Scoprire più vulnerabilità non equivale a essere più al sicuro. È questa la premessa dietro Wayfinder Frontier AI Services, il nuovo servizio di SentinelOne che integra modelli linguistici di frontiera – tra cui Claude Opus 4.7 di Anthropic – con esperti di sicurezza offensiva e difensiva per identificare quali vulnerabilità siano effettivamente sfruttabili in un dato ambiente, separandole dalla massa di quelle che in pratica non portano da nessuna parte.

Il lancio del servizio arriva in un momento in cui l’industria discute animatamente di strumenti come Anthropic Mythos, modello AI focalizzato sulla security al momento disponibile solo ad alcune organizzazioni globali. La posizione di SentinelOne sul punto – espressa sia da Paolo Cecchi, Area Vice President Sales Mediterranean Region, sia da Marco Rottigni, Global Solutions Architect – ridimensiona un po’ l’hype attorno all’emergenza.

Paolo Cecchi Area VP Sales Mediterranean Region SentinelOne

Paolo Cecchi Area VP Sales Mediterranean Region SentinelOne

Mythos non introduce capacità radicalmente nuove rispetto a quanto gli attaccanti già facevano: ha semplicemente reso molto più veloce e scalabile la ricerca di vulnerabilità. Ma la domanda che conta non è quante vulnerabilità esistono, bensì quante siano effettivamente sfruttabili. Secondo Cecchi, scoprirne di più non implica proporzionalmente che quelle aggiuntive siano anche le più pericolose.

Rottigni ha sintetizzato il problema con una metafora: “Una vulnerabilità ti permette di entrare nel cortile del castello, ma se non hai una strategia per andare a rubare i gioielli della corona, lì rimani. Le vulnerabilità sono sempre moltissime e la capacità di rimedio è sempre sottoposta a vincoli nelle risorse. La domanda fondamentale quindi resta: a cosa dare la priorità?”

Wayfinder Frontier AI Services risponde esattamente a questa domanda. Il servizio è costruito su un approccio multi-modello: anziché affidarsi a un singolo LLM, SentinelOne orchestra i modelli più avanzati di diversi produttori combinandoli con la telemetria proprietaria raccolta su decine di milioni di endpoint e con le intelligence di SentinelLabs e Google Threat Intelligence. Il risultato è che le vulnerabilità non vengono solo identificate, ma anche valutate nel contesto ambientale reale dell’organizzazione, mappate in percorsi di attacco end-to-end e corredate di indicazioni su dove interrompere la catena con il maggior costo per l’avversario.

Agenti AI nel SOC: da chatbot a investigatori autonomi

Sul versante delle operazioni di sicurezza, Rottigni ha illustrato come SentinelOne stia superando il modello della chatbot AI specializzata sulla piattaforma – ormai offerta da quasi tutti i vendor – per passare a un uso agentico della GenAI.

Il sistema centrale si chiama Asimov. Quando un analista attiva la funzione di auto-investigazione su un allarme, Asimov non interroga un motore conversazionale, ma distribuisce il lavoro tra più agenti specializzati che operano in parallelo. Uno analizza la telemetria disponibile cercando eventi correlati, un secondo esamina il profilo dell’utente coinvolto nell’Active Directory, un terzo verifica le vulnerabilità dell’asset nell’inventario e cerca eventuali movimenti laterali. Tutti riferiscono ad Asimov, che correla i risultati e produce un report strutturato.

Marco Rottigni Global Solutions Architect di SentinelOne

Marco Rottigni Global Solutions Architect di SentinelOne

Il tempo impiegato è di circa quattro o cinque minuti, contro le due-tre ore che richiederebbe un analista di primo livello. L’obiettivo dichiarato non è sostituire l’analista, ma liberarlo dal lavoro preparatorio: “La GenAI fornisce un semilavorato che avrebbe richiesto a un analista due o tre ore di lavoro nell’arco di quattro minuti, e permette allo stesso analista di continuare la sua attività da un punto di vista molto più nobile, più informato, più efficace”, afferma Rottigni.

La funzionalità di auto-investigazione (Purple AI SOC Analyst) è già disponibile come add-on di licenza. In early availability è invece la nuova funzione di AI Actions per l’hyperautomation: permette di innestare azioni AI nei workflow di risposta, arricchendo automaticamente il contesto di allarmi provenienti da piattaforme integrate come Microsoft Defender, Proofpoint o Zscaler prima che l’analista li prenda in carico. La disponibilità generale è attesa entro poche settimane.

Il pricing: azioni fisse al posto dei token a consumo

Una delle domande più pratiche che emergono quando si parla di agenti AI che orchestrano altri agenti riguarda i costi: chi ha integrato LLM e agenti in produzione sa che le fatture dei token possono riservare spiacevoli sorprese. SentinelOne ha scelto di affrontare il problema prima del lancio. Invece di legare i costi a un consumo di token che può essere molto variabile, specialmente quando si ha a che fare con gli agenti, SentinelOne ha introdotto il concetto di “azioni”: ogni operazione AI – un’auto-investigazione, un’AI Action nel workflow – consuma un numero fisso e predeterminato di azioni, e la quantità mensile di azioni a disposizione è proporzionale al numero di endpoint nel perimetro del cliente. Sono disponibili pacchetti aggiuntivi, ma la quota base è progettata per coprire l’uso ordinario. E in ogni caso, quando l’analista lancia un’investigazione, sa esattamente quale sarà l’impatto sul costo economico.

L’approccio introduce anche una logica di uso consapevole: un file classificato come malicious da un motore statico non giustifica cinque agenti che analizzano l’Active Directory; un allarme di suspicious lateral movement in un segmento critico sì. Il consumo di azioni diventa così anche un incentivo a impiegare la GenAI dove porta valore reale.

Piattaforma, partnership e numeri

Wayfinder Frontier AI Services si innesta su un’architettura costruita attorno al principio dell’apertura. La piattaforma Singularity può importare allarmi da decine di sorgenti esterne (Mimecast, Zscaler, Netskope, AWS CloudTrail, Microsoft Defender e Proofpoint tra le altre) normalizzandoli attraverso un sistema di data pipeline per arricchire il contesto disponibile agli analisti. L’integrazione con Google Threat Intelligence (ex Mandiant) è parte dell’accordo che ha fruttato all’azienda il riconoscimento di Google Cloud Security Partner of the Year 2026.

Sul piano finanziario, Cecchi ha comunicato una crescita superiore al 20% anno su anno, con l’ARR stabilmente oltre il miliardo di dollari per il quinto trimestre consecutivo in utile operativo positivo. SentinelOne è tra le quindici aziende al mondo di pure cybersecurity – senza divisioni di altro tipo – ad aver superato questa soglia. La proiezione per il 2026 è mantenere un tasso di crescita analogo, nonostante le difficoltà macroeconomiche e geopolitiche del contesto attuale.

Nel panorama delle minacce, Cecchi ha evidenziato un cambiamento strutturale: l’AI ha abbattuto il costo e il tempo necessari per identificare target vulnerabili, ampliando lo spettro delle organizzazioni esposte. Il corollario è che la risposta non può restare vincolata alla velocità dell’uomo: i SOC devono adottare strumenti che portino gli analisti almeno alla parità di velocità con gli attaccanti. Il vero competitor, secondo Cecchi, non è tanto questo o quell’altro vendor, quanto l’inerzia delle organizzazioni che rimandano la decisione di agire.