AI agent e cybersecurity:il rischio degli insider invisibili

Il rischio cyber non arriva più solo dall’esterno. Oggi sempre più spesso è già dentro i sistemi. Gli AI agent leggono dati, eseguono operazioni, si collegano a strumenti e prendono decisioni operative al posto nostro. Non sono semplici software: sono entità che agiscono.

Ed è proprio qui che nasce il problema. Un agente con accesso a documenti, API, ambienti cloud o strumenti aziendali non è neutro: è un insider digitale. Può essere utile, veloce, efficiente. Ma può anche diventare un punto di ingresso, un vettore di attacco o un rischio difficile da controllare, soprattutto quando autonomia e permessi crescono più velocemente delle difese.

La cybersecurity sta entrando in una nuova fase. Non si tratta più solo di proteggere sistemi dall’esterno, ma di capire come governare ciò che agisce già all’interno. E gli AI agent sono il primo vero banco di prova di questo cambiamento.

Perché gli AI agent cambiano davvero il problema della sicurezza

La differenza tra un normale sistema di AI e un agente sta soprattutto nell’azione. Un agente non si limita a generare testo o suggerimenti: può usare strumenti, connettersi a servizi esterni, concatenare compiti, recuperare informazioni, prendere iniziative e portare avanti workflow. In pratica, diventa un esecutore.

Questo cambia il perimetro della sicurezza in modo radicale. Se un sistema ha autonomia operativa, allora non basta più chiedersi se il modello sia accurato. Bisogna chiedersi:

• che cosa può fare davvero;
• a quali dati può accedere;
• con quali strumenti può interagire;
• chi gli ha dato quei permessi;
• come si controlla il suo comportamento in tempo reale.

In altre parole, l’agente diventa una nuova superficie di attacco. E spesso è una superficie di attacco privilegiata, perché opera già all’interno dell’infrastruttura. Da qui nasce la nuova ossessione del settore: trattare gli agenti come una forza lavoro digitale da identificare, limitare, monitorare e, quando serve, bloccare.

Chi segue questi temi sa che non è un discorso astratto. Lo avevamo già visto parlando di cosa sono davvero gli AI agent e del fatto che l’autonomia, senza governo, diventa rapidamente rischio operativo. E lo stesso schema si collega a un altro nodo che riguarda l’intero ecosistema digitale: chi controlla davvero identità, accesso e autorizzazioni.

I rischi che stanno emergendo: prompt injection, plugin, tool e accessi invisibili

Quando si parla di sicurezza degli agenti, il rischio più noto è il prompt injection: l’agente riceve istruzioni malevole o manipolate e viene spinto a fare qualcosa che non dovrebbe. Ma è solo l’inizio.

Un agente può essere esposto anche attraverso skill, plugin, integrazioni esterne, server MCP, codice generato dinamicamente, browser session, credenziali temporanee e connessioni con software terzi. Ogni elemento aggiunge potenza, ma anche fragilità. Il punto non è più soltanto “l’AI può sbagliare”. Il punto è che l’AI può essere persuasa, deviata, sfruttata o portata a eseguire azioni su sistemi reali.

È una logica che ricorda molto alcuni meccanismi già visti nell’economia delle piattaforme: più accesso, più comodità, meno attrito. Solo che qui l’attrito ridotto riguarda operazioni informatiche potenzialmente sensibili. Ed è lo stesso motivo per cui, quando abbiamo analizzato come vengono tracciati i dati online, il punto non era la singola tecnologia ma l’architettura complessiva del controllo. Con gli agenti sta succedendo qualcosa di simile: il rischio non sta in un singolo modello, ma nella rete di connessioni che lo rende utile.

Qui entra in gioco Cisco con un messaggio piuttosto chiaro: lo zero trust non può più fermarsi a utenti e dispositivi. Se un agente ha una sua continuità operativa, allora deve essere trattato come un soggetto che richiede identità, limiti, verifica continua e osservabilità. Non basta sapere chi è. Bisogna capire che cosa sta facendo e se quel comportamento è coerente con il ruolo che gli è stato assegnato.

