Cefriel spiega in un nuovo paper come affrontare la cybersecurity nell’era dei Large Language Models, per difendersi da eccesso di fiducia e fragilità dei modelli
Il crescente utilizzo dei Large Language Model ha generato un’allarmante proliferazione di scenari di minaccia alla cybersecurity, con una distribuzione degli attacchi tutt’altro che ovvia. Il “MIT AI Risk Repository”, che registra oltre 1.700 rischi legati agli LLM, mette in evidenza che il 62% di essi si manifesta dopo il rilascio, cioè quando il modello è già in uso, a contatto con utenti reali, dati esterni e processi aziendali, mentre solo il 13% interessa la fase che precede il rilascio del modello. In particolare, è la combinazione che unisce il fattore umano e l’intenzionalità nella fase di post-deployment (“Human x Intentional x Post-deployment”) a rappresentare lo scenario di minaccia più frequente nel database del MIT, con il 18% dei rischi codificati, racchiudendo la maggior parte degli attacchi cyber che i professionisti della sicurezza incontrano attualmente.
Da queste evidenze è nato il nuovo Instant Paper di Cefriel “Fiducia e fragilità dei Large Language Models”, a cura di Andrea Guerini, Business Development Manager, Du Lin, Cybersecurity Engineer, e Federico Saccani, Cybersecurity Engineer. Il paper analizza il rapporto tra fiducia e vulnerabilità nei Large Language Models (LLM), delinea in modo chiaro e dettagliato le principali combinazioni di rischio legate all’AI e le spiega incrociando la tassonomia causale definita dal “MIT AI Risk Repository” con le vulnerabilità definite dalla “OWASP Top 10 for LLM Applications 2025”, uno dei riferimenti tecnici più aggiornati per le vulnerabilità specifiche dei sistemi linguistici generativi.
“Incrociare le due tassonomie, il MIT AI Risk e l’OWASP Top 10 for LLM, consente di evidenziare come il vero problema di Cybersecurity dei sistemi AI moderni risieda in un eccesso di fiducia verso le persone o l’AI che, con o senza intenzione, può essere innescato. Per orientarsi in un panorama così complesso, diventa fondamentale riferirsi a categorie condivise, come le 7 combinazioni proposte nel paper”, spiega Andrea Guerini.
Tra fiducia e fragilità: come orientarsi?
Il paper presenta i rischi AI attraverso la tassonomia causale del MIT AI Risk Repository, combinando
le tre dimensioni Entity, Intent e Timing. L’obiettivo non è descrivere tutte le possibili combinazioni, ma usare questa griglia per leggere un fenomeno trasversale: l’eccesso di fiducia che utenti, organizzazioni e sistemi applicativi tendono ad attribuire ai modelli generativi.
Incrociando le 7 combinazioni della tassonomia MIT con le vulnerabilità definite dalla OWASP Top 10 for LLM Applications 2025 è infatti possibile andare oltre la semplice domanda “che cosa può andare storto?” per valutare: chi può causare il problema, se un essere umano, il sistema AI stesso o un fattore esterno non chiaramente attribuibile; perché questo avviene, se si tratta di un’azione deliberata, oppure un effetto collaterale di scelte compiute per altri scopi; quando si manifesta, ovvero se il rischio è emerso prima del rilascio, durante lo sviluppo e l’addestramento, oppure dopo il deployment, quando il modello entra in contatto con utenti reali e dati esterni; dove, di conseguenza, bisogna intervenire.
Quando fidarsi troppo diventa un rischio
L’ingresso di un modello generativo all’interno di un processo produttivo – si legge nel paper – rende il perimetro dell’azienda esteso e non più deterministico, sovvertendo il paradigma logico che ha governato l’informatica per decenni e favorendo nuove tipologie di attacco.
In questo contesto, l’eccesso di fiducia interessa due entità distinte: gli esseri umani che costruiscono e usano l’IA (per esempio, nel post-deployment, uno sviluppatore che non sanifica perché “il modello è intelligente”), e l’Intelligenza Artificiale stessa come sistema. In questo secondo caso, quando il sistema viene trattato come un componente deterministico e affidabile — come se il suo output fosse equivalente al risultato verificabile di un processo computazionale classico — si concede all’AI una fiducia che la sua natura non giustifica, poiché il modello non distingue strutturalmente dati da istruzioni.
“Quando interviene l’AI le cose si complicano”, commenta Du Lin. “Il sistema non riesce a distinguere univocamente i dati da gestire rispetto alle istruzioni che riceve. È questa ambiguità di fondo, la confusione tra input informativo e input direttivo, una delle caratteristiche che rende la sicurezza degli LLM diversa da quella del software tradizionale”.
Il framework Zero-Trust AI (ØT-AI)
A fronte delle minacce informatiche, la Cybersecurity ha già elaborato una risposta: il principio dello Zero-Trust. “Never trust, always verify” nasce infatti dall’acquisizione che nessun attore – né un utente autenticato, né un dispositivo interno alla rete, né un processo apparentemente legittimo – può essere considerato affidabile di default.
Come spiegato nel paper, un perimetro non deterministico come l’AI rende ancora più necessaria l’applicazione di questo principio. “Fidarsi dell’AI come se fosse un oracolo – dice Federico Saccani — confondendo fluidità linguistica con accuratezza fattuale — è tanto un errore di progettazione quanto un bias cognitivo. È fondamentale tenere sempre presente che un essere umano competente, o un processo ben intenzionato non rappresentano garanzia sufficiente di correttezza”.
Se nel software tradizionale lo Zero-Trust era una scelta di maturità, in un sistema generativo dove né l’input né l’output sono deterministicamente prevedibili, diventa una necessità strutturale. Proprio per questo, il centro di innovazione digitale Cefriel ha perfezionato il framework Zero-Trust AI (ØT-AI) basato su 7 regole cardine per un’AI sicura in azienda.
L’Instant Paper è disponibile a questo link: Large Language Models e Cybersecurity: fiducia, vulnerabilità e nuovi scenari di rischio – Cefriel.
