Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

Questo studio analizza l'uso, le percezioni e l'adozione dei modelli linguistici su larga scala (LLM) nelle operazioni di cybersecurity, rivelando che, sebbene gli analisti ne apprezzino l'efficienza per compiti a basso rischio, la loro autonomia è limitata da preoccupazioni riguardo all'affidabilità, alla verifica e ai rischi di sicurezza.

L'essenziale

🛠️ Il Martello Digitale: Come gli Analisti di Sicurezza Usano (e Temono) l'Intelligenza Artificiale

Immagina il centro operativo di sicurezza (SOC) di una grande azienda come una sala di controllo di una centrale nucleare. È un luogo caotico, pieno di luci lampeggianti, allarmi che suonano e migliaia di segnali che gli operatori devono monitorare 24 ore su 24. Il loro compito è trovare l'ago nel pagliaio prima che il pagliaio prenda fuoco.

Negli ultimi anni, è arrivato un nuovo attrezzo in questa sala: i Modelli Linguistici di Grande Dimensione (LLM), ovvero le intelligenze artificiali come ChatGPT. La promessa? Un "super-assistente" capace di fare tutto: leggere i rapporti, scrivere codice e fermare gli hacker.

Ma cosa succede davvero quando gli operatori reali provano questo nuovo "martello"? Uno studio recente, analizzando migliaia di conversazioni su Reddit (il "forum" dove gli esperti di sicurezza chiacchierano), ha scoperto che la realtà è molto più sfumata della pubblicità.

Ecco i 4 punti chiave, spiegati con delle metafore:

1. Chi usa cosa? (Il Martello vs. Il Kit di Sopravvivenza)

Gli studi mostrano che gli analisti non stanno correndo a comprare i costosi "kit di sicurezza AI" creati apposta per loro (come i martelli speciali venduti dai negozi di ferramenta).

• La realtà: La maggior parte usa strumenti generici (come ChatGPT o Copilot), che sono come coltelli svizzeri. Sono versatili, li hanno già in tasca e li usano per tutto.
• Il problema: Gli strumenti specifici per la sicurezza esistono, ma sono come attrezzi di nicchia che pochi conoscono o usano. C'è un "lungo elenco" di prodotti, ma la gente si concentra su pochi nomi famosi.
• In sintesi: Gli analisti preferiscono il coltellino svizzero che hanno già, piuttosto che comprare un attrezzo costoso che non sanno se funziona bene.

2. Come lo usano? (Il Tirocinante vs. Il Capitano)

L'uso dell'AI non è uniforme. Immagina di avere un tirocinante molto veloce ma un po' distratto.

• Cosa fanno bene: Gli analisti usano l'AI per i compiti noiosi e a basso rischio: scrivere bozze di report, creare script di codice di base o riassumere documenti. È come dare al tirocinante il compito di riordinare la scrivania o preparare il caffè.
• Cosa NON fanno: Quasi nessuno lascia che l'AI prenda decisioni critiche da sola (come spegnere un server o bloccare un utente). È come se il capitano della nave dicesse al tirocinante: "Puoi guardare la mappa, ma non toccare il timone finché non ti dico io".
• Il motivo: C'è troppa paura che l'AI sbagli e faccia danni gravi.

3. I Pro e i Contro (Velocità vs. Fiducia)

Gli analisti hanno opinioni contrastanti, un po' come quando si compra un'auto nuova:

• I Pro (La Velocità): L'AI è incredibilmente veloce. Può analizzare 500 allarmi in quello che a un umano ci vorrebbero ore. È come avere un motore turbo che ti fa arrivare prima a destinazione.
• I Contro (La Verifica): Ecco il problema. L'AI a volte "allucina" (inventa cose) o dà risposte sbagliate con una sicurezza disarmante.
  • Metafora: Immagina che il tuo assistente ti dica: "Ho trovato il colpevole!" e ti mostri una foto. Ma se la foto è di un'ombra o di un'immagine inventata, tu devi ricontrollare tutto.
  • Il paradosso: Spesso, il tempo risparmiato dall'AI viene speso tutto a verificare se quello che ha detto è vero. Se l'AI sbaglia, devi correggerla, e questo ti fa perdere tempo.

