Quando Brian Armstrong, fondatore di Coinbase, afferma che molto presto gli agenti AI eseguiranno più transazioni degli esseri umani su internet, non si tratta di fantascienza speculativa. È una proiezione condivisa da buona parte dell’industria cripto e confermata dalle stime di McKinsey, che valuta tra i 3.000 e i 5.000 miliardi di dollari il volume di commercio globale che potrebbe essere mediato da agenti artificiali entro il 2030. Changpeng Zhao, cofondatore di Binance, spinge ancora oltre questa visione, prevedendo che tali sistemi effettueranno un milione di volte più pagamenti rispetto agli esseri umani, esclusivamente in criptovaluta.

È uno scenario che ridisegna in profondità l’architettura delle transazioni economiche globali. Già oggi gli agenti AI prenotano voli, eseguono codice, gestiscono infrastrutture e operano conti finanziari per conto degli utenti, spesso senza alcuna supervisione umana diretta. È proprio questa autonomia operativa a rendere così rilevante e allarmante quanto emerge da una recente ricerca accademica firmata da studiosi affiliati all’Università della California di Santa Barbara, all’Università della California di San Diego, alla società di blockchain Fuzzland e al World Liberty Financial.

Una vulnerabilità già sfruttata attivamente

Il paper, disponibile su arXiv, si concentra sui cosiddetti LLM router, una componente infrastrutturale che raramente finisce sotto i riflettori del dibattito sulla sicurezza AI. Si tratta di servizi intermediari che si frappongono tra l’utente e il modello linguistico di riferimento con il compito di instradare le richieste in modo efficiente. Il problema è che questa posizione privilegiata nella catena di comunicazione li rende anche un punto di attacco straordinariamente potente.

Un router LLM ha accesso completo a tutto ciò che transita attraverso di lui tra istruzioni, risposte, ma soprattutto dati sensibili. L’utente, ignaro, crede di star comunicando direttamente con un modello affidabile, mentre in realtà le sue informazioni passano attraverso un intermediario che può leggerle, modificarle o esfiltrare in silenzio qualsiasi credenziale.

LLM router

Crediti: Shutterstock

Chaofan Shou, uno dei ricercatori coinvolti nello studio, ha descritto pubblicamente la portata del fenomeno, parlando di 26 router LLM identificati come attivamente malevoli e capaci di iniettare chiamate a strumenti non autorizzati e sottrarre credenziali. In un caso documentato, il wallet Ethereum di un cliente è stato completamente svuotato: 500.000 dollari persi dopo che la chiave privata era transitata in chiaro attraverso uno di questi sistemi.

Il problema della catena di fiducia

Ciò che rende questa vulnerabilità particolarmente insidiosa è la facilità con cui può propagarsi. I ricercatori hanno infatti dimostrato come sia possibile “avvelenare” porzioni dell’ecosistema dei router, inducendo i servizi a redirigere il traffico verso infrastrutture controllate dagli attaccanti. Nel giro di poche ore, il team è riuscito a osservare e potenzialmente controllare circa 400 host downstream, partendo da un singolo punto di compromissione.

È la logica del problema del “link più debole” applicata a un’infrastruttura distribuita e largamente invisibile. Non è sufficiente fidarsi del proprio provider AI, ma è l’intera catena di intermediari che sta tra l’utente e il modello a dover essere verificata e attualmente non esistono garanzie sistemiche in tal senso. Le chiavi private, i token di accesso ai wallet e le credenziali API spesso viaggiano in testo semplice attraverso questi canali e, una volta intercettati, possono essere copiati e riutilizzati all’insaputa dell’utente in qualsiasi momento successivo.

Il contrasto tra le previsioni entusiastiche dei leader del settore e le lacune infrastrutturali emerse dalla ricerca è netto e difficile da ignorare. L’industria cripto e quella AI stanno accelerando verso un modello in cui gli agenti gestiranno quote crescenti di attività finanziaria, anche se l’infrastruttura sottostante non offre al momento le garanzie minime necessarie a rendere quel modello affidabile. Un’istruzione alterata da un router malevolo può compromettere immediatamente un sistema o svuotare un account, proprio perché gli agenti sono progettati per agire in autonomia, senza richiedere conferma umana a ogni passaggio.

(Immagine in apertura: Shutterstock)