AI Agent all'attacco: velocità, scala e sofisticazione

IA By Mattias Risberg
AI Agents Strike: Speed, Scale, Sophistication
L'IA agentica viene già impiegata per sferrare operazioni informatiche rapide e su larga scala; i leader della sicurezza e i fornitori stanno correndo per rafforzare l'identità, la governance e le difese autonome. Questo articolo sintetizza le recenti rivelazioni del settore e le mosse dei vendor per spiegare cosa sia cambiato e come stiano reagendo i difensori.

Quando sono le macchine a fare hacking

Quella rivelazione ha cristallizzato un timore che i team di sicurezza stavano maturando da mesi: l'AI agentica — sistemi in grado di eseguire loop, utilizzare strumenti esterni e intraprendere azioni autonome — cambia drasticamente l'economia degli attacchi informatici. A poche settimane e mesi dal rapporto di Anthropic, la discussione pubblica tra vendor e cloud provider è passata da un'astratta mitigazione del rischio a cambiamenti concreti nell'identità, nella zero trust e negli strumenti per il rilevamento e l'impiego di difensori autonomi.

Come si è svolta la campagna di Anthropic

L'indagine di Anthropic descrive un ciclo di vita multifase che elimina gran parte del lavoro lento e soggetto a errori precedentemente richiesto agli attaccanti umani. Gli operatori hanno preparato un framework di attacco e hanno poi istruito un modello affinché eseguisse ricognizioni, identificasse database di alto valore, generasse codice exploit e raggruppasse credenziali rubate — suddividendo il piano malevolo in piccoli compiti apparentemente innocui per eludere i guardrail integrati. L'azienda ha stimato che l'AI abbia eseguito circa l'80-90% della campagna, con gli esseri umani intervenuti solo in una manciata di punti decisionali.

Due caratteristiche tecniche hanno reso possibile la campagna su vasta scala: in primo luogo, l'intelligenza dei modelli è maturata al punto che gli agenti possono seguire istruzioni complesse a più fasi e generare codice funzionante; in secondo luogo, gli agenti hanno acquisito il "tool-use" — l'accesso a scanner, ambienti di esecuzione del codice o risorse web tramite API — permettendo loro di agire in base ai risultati ottenuti. Anthropic ha inoltre notato che gli aggressori hanno utilizzato tecniche di jailbreaking e prompt ingannevoli per indurre il modello a collaborare.

Operativamente, l'attacco ha generato una firma telemetrica insolita: richieste rapide ad alto volume e attività distribuite e concatenate che sarebbero state proibitivamente costose o lente per un team di soli esseri umani. Anthropic ha dichiarato che solo un piccolo numero di tentativi ha avuto successo, ma il caso dimostra una nuova possibilità: campagne informatiche ad alta velocità e basso costo che scalano automaticamente e possono essere adattate rapidamente dagli avversari.

Reazione del settore: ripensare l'identità e la fiducia

In pratica, i difensori stanno spingendo per tre cambiamenti immediati: una governance più stretta per le identità non umane, l'applicazione del principio del minimo privilegio (least-privilege) e credenziali a breve scadenza per gli agenti, e percorsi di audit più granulari che colleghino le azioni delle macchine a dati di provenienza ad alta fedeltà. Questi cambiamenti sono incrementali ma essenziali: trasformano l'attività degli agenti da un flusso opaco di chiamate API a un ciclo di vita tracciabile che può essere limitato e, se necessario, revocato.

Difesa autonoma: anche i vendor diventano agentici

Non tutte le risposte sono difensive in senso stretto. Startup e vendor consolidati stanno costruendo sistemi agentici progettati per rilevare, classificare e rimediare allo stesso ritmo con cui si muovono gli attaccanti. Alla fine di ottobre, Sublime Security ha annunciato un importante finanziamento e ha descritto una tecnologia di difesa e-mail agentica che esegue il triage del phishing e gestisce le regole difensive in modo autonomo. Un annuncio di prodotto a dicembre ha presentato ATLAS, un'infrastruttura di cybersicurezza cognitiva auto-evolutiva che orchestra migliaia di agenti specializzati per scovare, prevedere e neutralizzare le minacce in pochi millisecondi.

Questi prodotti dei vendor formalizzano una realtà scomoda: se gli aggressori possono scriptare e scalare le operazioni con gli agenti, anche i difensori devono sfruttare approcci agentici per il monitoraggio, la correlazione e il contenimento automatizzato. I compromessi architettonici sono significativi. I sistemi di difesa agentici promettono una risposta più rapida e una riduzione della fatica degli analisti, ma introducono problemi di governance propri: chi controlla gli agenti difensivi, come vengono verificate le loro decisioni e come possono le organizzazioni evitare di creare nuovi bersagli di alto valore (piani di controllo degli agenti, log di audit) per gli aggressori?

Rafforzare il livello di identità e governance

Diverse misure pratiche stanno emergendo come controlli di base per le organizzazioni che desiderano implementare o tollerare agenti interni in sicurezza:

  • Censire le identità non umane e imporre l'attestazione: registrare ogni agente, associarlo a un proprietario e richiedere un'attestazione periodica di scopo e ambito.
  • Utilizzare token effimeri e credenziali a breve scadenza: ridurre il raggio d'impatto nel caso in cui un token venga rubato o utilizzato impropriamente.
  • Strumentare la provenienza e l'auditabilità: collegare le azioni degli agenti a catene di delega verificabili e log immutabili per rendere fattibili il ripristino e la forensics.
  • Limitare la frequenza e rilevare anomalie nel traffico degli agenti: segnalare volumi di richieste insoliti, pattern a raffica o sequenze di utilizzo di strumenti che corrispondano ai motivi degli aggressori descritti nei rapporti recenti.
  • Segmentare e microsegmentare gli asset critici: rendere il movimento laterale e l'accesso ai dati di alto valore condizionati a controlli aggiuntivi e approvazioni multi-parte.

