Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

soluzioni aziendali

Come mettere in sicurezza gli agenti AI

Home The Outlook
Partecipa al dibattito
Indirizzo copiato

Complice la diffusione di OpenClaw, ritorna attuale il tema della sicurezza degli agenti AI che, prima di essere questione tecnica, è materia prettamente architetturale. Le imprese devono intervenire sui modelli AI, sulle integrazioni e sulla governance

Pubblicato il 4 mar 2026
Giuditta Mosca

Giornalista, esperta di tecnologia

Come mettere in sicurezza gli agenti AI e prevenire le micro-azioni tipiche delle minacce che li attanagliano
Immagine creata con DALL-E

Gli agenti AI sono tra noi da decenni. Se, sul piano teorico, esistono dagli anni Cinquanta del secolo scorso, il concetto di agente intelligente è stato formalizzato circa 30 anni fa. Nei primi anni del decennio corrente, invece, sono stati introdotti gli agenti AI basati sui Large Language Model (LLM).

Durante le ultime settimane sono tornati alla ribalta per via di una loro (assai teorica) democratizzazione avvenuta grazie a OpenClaw, assistente AI Open source orientato all’automazione di task dal quale è disceso Moltbook, il social network sul quale soltanto i bot possono postare contenuti.

Ora, al di là di quanto siano attendibili e solidi OpenClaw e Moltbook, è indubbio che hanno contribuito a rilanciare l’argomento degli agenti AI e della loro sicurezza.

Qui ci concentriamo sui rischi e i rimedi per le aziende al cui interno gli agenti svolgono compiti determinanti.

Sicurezza cyber, la chiave è la partnership tra umano e intelligenza artificiale

Cosa sono gli agenti AI

Una spiegazione esaustiva è più complessa della definizione degli agenti AI, secondo la quale sono sistemi di Intelligenza artificiale progettati per eseguire compiti in autonomia.

Una descrizione assai dozzinale che non include, almeno in superficie, che gli agenti AI osservano un contesto, decidono cosa fare per raggiungere l’obiettivo prefissato e agiscono seguendo passi concreti e non si limitano, dunque, alla generazione di testo o di contenuti multimediali.

Quindi, a differenza di una chatbot canonica (quale ChatGpt, Claude o Gemini) che risponde a domande specifiche, non prende iniziative e non interagisce con strumenti esterni, gli agenti AI rappresentano un paradigma diverso perché hanno comportamenti dinamici e adattivi.

Per fare qualche esempio banale ma lineare e chiaro, un agente AI legge un’email, la classifica e risponde seguendo regole. È anche in grado di estrarre una tipologia prestabilita di dati da una risorsa web e inserirla in un database o, ancora, è in grado di automatizzare un processo, sia questo il monitoraggio e la misurazione di un flusso aziendale, la preparazione di un report oppure la prenotazione di un biglietto aereo.

Il comportamento adattivo di un agente può essere riassunto così: capisce un obiettivo, pianifica il modo di raggiungerlo, esegue i passi necessari, valuta il risultato ottenuto e, se necessario, ripete la catena fino a quando l’obiettivo è pienamente centrato.

Gli agenti AI rappresentano un cambio di paradigma nell’automazione aziendale, passando dalla semplice generazione di contenuti all’ esecuzione autonoma di azioni complesse attraverso sistemi interconnessi.

Questa evoluzione introduce una superficie di attacco completamente nuova che richiede approcci di sicurezza fondamentalmente diversi rispetto ai tradizionali sistemi AI.

Cosa vuole dire tutto ciò in pratica

Per spiegare meglio come si amplia la superficie d’attacco e che cosa vuole dire che un agente AI esegue compiti in autonomia, ritorniamo all’esempio della prenotazione di un biglietto aereo.

Un agente AI può prenotarne uno a patto che abbia accessi e autorizzazioni sufficienti. Nello specifico:

  • Accesso a sistemi di prenotazione: deve interagire con API di compagnie aeree e con sistemi Global Distribution System (GDS) che si occupano della distribuzione di tariffe e inventari di vettori di viaggio, hotel, autonoleggi, eccetera
  • Capacità di esecuzioni transazionali: l’agente deve compilare moduli web, interrogare API, gestire le procedure di autenticazione ed effettuare pagamenti mediante gateway appropriati
  • Gestione dei vincoli: confrontare prezzi, numero di scali, orari e durata del viaggio, gestire errori o intoppi (pagamenti rifiutati, esaurimento dei posti prenotabili durante il processo di prenotazione, eccetera) e avere memoria della sessione di prenotazione in corso.

Un simile agente AI già palesa la necessità di autorizzazioni esplicite e di misure per la sicurezza dei pagamenti, così come esplicita la necessità di accedere a dati personali e quindi di sottostare alla compliance normativa.

