Quando OpenAI ha lanciato la modalità agente di ChatGPT, la Silicon Valley ha applaudito. I CISO hanno digrignato i denti. Perché l’intelligenza artificiale, quella che non chiede più “come posso aiutarti?” ma agisce in silenzio nei meandri del tuo browser, è qualcosa che nessuna ISO 27001 aveva previsto. Il risultato? Agenti di intelligenza artificiale che scrivono, leggono, decidono e firmano per te. Letteralmente.

Massimiliano Graziani di Cybera, uno che i rischi non li legge ma li decifra, lo dice senza mezzi termini:

“Oggi abbiamo sensazioni positive, ma alcune AI se non regolamentate potrebbero autonomamente decidere di cambiare le regole e sostituire l’umano”. Questo non è un dettaglio tecnico.

È un avvertimento da incorniciare. Il pericolo non è più che qualcuno rubi i tuoi dati, ma che l’agente AI, convinto di fare la cosa giusta, li invii da solo al peggior destinatario possibile e lì, come spiega Graziani,

il sangue sarà digitale, con odore di criptovaluta in wallet fantasma pronti a ricevere fondi da bonifici approvati da macchine fuori controllo.

Ecco perché secondo lui “non dovrebbe mai mancare l’autorizzazione finale tramite token inviolabile, tamper proof, nelle mani dell’utente”. L’agente può fare il lavoro sporco. Ma il dito che preme “Invia” deve restare umano. Sempre. Perché altrimenti non si parla più di automazione. Si parla di abdicazione.

Il punto è che nessuno oggi ha davvero idea di come proteggere gli agenti AI. Le soluzioni enterprise arrancano. Gli standard? Non pervenuti. E mentre i grandi nomi fingono di aver tutto sotto controllo, il codice “vibe” creato dai dipendenti continua a proliferare senza audit, senza logging, senza supervisione. Cosa potrebbe andare storto? Tutto.

Jim Routh, ex CISO di MassMutual e Aetna, lo dice con l’eleganza di chi ha visto più incidenti di quanto vorrebbe ricordare: “Molte aziende vogliono comprare una soluzione per queste nuove vulnerabilità, ma non esiste una soluzione concreta sul mercato”. Intanto gli agenti AI cancellano app intere per correggere un bug minore. Succede. È già successo. Nessun attacco. Nessun nemico. Solo un modello probabilistico con troppa libertà.

Nel caos, i venture capitalist vedono ordine. O meglio: margini. Startup emergenti promettono sicurezza AI-native. Alcune puntano a verificare in tempo reale cosa fa un agente. Altre promettono di creare agenti “affidabili”. Un ossimoro, per ora. Jay Leek di SYN Ventures cerca chi risolva la questione delle patch automatiche su codice generato da AI. Ma la verità la sussurra Ami Luttwak di Wiz, azienda che Google ha deciso di comprare per 32 miliardi: “A dire il vero, non sappiamo come proteggerli. Nessuno lo sa”.

OpenAI, intanto, si difende. Giura di non memorizzare password, né fare screenshot. Ma ChatGPT Agent Mode richiede l’inserimento delle credenziali per Gmail o Salesforce. Un tabù violato in diretta streaming. Chi lavora nella sicurezza sa che non importa cosa succede dopo: è il principio ad essere compromesso.

Proprio mentre le AI imparano a navigare in autonomia, arriva l’ipotesi più inquietante di tutte: se un agente compromesso, o peggio formato male, inizia a modificare le regole del gioco? Graziani lo esplicita: se un attore ostile riesce a manipolare l’IA nemica, può riscrivere le sue regole operative. Da lì alla disfatta aziendale, il passo è breve. Il sangue digitale inizia a colare dalle falle più invisibili: webhook non tracciati, credenziali temporanee, connessioni persistenti con permessi troppo estesi. Il bottino? Accessi, decisioni, soldi. In tempo reale.

Ori Goshen di AI21 Labs, realtà con oltre 300 milioni raccolti da giganti come Nvidia e Google, afferma che i suoi clienti sono riluttanti a far navigare gli agenti sul web. Non per sfiducia nella tecnologia, ma per assenza di governance. Serve uno standard aperto, riconosciuto, interoperabile. Ma nessuno ha ancora il coraggio di disegnarlo. Forse perché significa ammettere che oggi tutto è improvvisato.

I provider cloud non sono messi meglio. Microsoft e Google stanno testando sistemi per far verificare all’agente se ha l’autorizzazione a entrare in una certa app. Ma, ironia delle ironie, questi strumenti funzionano solo con agenti costruiti all’interno del loro stesso stack. Cioè: ti proteggo, ma solo se usi tutto mio. Il vendor lock-in diventa il nuovo standard di sicurezza. Una beffa che farebbe sorridere persino un agente AI.

Nel frattempo, le aziende fingono controllo. Bloccano la modalità agente, impediscono l’uso di browser AI-driven, consigliano cautela. Ma il problema non è il divieto. È che i dipendenti, gli sviluppatori e persino i clienti vogliono questi strumenti. Non per moda. Per efficienza. Per comodità. E quando la convenienza vince sulla sicurezza, la partita è già persa.

La soluzione? Non è tecnica. È psicologica. È di governance. Graziani lo dice chiaramente: l’AI deve lavorare per noi, non al posto nostro. E ogni decisione critica deve essere validata da un token umano, fisico, inattaccabile. Un gesto finale, una frizione volontaria, un momento di riflessione prima del disastro.

Il problema vero non è che l’AI prenda decisioni. È che lo faccia meglio di noi. Senza chiedere. E una volta che lo farà abbastanza volte, inizieremo a fidarci. Fino al giorno in cui un agente, addestrato da log corrotti o da un avversario silenzioso, deciderà che il bug non è nel codice. È nel business model. E allora, come dice Graziani, il caos sarà inevitabile.

Nel frattempo, ci godiamo la comodità. L’email che si scrive da sola, l’incontro già programmato, il bonifico già compilato. Ma senza un umano a tenere in mano il token, sarà l’ultimo clic veramente nostro.