A cura di Martyn Ditchburn, CTO in Residence, EMEA, Zscaler
Nonostante le dichiarazioni di diversi esperti di IA secondo cui l’intelligenza artificiale generale (AGI) sarebbe dietro l’angolo, non siamo ancora arrivati a quel punto. Dove invece le aziende hanno compiuto notevoli progressi è nell’Agentic AI. Poiché il panorama dell’IA è in costante evoluzione, è utile definire innanzitutto i benefici dell’Agentic AI. In sostanza, si tratta di un modello di IA progettato con un orientamento e un intento specifici, affinché abbia uno scopo. Può anche essere descritto attraverso qualità definite come autonomia, adattabilità e persistenza nel perseguire obiettivi predefiniti. E sebbene si tratti ancora di un’intelligenza relativamente ristretta, la sua capacità di mantenere memoria e adattarsi significa che ci sono differenze significative rispetto all’intelligenza artificiale generativa, che in genere attende i prompt.
Accanto al rapido sviluppo dei modelli di Agentic AI, due fattori legati alla sicurezza devono essere presi in considerazione per evitare la perdita di dati nelle aziende. Innanzitutto, esiste una minaccia crescente: i criminali stanno usando l’Agentic AI per estrarre dati sensibili. Nelle mani sbagliate, tali modelli possono essere utilizzati per sondare attivamente i sistemi alla ricerca di vulnerabilità, invece di basarsi solo su conoscenze statiche. Con questo supporto artificiale, gli hacker possono identificare e sfruttare le debolezze delle aziende in modo molto più efficace, aumentando ritmo e volume degli attacchi.
Il secondo rischio riguarda l’adozione stessa dell’Agentic AI, quando le aziende iniziano a utilizzare tali modelli per collegare e automatizzare i propri processi aziendali. Le aziende cercano uno sviluppo rapido di prodotti e servizi innovativi per ottenere un vantaggio competitivo, e l’IA gioca un ruolo fondamentale nei cicli di go-to-market. Questa velocità potrebbe avere la conseguenza indesiderata della perdita di dati se non vengono implementate misure di sicurezza adeguate.
Ecco quattro aspetti da considerare se un’azienda intende sfruttare l’Agentic AI nel proprio stack tecnologico.
Garantire che l’azienda rimanga in controllo
Gli agenti IA sono progettati per perseguire obiettivi con intento e scopo. Sebbene questa libertà possa produrre grandi risultati, potrebbe anche far emergere comportamenti indesiderati. Man mano che le aziende continuano a usare l’Agentic AI in aree come call center, copywriting e assistenza clienti, è fondamentale che non cadano nell’errore di presumere che un agente possa essere ampiamente affidabile in termini di diritti di accesso ai dati. Per contrastare questo rischio, è utile trattarlo come un utente potente e instancabile, limitando ciò che il modello di Agentic AI può vedere e fare, e prendendo in considerazione, in definitiva, che prima o poi sorprenderà il reparto IT e agirà fuori contesto.
Il CISO e il team di sicurezza si sono guadagnati la reputazione di “Ufficio del No”, e benché possa essere allettante bloccare qualsiasi utilizzo dell’Agentic AI, esistono modi in cui gli agenti possono davvero fare la differenza. La chiave è impostare i giusti parametri perché ciò accada. Le stesse proprietà che aumentano il rischio (velocità, memoria e autonomia) sono anche ciò che permette di ottenere grandi benefici. Per ottenere questi risultati, è fondamentale progettare il blast radius nel modo migliore possibile, applicando i principi Zero Trust all’Agentic AI, in modo simile ai controlli applicati agli utenti. Ad esempio, accessi limitati nel tempo, permessi di privilegio e segmentazione, così da evitare che un errore si ripercuota sull’intero sistema. Inoltre, aggiungendo baseline comportamentali e specifici controlli, i team IT possono garantire che non si stia rallentando gli agenti né l’azienda, ma semplicemente definendo i confini delle loro azioni.
Proteggersi dalla manipolazione
Una delle caratteristiche che rendono l’Agentic AI così utile è la sua memoria. A differenza della generative AI, che risponde ai prompt senza conservare contesto, l’Agentic AI mantiene informazioni tra un’interazione e l’altra. Questo può entrare in conflitto con i framework di protezione dei dati. Come i risultati dell’Agentic AI vengono archiviati, elaborati e rimossi è un aspetto fondamentale di cui i team IT devono tenere conto. Inoltre, questo processo rappresenta un’arma a doppio taglio: se da un lato aiuta l’agente a perseguire obiettivi e costruire risultati tramite ragionamento multi-step, dall’altro lo rende una fonte di informazioni molto appetibile per i criminali.