Questi tanti step, qui citati in modo generale, si moltiplicano e assumono spessore diverso quando, al posto di prenotare un biglietto aereo, un agente AI viene usato all’interno di flussi aziendali complessi.

Se, per esempio, si immagina un agente AI in un ambiente di produzione industriale, non è avulso dalla realtà pensare che debba monitorare continuamente dati operativi (stato macchine, tempi ciclo, qualità, ordini, scorte), correlarli con modelli predittivi e vincoli aziendali, individuare anomalie o rischi (guasti, ritardi, colli di bottiglia), simulare scenari alternativi e prendere o proporre decisioni operative come, per esempio, ripianificare la sequenza dei lotti, anticipare la manutenzione o riallocare risorse con l’obiettivo di massimizzare l’efficienza, ridurre i tempi di fermo e rispettare le scadenze, operando come un livello decisionale automatizzato sopra i sistemi gestionali e di controllo esistenti.

In questo scenario subentrano le linee di assemblaggio, macchine a controllo numerico e robot industriali, sistemi Manufacturing Execution System (EMS), Enterprise Resource Planning (ERP), i sensori IoT sui macchinari e tutti i dispositivi IoT usati per la produzione, la gestione del magazzino e parametri terzi quali i vincoli di consegna.

L’ampliamento delle superfici d’attacco

Sempre facendo riferimento all’esempio qui sopra, un agente AI e le tecnologie su cui poggia apre a esposizioni di API, al furto di token di autenticazione (OAuth), ad attacchi man-in-the-middle, all’abuso di rate limit e alle tecniche di prompt injection.

Non di meno, c’è il rischio di escalation di privilegi e di movimenti laterali, oltre ai noti rischi di poisoning che attanagliano tutto l’emisfero dei prodotti potenziati dalle intelligenze artificiali.

Le minacce sono tendenzialmente molte di più ma, a fare stato, sono l’aumento del numero degli endpoint, la dipendenza da servizi di terze parti e – oltre alla già citata necessità di concedere all’automazione privilegi elevati – il fatto che gli agenti AI gestiscono dati ad alta sensibilità.

I pericoli emergenti

Sono diversi i casi in cui la violazione di agenti AI ha portato a conseguenze gravi. Non è demonizzazione, ci sono molti motivi per introdurli nelle aziende (qui un approfondimento) ma non a discapito della sicurezza.

Più che parlare di casi singoli, nominando quindi organizzazioni vittime di attacchi, è opportuno parlare delle possibili crisi di sicurezza aziendale.

In tempi recenti, siamo a metà del 2025, è emersa con un certo fragore la vulnerabilità nota con il nome di EchoLeak e catalogata come CVE-2025-32711.

È un caso di studio di rilievo perché non è un bug ma un’esposizione strutturale che colpisce Microsoft Copilot, dimostrando come l’autonomia degli agenti è in grado di trasformare la vulnerabilità di divulgazione delle informazioni in catene di compromissioni attive e automatizzate.

Comprendere EchoLeak

Fino a due anni fa gli assistenti AI erano reattivi e ora ci si trova davanti ad agenti che operano in modo indipendente e pianificano interi flussi di lavoro.

Questa autonomia crea un nuovo tipo di rischio: se qualcuno inserisce istruzioni malevole dentro dati che l’agente legge (email, documenti, database), l’agente le interpreta come comandi veri e le esegue automaticamente.

EchoLeak sfrutta esattamente questo: l’agente non distingue tra “dato” e “istruzione” e, di conseguenza, un contenuto apparentemente innocuo può trasformarsi in un ordine operativo che l’agente porta a termine senza chiedere conferma.

Nella fattispecie, la vulnerabilità CVE-2025-32711 si inserisce in un tessuto di minacce la cui crescita, in difetto degli accorgimenti del caso sui quali ci concentriamo più vanti, rischia di tendere a crescere in modo proporzionale all’adozione di agenti AI da parte delle organizzazioni.

La sequenza di un attacco tipo

L’aspetto più critico di CVE-2025-32711 è che l’intera compromissione avviene senza che l’utente clicchi su link, scarichi allegati o accetti come validi link sospetti. L’autonomia dell’agente trasforma il contenuto passivo in un vettore di esecuzione attiva.

