Il contesto storico: quando l’AI diventa un’arma a doppio taglio
Nel 2025 e nei primi mesi del 2026, i modelli di intelligenza artificiale di frontiera (come Claude Opus 4.6 e soprattutto Claude Mythos di Anthropic) hanno dimostrato capacità sorprendenti nel trovare vulnerabilità di sicurezza nel codice. Alcuni bug rimasti nascosti per 10-27 anni sono stati individuati in poche ore o giorni, anche in progetti complessi come sistemi operativi, browser e librerie open-source.
Questo progresso ha creato una forte asimmetria: gli attaccanti (anche gruppi criminali non statali) hanno iniziato a usare l’AI per scoprire e weaponizzare zero-day in modo scalabile e a basso costo.
A maggio 2026 Google Threat Intelligence ha documentato il primo caso reale di un gruppo criminale che ha sfruttato un modello AI per trovare e sfruttare una vulnerabilità in uno strumento open-source di amministrazione (bypass di 2FA).
Per l’ecosistema Bitcoin questo potrebbe rappresentare un rischio concreto: progetti open-source come Bitcoin Core gestiscono indirettamente centinaia di miliardi di dollari, ma sono spesso mantenuti da team volontari o con risorse limitate. Gli attaccanti hanno accesso agli stessi potenti LLM, mentre i maintainer faticano a eseguire audit completi e tradizionali, che sono costosi e lenti.
È in questo scenario di urgenza che nasce Loupe.
Cos’è Loupe? Una descrizione semplice
Loupe è uno strumento “scanning-as-a-service” gratuito basato su AI, progettato specificamente per progetti Bitcoin open-source (FOSS). Il nome deriva dallo strumento usato dai gioiellieri per ingrandire e rilevare imperfezioni nelle gemme: l’obiettivo è esattamente lo stesso, ma applicato al codice.
In pratica, Loupe analizza codebase anche di milioni di linee di codice per trovare vulnerabilità di sicurezza prima che lo facciano gli attaccanti, fornendo report di alta qualità accompagnati da casi di test dimostrabili.
Dettagli tecnici e funzionamento
Loupe non è un semplice wrapper su un LLM generico, ma uno strumento specializzato:
- Solo report con proof-of-concept → Per evitare il problema dell’“AI slop” (segnalazioni false o di bassa qualità che sommergerebbero i maintainer).
- Architettura flessibile → Supporta diversi modelli LLM di frontiera. Non è legato a un singolo vendor (OpenAI, Anthropic, Google, ecc.), perché i migliori modelli cambiano rapidamente.
- Layer di ottimizzazione Bitcoin-specifico → Un software layer sviluppato da Spiral e Block che migliora le prestazioni sui progetti Bitcoin e si evolve nel tempo.
- Gestione multi-repository → Molti progetti hanno più repo; Loupe può scansionarli uno per uno.
Tabella di confronto: Scanner tradizionali vs Loupe
| Aspetto | Scanner tradizionali (es. static analysis) | Loupe (AI-powered) |
|---|---|---|
| Velocità su codebase grandi | Media/Lenta | Alta (scalabile) |
| Capacità di trovare zero-day complessi | Limitata | Elevata (dimostrata su progetti reali) |
| Qualità dei report | Molti falsi positivi | Solo con test case dimostrabili |
| Costo per maintainer piccolo | Alto (audit umani) | Gratuito (o bring-your-own-token) |
| Adattamento a Bitcoin | Generico | Ottimizzato e specifico |
Chi sono i proponenti
- Block (l’azienda di Jack Dorsey, ex Twitter/Square) — Attivamente impegnata nello sviluppo Bitcoin.
- Spiral — Organizzazione che dal 2019 finanzia contributor FOSS Bitcoin, fornisce grant e costruisce tool per l’ecosistema. Si occupa di sviluppo, funding e educazione.
L’articolo di annuncio è stato scritto da Elias Rohrer, Jordan Mecom e Thomas Kilbride.
Stato attuale del progetto (maggio 2026)
Loupe è stato lanciato ufficialmente il 12 maggio 2026 ed è nella fase iniziale di rollout controllato.
Progetti già coinvolti nei primi test:
- Bitcoin Core
- BDK
- LDK
- rust-bitcoin
- Cashu
- Blockstream Jade
- bitcoinj
- SRI
Roadmap prevista:
- Block e Spiral eseguono le scansioni e riportano responsabilmente le vulnerabilità ai maintainer.
- Espansione a più progetti.
- Consegnare il controllo completo ai maintainer dei singoli progetti, in modo che possano eseguire scan autonomi.
A chi è rivolto e presupposti per utilizzarlo
Principalmente rivolto a:
- Maintainer e contributor di progetti Bitcoin open-source.
- Chiunque voglia scansionare codebase Bitcoin-related per motivi di sicurezza.
Presupposti per l’uso:
- Per i maintainer: Al momento basta contattare il team (via Discord o X) per richiedere una scansione gratuita. Block e Spiral finanziano le scan che eseguono loro.
- Per uso autonomo: È possibile usare Loupe in self-service, ma occorre portare i propri token di accesso ai modelli LLM (non è ancora completamente plug-and-play).
- Best practices consigliate: fornire file markdown con informazioni chiave sul progetto per migliorare la qualità delle scan.
Risorse ufficiali:
- Articolo completo: Meet Loupe su Substack di Spiral
- Account X: @ProjectLoupe
- Discord e GitHub (per contribuire o partecipare)
Loupe rappresenta una risposta pro-attiva e collaborativa alla nuova realtà della cybersecurity: l’AI non è più solo uno strumento per gli attaccanti, ma può (e deve) essere usata per rafforzare la sicurezza di Bitcoin, uno dei beni pubblici digitali più importanti al mondo.