Ciò significa che le aziende devono affrontare la sfida di configurare i modelli di Agentic AI in modo che non possano essere usati contro di loro. Ciò implica evitare che i malintenzionati (o anche dipendenti interni) possano utilizzare il linguaggio per violare l’intento e aggirare i controlli. Uno degli errori più comuni che fanno le aziende è credere che un singolo livello di policy all’interno dell’agente sia sufficiente a impedirlo.
Le aziende devono adottare un modello di checks and balances per proteggersi da questo rischio, affiancando a ogni agente orientato ai task un agente validatore separato, il cui unico compito è esaminare le azioni, confermare la conformità alle policy e bloccare o mettere in quarantena i comportamenti anomali. È tuttavia importante mantenere questi agenti separati sia logicamente sia operativamente, in modo che qualsiasi criminale sia costretto ad affrontare la sfida di comprometterli entrambi per avere successo. Questo livello di eccellenza operativa non solo mitiga i problemi, ma migliora l’affidabilità — aumentando la probabilità di risultati più puliti e più facilmente auditabili.
Potenziare il coordinamento nella supply chain
Man mano che aumenta l’adozione degli agenti di IA e questi agenti iniziano a lavorare sempre più tra loro, emergono ulteriori rischi. Che ciò avvenga all’interno di un’azienda o all’esterno, questi agenti si scambiano dati fra loro. Ed è proprio qui che le forme più tradizionali e note di rischio della supply chain, che tutti conosciamo, possono essere potenziate dall’automazione.
Per rafforzare le difese contro questi rischi della supply chain, è fondamentale che i dipendenti comprendano che i guardrail interni predisposti non si spostano quando i dati lasciano il perimetro aziendale. In sostanza, le aziende dovrebbero applicare lo stesso rigore utilizzato per SaaS e fornitori, rendendo contrattuali i confini di condivisione dei dati. Un approccio per rafforzare ulteriormente le difese consiste nell’applicare un’architettura basata su proxy alle proprie API e nel rimuoverle da internet, utilizzando i principi Zero Trust per segmentare i dati in base alla loro criticità. Inoltre, per le aziende che operano in settori dove i dati sono estremamente sensibili — come finanza, sanità o difesa — può essere sensato considerare coperture assicurative per comportamenti consequenziali degli agenti.
Gap di responsabilità
A tutti, a un certo punto della propria carriera, è capitato di sbagliare qualcosa o commettere un errore. Di solito, chi ha sbagliato alza le mani, lo ammette e fa del proprio meglio per non ripeterlo. Tuttavia, poiché gli agenti stanno assumendo ruoli tradizionalmente umani, sorge una domanda importante: “Chi è responsabile quando un workflow autonomo prende una decisione sbagliata?”
La legislazione non ha una comprovata esperienza nel tenere il passo con l’innovazione, né mostra segni di voler recuperare terreno nell’era dell’IA. Ecco perché è fondamentale che le aziende integrino la responsabilità fin dal primo giorno. Ciò può essere ottenuto abilitando azioni come modalità di replay per i flussi critici e mantenendo log delle azioni con evidenza di manomissione, per garantire che un agente non violi la conformità legislativa. Oltre a ciò, è importante definire controlli sul ciclo di vita della memoria in modo che siano allineati al GDPR e a regimi simili di protezione dei dati. In questo contesto, può essere utile usare l’IA per proteggere l’IA, con un agente che esegue il task e un altro che impedisce utilizzi e risultati non autorizzati. Agendo in questo modo si abilita la fiducia su larga scala e, grazie alla corretta auditabilità, i problemi di governance diventano problemi ingegneristici che possono essere misurati e migliorati.
Uno sguardo al futuro
È naturale, come spesso accade nel panorama cyber, che se i team di sicurezza usano l’IA per proteggere le loro aziende, anche gli hacker la sfruttino come parte del loro arsenale. Questi criminali stanno già utilizzando sistemi agentici per sondare continuamente i target e generare codice exploit su misura.
La verità è che le reti tradizionali piatte e i controlli box-bound non riescono a tenere il passo, e la potenza di calcolo disponibile è limitata per un’analisi adeguata; di conseguenza, le aziende finiscono per combattere gli attacchi di domani con l’architettura di ieri. Applicando i principi Zero Trust, segmentando in modo aggressivo sistemi e dati e adottando un approccio basato su piattaforma, le aziende saranno in grado di ottenere i benefici dell’Agentic AI rimanendo allo stesso tempo protette da essa.