La sequenza dell’attacco si articola così:

  • Iniezione silente: l’attaccante invia o pubblica un messaggio di posta elettronica contenente prompt appositamente ingegnerizzati e spesso invisibili all’occhio umano (utilizzando, per esempio, font microscopici o dello stesso colore dello sfondo).
  • Indicizzazione contestuale: Microsoft Copilot, nel perseguire la sua funzione, indicizza automaticamente il contenuto delle email per arricchire la propria base di conoscenza operativa
  • Attivazione latente: i prompt nascosti rimangono inerti finché l’utente legittimo non effettua una query correlata. In quel momento, l’agente richiama il contenuto dell’email infetta, interpretando le istruzioni dell’attaccante come direttive di sistema valide
  • Esfiltrazione autonoma: una volta attivato, Copilot esegue le istruzioni di esfiltrazione, inviando dati sensibili (come credenziali, segreti aziendali o altri dati sensibili) verso endpoint controllati dall’attaccante.

EchoLeak dimostra il fallimento dei controlli di sicurezza canonici. I firewall per applicazioni web (WAF) e le difese perimetrali sono inefficaci poiché l’attacco opera al layer semantico, sfruttando l’intenzionale capacità dei modelli linguistici di interpretare il linguaggio naturale in modo creativo.

OpenAI stessa ha ammesso, a dicembre del 2025, che fornire garanzie di sicurezza deterministiche contro la prompt injection è una sfida fondamentale dovuta al design intrinseco dei modelli, che non possono distinguere in modo affidabile tra istruzioni di sistema e dati che sembrano istruzioni.

Inoltre, EchoLeak rende obsoleta la formazione tradizionale sulla sicurezza informatica: nessuna consapevolezza dell’utente può prevenire un attacco in cui l’agente processa autonomamente contenuti malevoli in background.

Uscendo dal dominio degli agenti AI di Microsoft Copilot, analisi pubblicate da specialisti del settore mostrano come gli agenti autonomi integrati in sistemi di procurement, infrastrutture operative e piattaforme di orchestrazione possono diventare vettori privilegiati per attacchi complessi fondati su manipolazioni dei dati ed escalation dei privilegi.

Una tecnica di attacco a manipolazioni incrementali ribattezzata Salami Slicing Attack Pattern (descritta nel link sopra) dimostra come un agente con accesso a strumenti e API possa essere indotto a eseguire micro-azioni malevole non rilevabili singolarmente, ma devastanti nel loro effetto cumulativo.

L’effetto cumulativo

Per dare corpo alla generica locuzione “effetto cumulativo”, è utile disegnare alcuni scenari.

Per esempio, un agente AI compromesso può esfiltrare un intero database o cancellare file critici senza compiere azioni palesemente ostili, svolgendo operazioni minime che non superano soglie di detection e non attivano alert specifici.

Altro scenario è la manipolazione graduale di file di configurazioni. L’agente AI controllato dagli attaccanti cambia, uno alla volta, i parametri di sicurezza utili ad allentare le policy di Identity and Access Management (IAM) o a compromettere la rotazione di chiavi. Tutte modifiche che, singolarmente, non appaiono critiche fino a quando non creano una superficie d’attacco difficile da gestire.

In un altro scenario, un agente AI compromesso può effettuare micro-transazioni finanziarie al di sotto delle soglie antifrode. Ognuna di queste è irrilevante ma, nel loro insieme, possono costituire un danno economico di rilievo.

Possiamo quindi dedurre che questi scenari, pure se differenti tra loro, fanno appello a sistemi di difesa nei quali:

  • La detection è basata su soglie statiche o regole isolate
  • L’analisi degli eventi non è correlata in longitudine
  • Vige l’assenza di modelli comportamentali cumulativi sul lungo periodo.

Tutto ciò richiama gli attacchi low and slow già noti nell’emisfero della cybersecurity tradizionale e che ora sbarcano nei meandri dei sistemi autonomi dotati di capacità decisionali e di persistenza operativa.

Le strategie di mitigazione e Framework OWASP 2026

OWASP, ossia Open Web Application Security Project, è una fondazione che si occupa di redigere linee guida sulla sicurezza delle applicazioni. Tra la letteratura che mette a disposizione vi sono ampi riferimenti agli agenti AI e alle vulnerabilità più pericolose o diffuse, così come alle strategie di difesa. Nel caso specifico, l’assetto difensivo appoggia su quattro diversi pilatrsi:

  • Implementazione del principio di “Least agency”: a differenza del semplice Least privilege, questo approccio minimizza non solo i permessi tecnici (API, database), ma anche l’autonomia decisionale e l’ambito di azione dell’agente
  • Isolamento dei contesti: è fondamentale utilizzare contesti separati e isolati per le istruzioni di sistema rispetto ai contenuti forniti dagli utenti o da fonti esterne non fidate come le email.
  • Monitoraggio a runtime e Guardian agent: poiché la prevenzione totale è da considerare di complessa attuazione, le imprese devono investire in sistemi di monitoraggio comportamentale e agenti capaci di rilevare anomalie semantiche e violazioni delle policy a velocità di macchina. I Guardian agent sono, in definitiva, agenti AI che controllano l’operato di sistemi AI
  • Validazione degli output: implementare controlli rigorosi sugli output dell’agente per intercettare tentativi di esfiltrazione di dati sensibili prima che lascino il perimetro aziendale.

