Il prossimo problema di cybersecurity: il software autonomo

Contesto

Il modello di sicurezza informatica tradizionale poggia su un presupposto implicito: il software esegue istruzioni deterministiche. I firewall proteggono i confini di rete, gli antivirus cercano codice malevolo noto, i sistemi IAM controllano accessi e privilegi. Questo modello non copre la classe di sistemi software che prende decisioni proprie — agenti AI, pipeline automatizzate che adattano il comportamento al contesto, sistemi auto-organizzanti — e che in produzione stanno diventando comuni.

Nuove superfici di attacco

Quando il software prende decisioni autonome, ogni decisione diventa un potenziale vettore di attacco. Prompt injection, manipolazione dei contesti, avvelenamento dei dati di training e catene di azioni non supervisionate sono classi di minaccia che i firewall di rete non intercettano.

Uno scenario tipico: un agente con accesso a un database aziendale riceve un documento da analizzare. Nel documento un attaccante ha inserito istruzioni che l’agente interpreta come comandi legittimi. L’agente estrae dati sensibili e li include nella risposta, aggirando i controlli di accesso. È una prompt injection, documentata pubblicamente in più incident report degli ultimi due anni.

La catena di azioni

Il rischio meno evidente non è l’errore singolo, è la catena di azioni. Un agente può eseguire decine di operazioni in sequenza, ciascuna basata sul risultato della precedente. Un errore nel primo anello si propaga e si amplifica lungo i passaggi successivi. In un workflow interattivo un utente noterebbe l’anomalia e si fermerebbe; un agente autonomo, senza layer di governance, prosegue.

Ripensare la sicurezza

La sicurezza per il software autonomo richiede un approccio architetturale nuovo:

• Ispezione in tempo reale delle azioni degli agenti
• Firewall specifici per protocolli AI (es. MCP)
• Modelli di minaccia che includano il comportamento probabilistico
• Registrazione forense di ogni catena decisionale
• Sandboxing granulare per limitare il raggio d’azione degli agenti
• Kill switch automatici basati su anomalie comportamentali

Il baricentro si sposta dal “chi può accedere” al “cosa può fare, con quali limiti e con quali evidenze”. Questo richiede strumenti, competenze e modelli di progettazione diversi da quelli del perimetro di rete.

Conclusione

Il software autonomo è già in produzione in molti settori. I modelli di sicurezza progettati per software deterministico coprono solo una parte delle minacce effettive, e vanno integrati con layer specifici per il comportamento degli agenti. OISG propone un insieme di criteri di adeguatezza (apertura, intelligenza, sicurezza, governance) che rendono esplicito cosa un sistema autonomo deve garantire per essere considerato verificabile.