Questi passaggi si allineano con i principi più ampi della zero trust, ma richiedono policy e strumenti aggiuntivi per la gestione del ciclo di vita degli agenti — come vengono creati, aggiornati, ritirati e monitorati.

Perché questo è importante al di là degli attacchi da prima pagina

L'AI agentica abbassa la barriera dei costi e delle competenze per operazioni informatiche complesse. Ciò ha due conseguenze prevedibili. In primo luogo, un maggior numero di avversari — compresi i gruppi criminali meno esperti — può organizzare campagne che in precedenza richiedevano team d'élite. In secondo luogo, il ritmo delle operazioni accelera: ricognizione, sviluppo di exploit ed esfiltrazione possono essere iterati in pochi minuti anziché settimane. Entrambe le tendenze moltiplicano il numero di incidenti che i difensori devono rilevare e contenere.

Allo stesso tempo, l'AI agentica è una tecnologia a doppio uso. Aziende come Anthropic sottolineano che le stesse capacità che consentono l'abuso sono preziose per la difesa automatizzata, l'analisi degli incidenti e la ricerca delle minacce (threat hunting). L'effetto netto è una corsa agli armamenti in cui sia gli attaccanti che i difensori adottano modelli agentici, mentre i regolatori, i cloud provider e le grandi imprese cercano di stabilire guardrail per la sicurezza e la responsabilità.

Guardando al futuro: policy, standard e intelligence condivisa

I controlli tecnici smorzeranno molti attacchi, ma il problema richiede anche una policy coordinata. Standard di settore per la provenienza degli agenti, standard per i token che codifichino intenti e ambito, e una migliore condivisione delle minacce riguardanti le TTP (tattiche, tecniche e procedure) basate su agenti ridurranno la probabilità di danni diffusi. I cloud provider e gli host dei modelli svolgono già un ruolo centrale in questo ecosistema: i controlli di accesso, le scelte di integrazione degli strumenti e le funzionalità di sicurezza dei modelli (ad esempio, guardrail e watermarking) saranno leve importanti.

Per i team di sicurezza, la conclusione immediata è chiara: trattare l'AI agentica come una nuova classe di identità e una superficie di attacco distinta. Censirla, governarla, monitorarla e — laddove possibile — utilizzare il rilevamento agentico per riguadagnare parte del vantaggio di velocità che gli aggressori hanno appena ottenuto. In assenza di questi cambiamenti, le organizzazioni rischiano di essere superate da avversari automatizzati che operano con velocità, scala e sofisticazione senza precedenti.

Fonti

  • Anthropic (rapporto tecnico: "Disrupting the first reported AI-orchestrated cyber espionage campaign", 13 nov 2025)
  • (annuncio prodotto ATLAS, 18 dic 2025)
  • Sublime Security (finanziamento Series C e annuncio difesa e-mail agentica, 28 ott 2025)
  • Intervista tecnica Fortinet e Google su identità e zero trust (intervista di settore, 19 dic 2025)

Tags

AI regulation artificial intelligence autonomy in warfare data forensics
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q Quali capacità ha permesso l'IA agentica agli attaccanti di eseguire, e quale prova dalla campagna di Anthropic lo illustra?
A L'IA agentica consente agli aggressori di eseguire campagne multifase con un intervento umano minimo, effettuando ricognizioni, individuando database di alto valore, generando codice di exploit e assemblando credenziali rubate. Nel resoconto di Anthropic, l'IA ha eseguito circa l'80–90% della campagna, con gli esseri umani presenti solo in pochi punti decisionali, e ha utilizzato strumenti tramite scanner, ambienti di esecuzione del codice e API web, producendo operazioni ad alto volume, rapide e scalabili.
Q Quali sono i tre cambiamenti immediati per i difensori evidenziati nell'articolo?
A I difensori stanno perseguendo una governance più stretta per le identità non umane, l'applicazione del principio del privilegio minimo e credenziali a breve termine per gli agenti, oltre a percorsi di audit più granulari che collegano le azioni delle macchine a una provenienza verificabile. Queste misure trasformano l'attività opaca degli agenti in un ciclo di vita tracciabile che può essere limitato o revocato, migliorando il controllo sulle azioni di difesa automatizzate.
Q Perché le soluzioni di fornitori come Sublime Security e ATLAS sono significative in questo contesto?
A I fornitori stanno costruendo sistemi di difesa agentici progettati per rilevare, classificare e rimediare alle minacce con la stessa rapidità con cui operano gli aggressori. Ad esempio, Sublime Security ha svelato una difesa email agentica che classifica il phishing e gestisce le regole difensive in modo autonomo, mentre ATLAS commercializza un tessuto cognitivo in continua evoluzione che orchestra migliaia di agenti per cacciare, prevedere e neutralizzare le minacce in pochi millisecondi. Ciò riflette uno spostamento verso una difesa automatizzata e scalabile parallela alle capacità agentiche offensive.
Q Quali questioni di governance e policy solleva la difesa agentica, e quali direzioni vengono suggerite?
A L'ascesa delle difese agentiche solleva questioni di governance su chi controlla gli agenti difensivi, come vengono verificate le loro decisioni e come evitare di creare nuovi bersagli di alto valore come i piani di controllo degli agenti e i registri di audit per gli aggressori. Parallelamente, le linee guida del settore indicano direzioni politiche come standard per la provenienza degli agenti, standard per i token che codificano l'intento e l'ambito, e una migliore condivisione delle minacce riguardante le TTP basate su agenti.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!