L'entusiasmo per l'AI agentica è ai massimi storici, ma senza adeguate misure di security si rischia di implementarla prima di avere sviluppato la consapevolezza dei rischi che porta con sé. È la premessa di Irina Artioli, Security Solutions Consultant di Acronis, che in questa intervista con SecurityOpenLab parte dal celebre caso di OpenClaw per ampliare il discorso al tema del patch management nell'era dell'AI, e sfociare nel vero problema del momento: il tempo prezioso che gli attaccanti, grazie alle AI, stanno sottraendo alla difesa. Artioli ha un approccio pratico legato alla realtà operativa degli MSP: "quanto tempo serve per ricevere un alert legato a un incidente, verificare cos’è successo, capire se altri workload sono già coinvolti, raccogliere tutta la telemetria disponibile e capire come reagire?"

La risposta, dai dati interni raccolti da Acronis sul comportamento degli MSP nella gestione degli alert EDR, è che occorrono più di tre giorni solo per esaminare tutti gli incidenti segnalati dal sistema. Nel frattempo, i dati di threat intelligence mostrano che un attacco multi-fase può completare l'intera catena in meno di due ore: ingresso in rete, ricognizione, esfiltrazione dei dati più critici. riducendo drasticamente il tempo utile per la risposta.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

È in questo contesto che l'AI entra come strumento difensivo non opzionale. I sistemi EDR di nuova generazione basati su intelligenza artificiale sono in grado, in pochi secondi, di correlare la telemetria  sui workload coperti e di produrre un report strutturato che consente all'analista SOC di partire “con le informazioni per distinguere i ‘true positive’ dai ‘falsi positivi’ e decidere come agire". Fin qui si parla di Detection, ma la contrazione del tempo disponibile per reagire agli attacchi investe anche la gestione delle patch. Artioli sottolinea che la finestra tradizionale di 30 o 60 giorni per applicare le patch è di fatto obsoleta, perché il tempo tra la pubblicazione di una vulnerabilità e il suo sfruttamento attivo si è ridotto a giorni, a volte a poche ore, e il problema riguarda tutto l’hardware e il software installato sui sistemi dei clienti. Oggi serve una prioritizzazione basata su rischio, esposizione e contesto operativo.

Irina Artioli, Security Solutions Consultant di Acronis

Non solo: nella realtà degli MSP il gap tra un modello ideale e quello operativo è profondo, perché "ci sono workload legacy che non possono essere aggiornati senza rischiare di bloccare processi produttivi," osserva Artioli. "Ci sono patch che devono essere installate fuori orario per non rallentare le macchine durante la giornata lavorativa. E c'è il rischio, spesso sottovalutato, legato alla provenienza stessa della patch: se un aggiornamento arriva da una fonte non verificata, o reca una data di rilascio anomala, può essere già compromesso prima dell'installazione”.  Il rischio non riguarda solo la mancata applicazione delle patch, ma anche l’integrità della supply chain: repository compromessi, pacchetti trojanizzati, aggiornamenti distribuiti tramite canali non affidabili o non adeguatamente verificati.

Realisticamente, la raccomandazione pratica è una finestra di 5-7 giorni per le patch critiche, con sistemi di notifica automatica che avvisano il tecnico se qualcosa non va a buon fine. Cruciale, in questo processo, è la capacità delle funzionalità di rollback nel caso in cui "si installi una patch che non funziona o crea problemi, e consiste nella possibilità di tornare alla configurazione funzionante precedente " spiega Artioli. Acronis integra questa funzionalità con un layer AI (AI-based patch stability scoring sulla base di segnali raccolti dalla community IT e da fonti di threat intelligence )che segnala quando la fonte di un aggiornamento appare sospetta e, nel caso, richiede una verifica ulteriore prima di procedere. Il principio che viene applicato è sempre quello dello ‘human in the loop’, ossia della presenza di un tecnico in carne e ossa che verifichi.

OpenClaw e Hugging Face

È sulla fiducia nei processi automatizzati che si innesta la ricerca Poisoning the Well della Acronis Threat Research Unit, che sposta ulteriormente il problema dalla gestione delle patch agli ecosistemi AI in quanto tali. Il punto di partenza è una distinzione importante rispetto agli attacchi tradizionali alla supply chain: "prima gli attaccanti si muovevano contro il sistema, contro la piattaforma, provavano a sfruttare vulnerabilità già esistenti," spiega Artioli, "adesso entrano nei modelli, nei dataset, nelle skill: operano come se fossero operatori dei sistemi AI, dall'interno".

