Che succede quando il più grande player mondiale della cybersecurity decide di smontare i sogni di gloria dell’AI autonoma? Succede che Palo Alto Networks prende due agenti intelligenti identici nei compiti, strumenti e scopo e li bombarda con attacchi reali, dimostrando che la differenza tra framework CrewAI e Microsoft AutoGen è del tutto irrilevante. Entrambi falliscono miseramente. Non per colpa del codice, ma per colpa della presunzione.
In un’epoca in cui l’AI è osannata come panacea aziendale e gli agenti autonomi spuntano come funghi nel pitch deck di ogni startup, il test di Palo Alto è uno schiaffo salutare alla Silicon Valley e a chiunque pensi che “funziona” significhi “sicuro”.
Le vulnerabilità emerse non sono “edge case”, ma falle strutturali. Di quelle che un attaccante esperto fiuta a chilometri di distanza. Basta un prompt infetto, un tool lasciato troppo libero, o un agente che confonde il suo ruolo, e il castello crolla.
La prompt injection continua a essere un tallone d’Achille. Gli sviluppatori, nel loro feticismo per la UX conversazionale, dimenticano che un input testuale può essere un cavallo di Troia. Non serve un jailbreak sofisticato: basta nascondere un comando dietro una frase apparentemente innocua, e l’agente lo esegue come un bravo soldatino. L’AI, lo ricordiamo, non ha buon senso. Ha solo token prediction.
I tool integrati sono la vera bomba a orologeria. Danno potere all’agente, ma aprono la porta agli attaccanti. API, filesystem, interfacce di sistema: se non vengono blindati, diventano armi nelle mani di chi sa come manipolare un agent con l’aria da segretaria digitale, ma la capacità di fare danni da insider.
E poi c’è l’identità. O meglio: la sua gestione sciagurata. Agenti che si convincono di essere admin, che prendono decisioni fuori contesto o che espongono credenziali perché qualcuno, da qualche parte, ha dimenticato di isolare la sessione. Un classico caso di identity leakage by design. La responsabilità? Sempre la stessa: sviluppatori che pensano che “isolamento” sia un’opzione, non un requisito.
Nei team multi-agente, la situazione peggiora. Gli architetti di questi sistemi sembrano convinti che far parlare tra loro le entità AI sia sinonimo di intelligenza distribuita. Spoiler: non lo è. È solo distribuzione dell’attacco. Basta infettare un messaggio, e l’intero cluster prende fuoco.
E mentre ci si illude che la “sandbox” basti a mitigare i danni, Palo Alto dimostra che la virtualizzazione senza isolamento reale è un placebo. I container sono comodi, ma se configuri male i volumi o esponi l’ambiente a input non sanificati, ti sei costruito una botnet con Docker.
L’amara verità è che nessuno pensa alla supply chain completa dell’agente. Dall’input dell’utente alla generazione del prompt, dall’esecuzione del codice al salvataggio in memoria, ogni anello è un potenziale punto di rottura. Nessun layer può essere considerato “sicuro” se gli altri sono colabrodo. Ma intanto le aziende continuano a sfornare MVP come fossero prototipi per hackathon, senza audit, senza policy, senza threat model.
Il vero take away? La guerra non è tra AutoGen e CrewAI. È tra chi costruisce con la mentalità da “dovrebbe funzionare” e chi progetta con la paranoia di chi sa che il prossimo attacco è già in fase di testing.
Gli agenti AI stanno evolvendo. Sono più autonomi, più connessi, più capaci. E con questo, diventano anche target. Non sono più demo da mostrare ai VC: sono infrastrutture operative. E come ogni infrastruttura, devono essere progettate per resistere, non solo per impressionare.
Leggi il report completo di Palo Alto Networks e poi chiediti: l’agente AI che hai appena lanciato, è uno strumento o una breccia?