Gli AI skill codificano la conoscenza dei team in istruzioni eseguibili. Se compromessi, svelano logiche di detection e risposta dei SOC, dando ai cybercriminali un vantaggio strategico.
Autore: Redazione SecurityOpenLab
Finora si è parlato ampiamento della superficie di attacco legata ai modelli generativi. Trend Micro mette a fuoco, nell’ampio contesto dell’AI, un altro problema: le competenze di AI stanno diventando una nuova superficie di attacco, soprattutto per i SOC e per settori critici quali sanità, finanza, industria e PA. Parliamo di qualcosa di strutturale: gli AI skills, ovvero gli artefatti eseguibili che codificano competenze, logiche decisionali e workflow operativi, che stanno trasformando la conoscenza aziendale in codice riutilizzabile su larga scala.
Nel report AI Skills as an Emerging Attack Surface in Critical Sectors: Enhanced Capabilities, New Risks, Trend Micro argomenta che questo capitale intangibile sta diventando un obiettivo di alto valore per i cybercriminali, con implicazioni dirette sulla capacità difensiva delle organizzazioni. Gli AI skills nascono per colmare i gap di risorse e competenze, quello a cui pochi avevano pensato è che aprono un fronte di rischio che gli strumenti tradizionali non sono in grado di presidiare. Semplificando, parliamo degli input che gli umani creano sottoforma di testo leggibile (parliamo di cartelle organizzate di istruzioni, script e risorse), e che gli LLM trasformano in istruzioni eseguibili. Spesso queste istruzioni contengono al loro interno expertise, regole di business, vincoli operativi e logiche di automazione.
Questa evoluzione è dettata dall’esigenza reale di trasformare l’esperienza del personale senior in skills riusabili, per accelerare il trasferimento di conoscenza, standardizzare i processi e garantire continuità operativa anche quando le persone cambiano ruolo o lasciano l’azienda. È un modo per creare una sorta di gemello digitale del team, che mediante la combinazione di diverse competenze consente di modellare personalità virtuali che replicano il modo di lavorare di analisti, trader, ingegneri, clinici.
L’approccio è costruttivo, ma implica che sempre più funzioni critiche dipendono da questi oggetti: nel finance compaiono skill per analisi di mercato, investment research e automazione del trading; in IT, media e telco per la generazione e l’ottimizzazione dei contenuti; nell’industriale per la simulazione numerica e le scienze dei materiali; nella sanità per la generazione di dati sintetici e il supporto alle decisioni cliniche; nel pubblico per accelerare pratiche, calcoli statistici e servizi all’utenza.
Il primo problema è che spesso i team di sicurezza non hanno piena visibilità su dove risiedono gli AI skill, quali dati trattano e quali privilegi hanno. Gli attaccanti, invece, hanno capito benissimo che questa concentrazione di logiche e parametri operativi è un bersaglio prezioso. Non è nemmeno così difficile trovarli: su repository pubblici, come GitHub, sono già disponibili raccolte di skill per settori verticali che espongono soglie di rischio, limiti di posizione, parametri di simulazione, logiche di targeting marketing o playbook di detection e risposta dei SOC. Uno dei casi presentati da Trend Micro riguarda un AI skill per il trading in criptovalute che offre a un attaccante tutte le informazioni necessarie per aggirare i controlli automatici.
Quello a cui spesso non si pensa è che la conoscenza delle logiche degli AI skill consente di influenzare l’output: è sufficiente manipolare valori di input e contesto per abbassare la gravità percepita di un evento, bypassare i sistemi di monitoraggio, piegare a proprio vantaggio decisioni automatizzate.
Gli esperti di Trend Micro ritengono che i SOC siano l’epicentro di questo rischio, perché è qui che gli skill orchestrano attività come la classificazione degli alert, la correlazione tra eventi, la selezione dei casi da approfondire, l’attivazione dei playbook di risposta e la produzione di reportistica e metriche per il management. Se un attaccante ottiene accesso a questi skill tramite leakage, errori di configurazione o compromissione di repository e piattaforme, può ricostruire in dettaglio come il SOC vede, pensa, decide e reagisce.
L’impatto pratico è tutt’altro che teorico: skill alla mano, un attaccante abile può creare una replica dell’ambiente in sandbox e usarla come banco di prova per mettere a punto le proprie tecniche. Può identificare con precisione i pattern che scatenano gli alert, aggirare le regole di correlazione e individuare i flussi che portano a una chiusura automatica nel backlog, ampliando progressivamente il proprio margine di manovra.
Il quadro si complica ulteriormente per la natura stessa degli AI skill: sono testo non strutturato, in cui spesso si mescolano istruzioni e dati, possono referenziare fonti esterne e input degli utenti, e operano in un contesto dove dati e logica si sovrappongono. Per gli strumenti di sicurezza tradizionali (abituati a firme, pattern e regole statiche) sono quasi invisibili.
Ecco che nasce quindi uno dei vettori più insidiosi messi in luce dalla ricerca: le injection AI‑native, ossia varianti di attacchi paragonabili all’SQL injection, ma applicata al motore LLM. Si tratta di contenuti malevoli veicolati sottoforma di dati, che possono insinuare nuove istruzioni, alterare la logica di esecuzione, far sì che l’agente di AI ignori parti dello skill o segua percorsi non previsti. In un SOC, questo scenario si traduce in prompt e contenuti in arrivo da log, ticket, email o fonti OSINT che vengono elaborati dalle stesse pipeline che usano gli skill per prendere decisioni.
Gli analisti insistono inoltre su un aspetto di lungo periodo: più skill vengono compromessi, più l’attaccante passa da un vantaggio tattico a un controllo strategico sull’organizzazione. Con uno o due skill rubati si possono individuare blind spot circoscritti; con una ventina di skill si arriva a modellare le priorità del SOC, la sua propensione al rischio, le logiche che regolano assegnazioni e escalation. Ma con l’intero corpus di skill si entra nel territorio dei digital twin malevoli, ovvero gemelli digitali di analisti e team che permettono di prevederne e imitarne il comportamento con elevata fedeltà.
Da qui scaturisce la previsione di Trend Micro sugli scenari di malicious digital twin, in cui informazioni personali compromesse vengono usate per addestrare LLM capaci di imitare in modo credibile i dipendenti. Per descrivere una compromissione di questo tipo, il report introduce una kill chain in otto fasi specifica per gli AI skill, che copre l’intero ciclo dell’attacco, dalla ricognizione all’esfiltrazione e all’uso strategico della conoscenza codificata, e la affianca a un framework di detection multilivello con indicatori e controlli mirati: dal monitoraggio dell’integrità degli skill all’analisi delle anomalie di esecuzione, dei pattern di accesso alle credenziali, dei flussi di dati e della logica del SOC, mappando a ogni fase opportunità di detection e misure di mitigazione concrete.
Chiudiamo con le best practice. Trend Micro suggerisce di trattare gli AI skill come proprietà intellettuale sensibile lungo tutto il ciclo di vita. Significa classificare e etichettare gli skill in base alla criticità, applicare controlli di accesso rigorosi, gestire versioni e modifiche con processi strutturati, limitare i privilegi di esecuzione secondo il principio del least privilege e separare in modo netto le istruzioni dal dato non fidato. Un’altra raccomandazione chiave è la validazione sistematica degli skill contro scenari avversi prima del deployment, testando esplicitamente come potrebbe abusarne un utente malevolo.