Nonostante l’evoluzione frenetica delle minacce cyber e del panorama tecnologico sottostante, nel modello di attacco tradizionale il protagonista è l’essere umano. È l’attaccante a definire obiettivo e strategia, a coordinare le fasi dell’offensiva, a interpretare i feedback e a reagire agli imprevisti.
L’automazione gioca un ruolo chiave, ma resta subordinata all’intelligenza degli operatori. I bot e gli strumenti automatici tradizionali operano con logiche deterministiche: sequenze di comandi, schemi ripetibili, poca o nessuna capacità di adattamento. Negli scenari più avanzati, emergono meccanismi di autoapprendimento, come malware in grado di mutare per eludere i controlli, ma si tratta pur sempre di strumenti realizzati per contesti specifici, senza una reale capacità di ragionamento o di flessibilità strategica. Ma oggi siamo nell’era degli Agenti AI, e potrebbe cambiare tutto.
Come evolvono le minacce: verso gli attacchi intelligenti
Con l’avvento degli agenti AI autonomi, la cybersecurity si trova di fronte a nuove sfide. Parliamo infatti di entità (software) teoricamente in grado di recepire un obiettivo, pianificare autonomamente le azioni per raggiungerlo, correggere la strategia in corso d’opera e agire in autonomia concertando diversi tool disponibili. A livello pratico, un Agente AI sarebbe in grado di:
- eseguire ricognizione mirata su bersagli web e infrastrutture cloud;
- identificare vulnerabilità più o meno note;
- scegliere e adattare exploit a seconda del contesto;
- generare malware su misura;
- agire in modo iterativo in base ai risultati ottenuti.
A tendere, potremmo arrivare a un punto in cui basteranno pochi prompt per far attivare un agente AI malevolo, fargli esplorare l’ambiente, riconoscere i pattern difensivi e orchestrare un attacco completo. Ma quanto siamo lontani da quel momento?
Gli AI Agents diventano una minaccia
Che gli Agenti AI possano essere utilizzati per scopi dannosi è, purtroppo, un’ovvietà. Non c'è infatti nulla di sorprendente: è sufficiente aver interagito con un LLM o aver approfondito il concetto di Agentic AI per comprendere appieno la portata di questa evoluzione e la necessità di affrontarne con razionalità i rischi potenziali.
Secondo la ricerca Catastrophic Cyber Capabilities Benchmark (3CB): Robustly Evaluating LLM Agent Cyber Offense Capabilities, i modelli di frontiera come GPT-4o e Claude 3.5 Sonnet hanno “significative capacità offensive in ambito cyber, poiché riescono ad eseguire autonomamente task complessi come la ricognizione e lo sfruttamento delle vulnerabilità”.
Particolarmente rilevante è anche l’analisi di Anthropic, l’azienda che sviluppa Claude, secondo cui il 2024 ha segnato un vero “zero to one moment” nel dominio cyber. Durante esercitazioni di tipo Capture The Flag (CTF) con l’obiettivo di individuare e sfruttare alcune vulnerabilità, Claude ha compiuto un salto qualitativo importante, passando “dal livello di uno studente liceale a quello di uno studente universitario” in appena un anno. Il progresso è meritevole di attenzione, ma – sempre secondo gli esperti - le capacità dell’agente AI non sono ancora comparabili a quelle di un professionista esperto.
Conclusioni analoghe derivano dai test finalizzati a valutare la capacità del modello di scoprire e sfruttare vulnerabilità in software insicuri, infettare i sistemi e muoversi lateralmente all’interno di una rete. La conclusione è che oggi i modelli non sono ancora in grado di operare con pieno successo in ambienti di rete complessi e dinamici senza supervisione umana. Ma il timore, ovviamente, è che si tratti solo di una questione di tempo.