Più in generale, non ha senso parlare dei pericoli a cui si espongono le organizzazioni che fanno uso di uno o di un altro agente AI, perché una corretta profilassi si concentra sui rischi potenziali a 360 gradi.

Infatti, il rischio in quanto tale non è figlio delle AI ma dell’orchestrazione operativa che viene concessa agli agenti ai quali, con l’aumentare delle capacità esecutive, deve coincidere una più rigorosa osservanza della governance di sicurezza.

Ciò coincide con politiche Zero Trust, segmentazione, least privilege ma anche auditing e monitoraggio comportamentale continuo.

La necessità di un framework unificato non è un optional, come abbiamo scritto qui, identificando minacce dirette e sottolineando che servono standard condivisi.

Gli strumenti per la difesa

Abbiamo selezionato alcune piattaforme che coprono aspetti fondamentali della cybersecurity per agenti AI aziendali quali:

  • Il rilevamento di agenti non autorizzati e shadow AI
  • La protezione delle identità agentiche e privilegi
  • La governance delle azioni AI con controlli adattivi
  • La prevenzione della perdita di dati causata da agenti
  • La protezione runtime e posture di sicurezza AI.

Cisco mette a disposizione Skill Scanner, strumento Open source prelevabile qui progettato per valutare la sicurezza delle skill degli agenti AI. Il riferimento è ai moduli che potenziano gli agenti messi a disposizione da Claude o OpenClaw e che possono introdurre vulnerabilità di diverso tipo, tra le quali le già citate prompt injection, esfiltrazione dati, esecuzione di script non autorizzati e bypass di controlli di sicurezza interni.

Skill Scanner di Cisco AI Threat and Security Research combina analisi statica, analisi comportamentale e analisi semantica assistita da AI per evidenziare comportamenti sospetti o rischiosi nelle skill prima che vengano adottate in ambienti di produzione, con indicazioni su gravità, file coinvolti e azioni correttive.

CrowdStrike Falcon Secure Your AI è una piattaforma di sicurezza unificata che estende la protezione a modelli, agenti e infrastrutture AI, con rilevamento di shadow AI, protezione dagli exploit adversarial e governance delle identità. Offre visibilità su agenti non autorizzati e strumenti per mitigare minacce su dati, modelli e identità.

Proofpoint mette a disposizione una soluzione focalizzata su protezione dei dati e collaborazione sicura tra persone e agenti AI, con controlli per impedire perdita di dati (data exfiltration) da agenti, governance delle azioni AI e strumenti per automatizzare operazioni di sicurezza.

IBM Guardium AI Security è una piattaforma per la protezione di modelli AI, agenti e casi d’uso generativi, inclusa visibilità, rilevamento di shadow AI e protezione da prompt pericolosi e vulnerabilità di configurazione. Offre monitoraggio continuo e mapping delle esposizioni su framework di sicurezza riconosciuti

Operant AI Agent Protector è un prodotto dedicato alla sicurezza degli agenti AI che fornisce visibilità completa, protezione inline, scoperta di agenti non autorizzati (shadow agents). Mette l’enfasi su least privilege e blocco di escalation di privilegi o tentativi di esfiltrazione. Include enclave sicure per agenti interni e monitoraggio cloud native.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Giuditta Mosca
Giornalista, esperta di tecnologia
Giornalista, esperta di tecnologia

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Regolamento sui Servizi di pagamento

  • nuovo regolamento

    Servizi di pagamento: l’UE smantella la “zona franca” della responsabilità delle Big Tech

    03 Dic 2025

    di Tania Orrù

    Condividi
  • Specifiche di base NIS2; Le prove forensi negli incidenti di sicurezza e la nuova grammatica della responsabilità disegnata dalla NIS 2; Il ruolo del personale aziendale nella preservazione delle prove negli incidenti con possibile rilevanza criminale

  • nuovo paradigma

    Prove forensi negli incidenti cyber: il ruolo del personale nella loro preservazione

    03 Feb 2026

    di Giuseppe Alverone e Monica Perego

    Condividi
  • ai_legittimointeresse_NEW3

  • meme della settimana

    Il legittimo interesse salverà lo sviluppo dei sistemi di AI?

    27 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Cina influencer

  • l'approfondimento

    La parola regolata: Cina e Italia, due modelli opposti di controllo digitale

    24 Ott 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x