Le aziende che si stanno muovendo: chi prova a mettere ordine nel caos agentico

Cisco è uno dei casi più visibili di queste settimane, ma attorno alla sicurezza degli agenti si sta formando un intero nuovo mercato. E osservando i player principali si capisce bene una cosa: non esiste una sola soluzione, perché il problema è distribuito su più livelli.

Okta, per esempio, si sta concentrando sull’identità degli agenti. La sua proposta parte da un’idea semplice ma centrale: ogni agente deve essere trattato come una vera identità digitale, con registrazione, visibilità, controllo del lifecycle e accessi minimi. È una mossa importante perché mette a fuoco uno dei problemi più sottovalutati: molti agenti entrano in azienda come software operativi, ma senza essere gestiti come soggetti di sicurezza.

Palo Alto Networks si sta muovendo invece sul lato del controllo runtime e della visibilità. Con l’evoluzione di Prisma AIRS e del proprio browser enterprise per l’era agentica, il messaggio è chiaro: se gli agenti lavorano nel web, nel SaaS, sui device e nei flussi cloud, allora la sicurezza deve seguirli in quei punti, non solo nel data center tradizionale.

Microsoft sta spingendo molto sul piano end-to-end: identità, accesso adattivo, protezione dei dati, rilevazione dei rischi e agenti difensivi per il SOC. È un approccio interessante perché non si limita alla domanda “come proteggiamo gli agenti?”, ma aggiunge anche l’altra metà della storia: “come usiamo agenti per difendere sistemi sempre più complessi?”.

SentinelOne e CrowdStrike, ciascuna con il proprio taglio, stanno lavorando sulla connessione tra endpoint, dati e comportamento. L’idea è che il rischio agentico diventa concreto quando l’agente tocca file, esegue azioni, interagisce con strumenti e sposta informazioni sensibili. È il motivo per cui si parla sempre di più di protezione dal dato al runtime.

Snyk, invece, presidia soprattutto il lato sviluppo e lifecycle. Se gli agenti entrano nei flussi di coding, automazione e sviluppo software, allora il tema non è solo l’uso finale, ma anche come vengono costruiti, governati e controllati dal codice alla produzione.

Infine ci sono aziende come Cloudflare e Qualys che stanno lavorando rispettivamente su gateway, osservabilità e controllo del traffico AI e sulla scoperta di asset invisibili, come i server MCP che collegano agenti e applicazioni. È un aspetto chiave, perché la sicurezza crolla sempre nello stesso punto: ciò che nessuno vede, nessuno lo governa.

La vera posta in gioco: non proteggere l’AI, ma governare entità autonome

La formula più utile per leggere questa fase è forse questa: gli AI agent non sono semplicemente “strumenti intelligenti”, ma soggetti operativi delegati. E nel momento in cui deleghi azione, stai delegando anche rischio.

Per questo la cybersecurity degli agenti non sarà un sotto-settore marginale. Diventerà una delle infrastrutture decisive dell’AI enterprise. Non vince chi rende gli agenti più autonomi in assoluto. Vince chi riesce a renderli utili senza trasformarli in dipendenti fantasma con accesso a tutto e responsabilità di nessuno.

La partita, quindi, non riguarda solo la difesa tecnica. Riguarda un principio più profondo: in un sistema dove sempre più decisioni vengono eseguite da entità software, la vera domanda non è se gli agenti siano efficienti. La vera domanda è chi li può fermare, chi li può limitare e chi risponde quando fanno la cosa sbagliata.

Fonti

• Cisco – Cisco Reimagines Security for the Agentic Workforce
• Okta – Every AI Agent Needs an Identity
• Microsoft Security – Secure agentic AI end-to-end
• Palo Alto Networks – Prisma AIRS 3.0
• SentinelOne – End-to-End AI Security from Data to Runtime
• Snyk – Introducing Agent Security