4. Le Paura Nascoste (Il Prezzo e il Futuro)

Oltre alla tecnologia, ci sono due grandi preoccupazioni:

• Il Costo: Usare queste intelligenze artificiali su grandi quantità di dati costa molto, come pagare un abbonamento a un servizio di streaming che diventa troppo caro se guardi troppe ore. Alcuni si chiedono: "Con questo budget, non sarebbe meglio assumere più persone?"
• La Formazione (Il Circolo Vizioso): Questa è la preoccupazione più profonda. Se l'AI fa tutto il lavoro di base (livello 1), come faranno i giovani analisti a imparare?
  • Metafora: Immagina un apprendista cuoco a cui il robot fa tutto il taglio delle verdure e la cottura. Come farà mai a diventare uno chef esperto se non ha mai toccato un coltello o visto come reagisce la carne al fuoco? C'è il rischio di creare una generazione di supervisori che non sanno più come funziona la cucina.

🎯 La Conclusione: Un Martello Potente, ma con Manico di Vetro

In sintesi, il paper ci dice che l'Intelligenza Artificiale nella cybersecurity è come un martello potentissimo. Può costruire cose velocemente e rompere ostacoli, ma se lo usi senza occhiali protettivi (verifica umana) o se lo lasci nelle mani di chi non sa come funziona, rischi di farti male.

Gli esperti non hanno paura dell'AI, ma hanno paura di fidarsi ciecamente di essa. Per ora, l'AI è un ottimo "assistente", ma il "capitano" deve rimanere sempre un essere umano. Il futuro non è "Uomo contro Macchina", ma "Uomo che impara a guidare la Macchina" senza perdere le proprie competenze.

Sommario tecnico

Titolo

Come un Martello: Può Costruire e Distruggere. Utilizzi, Percezioni e Adozione dei Modelli Linguistici di Grande Dimensione (LLM) nelle Operazioni di Cybersecurity su Reddit.

1. Il Problema

I Centri Operativi di Sicurezza (SOC) affrontano una crisi di sovraccarico informativo: ricevono migliaia di alert giornalieri, con un alto tasso di falsi positivi che porta a affaticamento, stress e burnout degli analisti. Sebbene l'automazione tradizionale (SIEM, SOAR, ML classico) abbia aiutato, le evidenze indicano che i team sono ancora sotto forte pressione.
Di recente, i vendor di cybersecurity hanno iniziato a commercializzare soluzioni autonome basate su Large Language Models (LLM) (es. Microsoft Copilot for Security, CrowdStrike Charlotte AI) per potenziare i flussi di lavoro dei SOC. Tuttavia, esiste una limitata comprensione empirica su come questi strumenti vengano effettivamente utilizzati, percepiti e adottati dai professionisti della sicurezza nella realtà operativa. La ricerca precedente si è concentrata su singoli strumenti o task specifici, mancando di una visione d'insieme basata sul discorso naturale della comunità.

2. Metodologia

Gli autori hanno condotto un'analisi mista (qualitativa e quantitativa) su larga scala, esaminando le discussioni naturali all'interno di forum online di cybersecurity.

• Dati: Sono stati analizzati 892 post pertinenti estratti da 76 thread provenienti da tre subreddit di Reddit attivi nel settore cybersecurity (r/cybersecurity, r/Information_Security, r/ciso).
• Periodo: I dati coprono il periodo da dicembre 2022 a settembre 2025.
• Raccolta Dati:
  • Ricerca basata su parole chiave (es. "SOC AI", "LLM in cybersecurity").
  • Filtraggio dei thread e dei post tramite classificazione assistita da AI (GPT-4.1-mini) e revisione manuale per garantire la rilevanza.
  • Rimozione di metadati identificativi per garantire l'anonimato e l'etica della ricerca (approvata dall'IRB).
• Analisi:
  • Codifica Qualitativa: Utilizzo di una metodologia di codifica ibrida (induttiva e deduttiva) per identificare temi, strumenti, casi d'uso e percezioni. È stata calcolata l'affidabilità inter-codificatori (Krippendorff's Alpha).
  • Analisi Quantitativa: Test statistici (test di proporzione, test chi-quadro) per confrontare la prevalenza di diversi strumenti, casi d'uso e sentimenti (positivi/negativi) su fattori specifici.

3. Contributi Chiave

Il paper offre una delle prime analisi empiriche su larga scala delle percezioni degli operatori di sicurezza riguardo agli LLM, identificando:

1. Una mappa dettagliata degli strumenti e dei casi d'uso effettivamente discussi e adottati.
2. Una valutazione dei fattori critici (affidabilità, sicurezza, costo, autonomia) che guidano o ostacolano l'adozione.
3. Una comprensione delle tensioni sociotecnologiche tra l'efficienza promessa e i rischi reali, con implicazioni per la formazione della forza lavoro futura.

