro non è sparito — ma il contesto intorno è cambiato radicalmente.

Da un lato la superficie d’attacco è aumentata: cloud, API, supply chain software, e ora i sistemi AI stessi: LLM, applicazioni RAG, agenti autonomi, aggiungono classi di vulnerabilità che cinque anni fa non esistevano.
Dall’altro, gli attaccanti hanno già adottato l’AI: ricognizione su larga scala, weaponizzazione più rapida degli exploit, social engineering reso credibile dai deepfake. Il risultato è un’asimmetria: mentre un’organizzazione rilascia decine di deploy tra un test e l’altro, il modello di pentest tradizionale , fatica a stare al passo.

Il 2026 è il punto di svolta in cui questa tensione diventa impossibile da ignorare.

Due modelli, una scelta di campo

Il mercato ha risposto dividendosi in due filosofie. Da una parte le piattaforme completamente autonome, che promettono di sostituire l’essere umano, l’analista, con agenti che orchestrano l’intero attacco. Dall’altra l’approccio “expert-led”, AI-augmented, in cui l’AI è un moltiplicatore di forza al servizio dello specialista.

La distinzione non è accademica. Gli agenti autonomi eccellono nell’ampiezza e nella copertura continua, ma il giudizio su cosa costituisce un rischio reale, la validazione di un finding, l’assunzione di responsabilità di fronte a un regolatore restano competenze umane. Un dump di falsi positivi generato da una macchina non è un pentest: è lavoro di triage scaricato sul cliente.

Per una azienda il cui nome è Betrusted, la scelta di campo è naturale. L’AI amplifica il giudizio dell’analista, non lo sostituisce.

Dove si posiziona Betrusted

Questa posizione nasce dal nostro DNA. La nostra ricerca pubblicata: dall’analisi di CVE nel kernel Linux, al red teaming di modelli linguistici con prompt evolutivi, alle catene di relay verso AD CS , è la prova che sappiamo dove finisce l’automazione e dove inizia la competenza. Sappiamo scrivere l’exploit a mano; per questo sappiamo esattamente quale parte del lavoro delegare a un agente e quale no.

Sappiamo anche mantenere la distanza giusta: Betrusted testa, non rimedia. Questa indipendenza strutturale garantisce che il risultato del test non sia mai piegato a vendere una remediation.

AI-Augmented Penetration Testing è il primo tassello di una direzione AI-augmented dell’intero nostro offering. È il punto di partenza, non il punto d’arrivo.

Come funziona l’AI-Augmented Penetration Testing

Il principio operativo è semplice: human-led, AI-accelerated. L’essere umano guida l’ingaggio dall’inizio alla fine; gli strumenti agentici di frontiera comprimono il tempo speso nelle fasi che storicamente erodono le giornate di analisi.

  • Ricognizione ed enumeration. L’AI correla dati di superfici estese e genera in tempi brevi gli script di enumerazione su misura del target, liberando l’analista per l’interpretazione dei risultati.
  • Tooling e harness su misura. Parser, client di protocollo, harness di fuzzing, glue-code: la “plumbing” che di solito consuma ore e che spesso, per vincoli di budget, resta semplicemente fuori scope. L’AI la produce in una frazione del tempo, l’analista la rifinisce.
  • Analisi di codebase estese. Su ingaggi white-box, l’AI effettua il triage di basi di codice ampie segnalando sink e dataflow sospetti; ogni segnalazione passa dalla verifica manuale prima di diventare un finding.
  • Sviluppo di exploit. Lo scaffolding di proof-of-concept e catene di sfruttamento viene accelerato, ma il weaponizing e la validazione restano nelle mani dello specialista: riportiamo vulnerabilità dimostrate, non ipotesi.
  • Reporting. I finding verificati diventano più rapidamente narrativa tecnica ed executive, senza sacrificare chiarezza.

Su tutto vige una regola non negoziabile: ogni risultato è validato manualmente da un analista, e codice e dati del cliente non lasciano il perimetro concordato. Nessuna informazione sensibile viene inviata a modelli pubblici non autorizzati. È l’unico modo per rendere l’AI compatibile con la nostra certificazione ISO 27001 e con i requisiti di DORA e NIS2 e con la fiducia che il nostro nome mette in gioco.

I vantaggi dell’AI-Augmented Penetration Testing

Sul piano tecnico:

  • Più superficie nella stessa finestra temporale. L’accelerazione su enumeration e tooling libera tempo che viene reinvestito in copertura e profondità.
  • Tooling che prima era fuori portata. Harness ed exploit su misura che, per costo/tempo, in un ingaggio tradizionale non si sarebbero costruiti.
  • Sfruttamento più profondo. PoC weaponizzati e verificati, non solo vulnerabilità teoriche.
  • Time-to-report più breve. L’organizzazione riceve prima i risultati su cui agire.

Sul piano commerciale:

  • Più valore per giornata di ingaggio: la stessa competenza rende di più.
  • Profondità prima riservata ai budget premium, resa accessibile.
  • Finestra di rischio ridotta: report più rapido significa remediation più rapida e minore esposizione.
  • Evidenza a supporto della compliance: risultati dimostrati, non assicurazioni, per rispondere ai regolatori.

Il primo passo.

L’Offensive Security non tornerà a essere quella di ieri. La domanda non è più se integrare l’AI, ma come farlo senza perdere il giudizio che rende un pentest affidabile. La nostra risposta è AI-Augmented Penetration Testing: gli agenti per l’ampiezza e la velocità, l’esperto per il giudizio, la validazione e la responsabilità.

È il primo servizio di una roadmap AI-augmented. Se vuoi capire cosa significa per la tua superficie d’attacco, contattaci.

Condividi l'articolo

Scopri come possiamo aiutarti

Troviamo insieme le soluzioni più adatte per affrontare le sfide che ogni giorno la tua impresa è chiamata ad affrontare.