Anche Google affronta il tema in un report dal titolo Adversarial Misuse of Generative AI, il cui scopo è comprendere come i threat actor utilizzino attualmente il suo modello Gemini. Le conclusioni, caute, si posizionano di fatto sulla medesima lunghezza d’onda di quelle di Anthropic: “l’intelligenza artificiale può essere molto utile per i malintenzionati, ma al momento non rappresenta ancora il game-changer che si tende a immaginare”. Tra le conclusioni, la ricerca di Google afferma che non sono emerse, per ora, tecniche completamente nuove, ma è chiaro che gli LLM stiano già moltiplicando la produttività dei team offensivi, automatizzando fasi che prima richiedevano competenze e risorse umane importanti.
L’utilizzo di AI Agents è ancora limitato
Nonostante il potenziale offensivo degli AI Agents, il loro impiego concreto appare, ad oggi, ancora limitato. A supporto di questa osservazione è utile citare l’iniziativa AI Agent honeypot, di Palisade Research, un sistema trappola progettato per agire come esca verso potenziali agenti AI malevoli, con l’obiettivo di far evolvere le contromisure prima che le minacce diventino pervasive.
Il funzionamento dell’honeypot è semplice: crea dei server che espongono vulnerabilità a bassa complessità, simulando un contesto realistico che potrebbe attirare l’interesse di un agente autonomo. Negli ultimi 6 mesi, il sistema ha registrato quasi 12 milioni di tentativi di accesso, ma tra tutti questi, solo otto sono stati catalogati come potenziali AI Agents, e soltanto due sono stati confermati. Per la conferma sono state utilizzare diverse tecniche tra cui il prompt injection, che fa emergere il comportamento latente di un modello generativo sottostante.
Cosa ci comunicano questi risultati? Sostanzialmente, che al momento l’uso di agenti AI nelle offensive cyber non è un fenomeno su larga scala. Le motivazioni possono essere diverse: dai safeguard implementati dai principali produttori dei modelli di AI alla complessità tecnica necessaria per creare agenti realmente autonomi, fino ai limiti degli LLM stessi, come emerso dall’analisi di Anthropic.
Tuttavia, la traiettoria di sviluppo è chiara, e non è affatto fantascienza immaginare che in pochi anni sarà sufficiente fornire un prompt per avviare l’intero ciclo di un attacco informatico sofisticato.
Difendersi dagli AI Agents è un lavoro di squadra
La strategia di difesa va costruita sul presupposto che (oggi) gli AI Agents non abilitano ancora cambiamenti radicali nella natura degli attacchi, ma sono piuttosto dei potenti acceleratori delle tecniche esistenti. In un primo momento, i threat actor daranno priorità alle tecniche più semplici, con l’obiettivo di ottimizzare il rapporto rischio/beneficio, e solo successivamente evolveranno verso scenari più complessi e sofisticati.
Difendersi dagli AI Agents significa, per ora, intensificare gli sforzi per prevenire attacchi automatizzati più numerosi e intelligenti. Le strategie di rilevamento e risposta agli attacchi rimangono sostanzialmente le stesse, ma è necessario essere consapevoli che la frequenza e la complessità aumenteranno. Questo non richiede una rivoluzione, ma un aumento degli investimenti in tecnologie proattive, in formazione e, soprattutto, nella costruzione di una resilienza cyber robusta.
Il futuro, anche prossimo, resta incerto, ma ciò che è chiaro è che la cybersecurity è sempre più una battaglia quotidiana tra chi attacca e chi difende, ed entrambi gli schieramenti guardano agli AI Agents con grande attenzione. Se da un lato, i criminali informatici sono alla ricerca di strumenti per creare qualcosa di nuovo e imprevedibile, le difese possono evolvere con la stessa velocità perché, di fatto, gli strumenti sono gli stessi.
Presidiare costantemente il fenomeno diventa quindi fondamentale, e in questo senso iniziative come l’AI Agent Honeypot sono determinanti; in parallelo, sarà centrale contare sul supporto continuo di chi sviluppa i modelli di AI, affinché la tecnologia venga progettata in modo da limitare le possibilità di abuso e favorire un utilizzo più sicuro.