4. Risultati Principali

A. Strumenti e Casi d'Uso (RQ1)

• Dominio degli LLM Generici: Contrariamente alle aspettative, gli LLM generici (es. ChatGPT, Microsoft Copilot) sono discussi e adottati molto più frequentemente (60,5% dei post) rispetto agli strumenti specifici per la sicurezza (43,9%). L'ecosistema degli strumenti "Security-Specific" appare frammentato, con pochi leader di mercato (Security Copilot, Dropzone, Intezer) e molti strumenti minori.
• Casi d'Uso: Le discussioni si concentrano principalmente su:
  1. Triaging e Risposta agli Incidenti (42,77%): Supporto all'investigazione, correlazione e mitigazione.
  2. Scripting e Query (27,08%): Generazione di codice (Python, PowerShell) e query per SIEM.
  3. Reporting e Documentazione (25,85%): Sintesi di report e briefing.
  • Nota: L'adozione attiva tende a spostarsi verso compiti a basso rischio (scripting, report) dove l'analista mantiene il controllo, piuttosto che verso la risposta automatica agli incidenti.

B. Percezioni e Fattori Critici (RQ2)

L'analisi statistica rivela un divario significativo tra i fattori percepiti positivamente e negativamente:

• Positivi: Le Capacità (migliore contestualizzazione, interpretazione dei segnali) e l'Efficienza (riduzione del tempo di triage, da 45 min a <2 min in alcuni casi) sono valutate molto positivamente.
• Negativi: Esistono forti preoccupazioni su:
  • Affidabilità (Reliability): Le "allucinazioni" (risposte confidenti ma errate) e la non deterministica natura degli LLM sono viste come inaccettabili per la sicurezza, dove l'errore può essere critico.
  • Sicurezza e Privacy: Paura di fughe di dati sensibili verso modelli pubblici e aumento della superficie di attacco (es. prompt injection).
  • Autonomia: Gli analisti rifiutano di delegare compiti critici agli LLM senza supervisione umana ("Trust but verify"). L'autonomia è vista come rischiosa.
  • Costo: I costi di inferenza e l'investimento infrastrutturale sono considerati spesso non giustificati dal ROI attuale.

C. Adozione e Implicazioni (RQ3)

• Adozione Attiva: Il 53,6% dei post discute un'adozione attiva, spesso guidata da analisti individuali su compiti di produttività (shadow IT o uso informale), mentre l'adozione di piattaforme enterprise è più lenta e valutativa.
• Barriere: Le promesse dei vendor sono spesso percepite come gonfiate ("hype"). Molti analisti ritengono che le soluzioni tradizionali siano sufficienti per task deterministici e che gli LLM siano "un carro armato per una lotta col coltello" in certi contesti.
• Crisi della Forza Lavoro: C'è una preoccupazione profonda che l'automazione dei task di livello entry-level (L1) possa interrompere il percorso di apprendimento necessario per formare analisti esperti, creando un paradosso dove serve esperienza per supervisionare l'AI, ma l'esperienza non può più essere acquisita sul campo.

5. Significato e Implicazioni

Il paper conclude che gli LLM nelle operazioni di cybersecurity non sono una soluzione "magica" autonoma, ma uno strumento di supporto decisionale che richiede una supervisione umana rigorosa.

• Progettazione dei Sistemi: I futuri sistemi devono comunicare l'incertezza in modo azionabile e specifico per il task, non solo con disclaimer generici, per costruire fiducia.
• Governance: È necessario un approccio bilanciato che permetta l'uso informale degli LLM per la produttività (basso rischio) mentre si sviluppano framework di sicurezza robusti per l'integrazione enterprise.
• Formazione: La formazione degli analisti deve evolvere verso un paradigma di "co-apprendimento" (human-AI co-learning), dove gli analisti imparano a valutare e correggere l'AI, mantenendo le competenze critiche necessarie per gestire scenari ad alto rischio.

In sintesi, gli LLM hanno il potenziale per trasformare i SOC, ma la loro adozione è attualmente frenata da problemi di affidabilità, sicurezza e costi, richiedendo un approccio cauto e centrato sull'uomo.