Capital One rilascia VulnHunter, un tool AI open source che individua falle di sicurezza nel codice prima degli attacchi
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
News

Capital One rilascia VulnHunter, un tool AI open source che individua falle di sicurezza nel codice prima degli attacchi

[2026-07-18] Author: Ing. Pietro Maiorana
> condividi
Zenithby Meteora Web Il sistema operativo della tua attività. Social, clienti, prenotazioni e fatture in un'unica piattaforma. Palestre, barber, professionisti. Scopri Zenith Demo gratis · senza carta

Capital One ha reso disponibile VulnHunter, uno strumento di sicurezza basato su intelligenza artificiale che scansiona il codice sorgente alla ricerca di vulnerabilità sfruttabili, traccia il percorso che un aggressore seguirebbe per raggiungerle e propone correzioni mirate, il tutto prima che una singola riga di codice venga messa in produzione. Rilasciato con licenza Apache 2.0 su GitHub, il tool rappresenta uno dei tentativi più ambiziosi da parte di un grande istituto finanziario di trasformare le capacità offensive dell'AI in una risorsa difensiva pubblica.

In un momento in cui i team di sicurezza si trovano ad affrontare una crescente ondata di minacce basate sull'AI, la scelta di Capital One di aprire il codice del tool riflette la volontà di contrastare quella che il CISO Chris Nims ha definito come una finestra temporale sempre più breve prima che le capacità di attacco AI di nuova generazione diventino accessibili a qualsiasi avversario. Nims ha dichiarato a VentureBeat che l'azienda ha sentito l'imperativo di rilasciare VulnHunter in open source perché le moderne supply chain software sono profondamente interconnesse e la portata della minaccia AI supera le capacità di una singola organizzazione.

Sponsored Protocol

VulnHunter adotta un approccio incentrato sull'aggressore per scovare le vulnerabilità

A differenza degli scanner tradizionali, che spesso generano un numero elevato di falsi positivi, VulnHunter introduce un'analisi proattiva che parte dai punti in cui un vero malintenzionato entrerebbe in un sistema: API, messaggi di rete o upload di file. Da questi punti, il tool ragiona in avanti attraverso la logica dell'applicazione per determinare se un percorso di attacco sopravvive effettivamente alle difese esistenti. Questo metodo, chiamato "attacker-first forward analysis", imita il comportamento di un penetration tester umano, ma lo automatizza su larga scala.

Il motore di falsificazione riduce drasticamente i falsi positivi

VulnHunter integra un motore di falsificazione che tenta di confutare le proprie scoperte prima che uno sviluppatore le veda. Dopo aver individuato una potenziale vulnerabilità, un flusso di ragionamento strutturato cerca lacune logiche, ipotesi non supportate e condizioni che impedirebbero il successo dell'attacco. Solo le vulnerabilità che superano questo controllo interno arrivano a un revisore umano, accompagnate da una spiegazione completa del percorso di attacco e da una proposta di correzione del codice pronta per la revisione. Capital One ha dichiarato che il tool ha già identificato e risolto vulnerabilità nei propri repository con una velocità e un'efficienza superiori rispetto al triage manuale.

Sponsored Protocol

Perché Capital One ha scelto la strada dell'open source dopo il data breach del 2019

La decisione di rilasciare VulnHunter in open source arriva sullo sfondo di un passato turbolento. Nel luglio 2019, Capital One subì una violazione che espose i dati di circa 100 milioni di persone negli Stati Uniti e 6 milioni in Canada, causando una multa di 80 milioni di dollari da parte dell'Office of the Comptroller of the Currency. L'incidente spinse l'azienda a ripensare radicalmente la propria strategia di sicurezza, investendo massicciamente nell'open source e nella difesa basata sull'AI. Dal 2014, Capital One ha rilasciato oltre 40 progetti open source e nel 2022 ha aderito all'Open Source Security Foundation come membro premier. VulnHunter è il frutto più importante di questo percorso, segnalando che la collaborazione aperta non è vista come beneficenza, ma come una strategia di sicurezza competitiva.

Sponsored Protocol

L'azienda sostiene che le supply chain software moderne sono così interconnesse che una singola vulnerabilità in un componente open source può propagarsi a migliaia di imprese contemporaneamente. Difese proprietarie, per quanto sofisticate, non possono risolvere un problema fondamentalmente comune. Rilasciando VulnHunter, Capital One invita la comunità globale della sicurezza a testare e migliorare lo strumento, costruendo di fatto un'infrastruttura difensiva condivisa. Per un approfondimento sui rischi legati all'AI nel settore finanziario, si veda l'articolo su Jamie Dimon e i pericoli dell'AI Claude Mythos.

Sponsored Protocol

Lo strumento attualmente funziona con il modello Claude Opus 4.8 di Anthropic, ma Capital One assicura che il framework è progettato per funzionare con altri modelli. L'architettura di VulnHunter si basa su tre stadi: analisi forward, motore di falsificazione e remediation assistita. Questo approccio innovativo è descritto in dettaglio nel comunicato ufficiale di Capital One e su VentureBeat.

Fonte: https://venturebeat.com/technology/capital-one-releases-vulnhunter-an-open-source-ai-tool-that-finds-software-flaws-before-hackers-do

> condividi
Ing. Pietro Maiorana

> AUTHOR_EXTRACTED

Ing. Pietro Maiorana

Ingegnere informatico e co-fondatore di Meteora Web, CMO dell'agenzia. Esperto di marketing digitale, social media, advertising, copywriting e SEO.
[ Read Full Dossier ]

> METEORA_WEB // WEB AGENCY

Costruiamo la presenza digitale che la tua azienda merita.

Siti web, social, pubblicità online, e-commerce e hosting performante: ingegnerizzati con metodo da ingegneri informatici a Sciacca, per tutta Italia.

> MW_JOURNAL

> READ_ALL()