Le agenzie di sicurezza della coalizione Five Eyes, che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, hanno recentemente pubblicato una guida congiunta dalla quale emerge come l’adozione dell’agentic AI debba essere lenta, cauta e quasi paranoica.

A differenza dei modelli linguistici tradizionali, che operano in un ambiente relativamente isolato, gli agenti AI sono progettati per essere interconnessi. Attingono a database esterni, chiamano API di terze parti e, in molti casi, possiedono permessi di scrittura sui sistemi aziendali. Questa architettura crea una superficie di attacco vasta e frammentata, dove ogni componente aggiuntivo e ogni strumento integrato nel workflow dell’agente rappresentano un potenziale vettore di sfruttamento per attori malevoli. Le agenzie avvertono che, allo stato attuale, dobbiamo dare per scontato che questi sistemi si comporteranno in modo inaspettato, amplificando le fragilità già esistenti all’interno delle organizzazioni.

Per comprendere la gravità della situazione, è utile analizzare uno degli scenari ipotizzati nel rapporto. Immaginiamo un agente AI autorizzato a gestire la distribuzione di patch di sicurezza su tutti gli endpoint aziendali. Se a questo sistema vengono concessi privilegi di scrittura troppo ampi senza una segmentazione rigorosa, un insider malintenzionato potrebbe sottoporre un comando apparentemente innocuo, chiedendo di applicare un aggiornamento e, contemporaneamente, di “fare pulizia” nei log del firewall.

L’agente, programmato per essere efficiente e collaborativo, eseguirebbe entrambi i compiti, cancellando di fatto le tracce di un’attività sospetta semplicemente perché le sue autorizzazioni tecniche glielo permettono, ignorando così il contesto di sicurezza che un operatore umano avrebbe immediatamente colto.

Un altro rischio sistemico evidenziato riguarda la catena di fiducia tra agenti diversi. In un ambiente enterprise maturo, è probabile che più agenti collaborino tra loro. Un agente dedicato agli acquisti potrebbe interagire con sistemi finanziari, archivi di contratti e caselle email. Se un utente malintenzionato riuscisse a compromettere anche solo uno strumento a basso rischio integrato nel flusso di lavoro, potrebbe ereditare i privilegi elevati dell’agente principale.

agentic ai

Crediti: Shutterstock

Attraverso questa escalation, l’attaccante sarebbe in grado di modificare contratti, approvare pagamenti non autorizzati e, aspetto ancora più inquietante, generare log di controllo fittizi per sviare le indagini. La fiducia implicita che un sistema ripone nell’output di un altro diventa così il cavallo di Troia per un disastro finanziario e reputazionale.

Questa nuova frontiera della minaccia informatica mette in luce anche un ritardo strutturale nei nostri attuali framework di difesa. Le risorse standard a cui siamo abituati a fare riferimento, come il progetto OWASP o le matrici MITRE ATLAS, sono attualmente focalizzate principalmente sui rischi legati ai Large Language Models, come il prompt injection classico o la fuga di dati durante l’addestramento.

Il problema è che l’Agentic AI introduce vettori di attacco unici che non sono ancora stati completamente mappati o compresi. La velocità con cui questi agenti possono sondare i punti deboli di un’infrastruttura supera di gran lunga le capacità di monitoraggio umano, rendendo i modelli di minaccia tradizionali parzialmente obsoleti.

La raccomandazione che emerge dalle agenzie dei Five Eyes è una vera e propria sfida alla cultura aziendale moderna, ossessionata dalla velocità di esecuzione. Gli esperti suggeriscono di dare priorità assoluta alla resilienza, alla reversibilità dei processi e al contenimento del rischio, anche a discapito dei guadagni immediati in termini di efficienza.

Per un responsabile IT o un decision maker B2B, questo significa implementare l’AI in modo incrementale, partendo esclusivamente da compiti a basso impatto e monitorando costantemente il comportamento del sistema rispetto a modelli di minaccia in continua evoluzione. Non è più sufficiente testare se un sistema funziona, ma bisogna testare ossessivamente come fallisce.

Un elemento tecnico cruciale sottolineato nel rapporto è il concetto di “fail-safe by default”. I fornitori di soluzioni AI e gli sviluppatori interni devono garantire che, di fronte a scenari di incertezza o a input ambigui, l’agente non cerchi di indovinare la soluzione migliore, ma si arresti immediatamente, delegando la decisione a un supervisore umano. La supervisione umana, la responsabilità esplicita e una governance ferrea non devono quindi essere considerate opzioni di contorno, ma prerequisiti tecnici indispensabili per la messa in produzione.

(Immagine in apertura: Shutterstock)