OpenClaw è il caso che illustra meglio di ogni altro questo cambio di paradigma. Parliamo di una piattaforma di agentic AI che permette agli utenti di estendere le proprie capacità installando skill distribuite tramite ClawHub, il marketplace dedicato. Il modello è potente: l'agente può gestire email, automatizzare task, eseguire script per conto dell'utente. Ma questa stessa estensibilità si è trasformata in una superficie di attacco. I ricercatori dell'Acronis TRU hanno identificato 575 skill malevole distribuite da 13 account sviluppatore su ClawHub. Il risultato è che "queste piattaforme diventano un ricettacolo di contenuti malevoli" avverte Artioli.

La catena dell'attacco che ha sfruttato OpenClaw

Il meccanismo di attacco ricalca quello dei trojan classici, adattato al contesto AI. Le skill malevole si presentano come strumenti legittimi, con nomi convincenti, descrizioni curate e file Readme ben costruiti. Una volta installate, istruiscono l'utente o direttamente l'agente AI a scaricare dipendenze esterne, eseguire archivi protetti da password o lanciare comandi codificati che scaricano payload da server remoti fra cui trojan, cryptominer e infostealer. Come sottolinea Artioli, la tecnica è ben nota, quello che è cambiato è che oggi il vettore sono le skill delle piattaforme AI".

La tecnica più sofisticata documentata è l'indirect prompt injection: istruzioni malevole nascoste all'interno di documenti, siti web o file che l'agente AI legge durante l'esecuzione del suo task e che esegue senza che l'utente ne sia consapevole, trasformandosi di fatto nel tramite dell'attacco. In questi casi, precisa Artioli, "non è l'AI a essere compromessa, è la fiducia che si ripone in essa a trasformarsi in arma".

La stessa dinamica riguarda Hugging Face, la piattaforma di riferimento per la distribuzione di modelli e dataset di machine learning, che conta oltre un milione di modelli. I ricercatori hanno trovato repository usati per ospitare payload malevoli o come infrastruttura di avvio in catene di infezione multi-fase, con malware mascherato da applicazioni legittime. Il framework MITRE ATLAS documenta già questa tipologia di attacchi(offre una tassonomia utile), descrivendo initial access, movimento laterale ed esfiltrazione dei dati negli ambienti AI agentici.

Al di là dell’aspetto tecnico, il vero problema è che non siamo ancora pronti ad affrontare questo scenario, ammette Artioli. "Alcuni MSP utilizzano strumenti di AI agentica senza nemmeno sapere cosa stanno usando i propri clienti. È un caso di Shadow AI a tutti gli effetti, con alcuni utenti che installano OpenClaw come se fosse un'app qualunque, senza considerare che l'installazione richiede spesso la condivisione di dati sensibili come credenziali e informazioni personali ( token, caselle email, file system, repository o altri sistemi interni, ampliando la superficie d’attacco oltre il semplice endpoint), aprendo vettori che nessun sistema di sicurezza aziendale sta monitorando.

Il parallelo con l'adozione dell'anti-ransomware è diretto: "prima che succedesse il primo attacco ransomware, nessuno voleva avere un anti-ransomware perché non se ne intuiva la necessità", ricorda Artioli, "con l'AI agentica sta succedendo la stessa cosa": chi non ha ancora subìto un incidente modulato con l’AI spesso non ha nemmeno attivato il monitoraggio di base. "C'è un gap incredibile tra diversi tipi di aziende e diverse regioni in Italia," osserva Artioli.

La catena di attacco di una campagna che ha sfruttato HuggingFace

Gli sviluppatori, che sono i principali utilizzatori di piattaforme come OpenClaw e Hugging Face, operano sotto pressione temporale continua: i ritmi di rilascio del software impongono di ricorrere a librerie, skill e modelli preconfezionati senza poterli sempre verificare. Non si tratta di ignoranza del rischio, ma di un calcolo costo-beneficio che privilegia la velocità. Ed è esattamente quella tensione che gli attaccanti sfruttano con il loro opportunismo.

La risposta di Acronis

Per rispondere a questo scenario, Acronis ha sviluppato GenAI Protection, un servizio strutturato su tre livelli. Il primo è la visibilità: la soluzione monitora quali strumenti di AI vengono effettivamente utilizzati all'interno dell'organizzazione, con un elenco dei sistemi impiegati, dei domini contattati e della frequenza d'uso. "Prima di tutto devi sapere cosa stanno usando i tuoi utenti. Alcuni strumenti AI hanno diversi domini e continuano ad aggiungerne di nuovi: questo aiuta a comprendere che cosa sta succedendo nell’infrastruttura", sottolinea Artioli.

Il secondo livello è la data loss prevention applicata agli strumenti di AI generativa: se un utente tenta di inserire dati contrassegnati come confidenziali all’interno di strumenti come ChatGPT o Perplexity, la condivisione viene bloccata con notifica immediata. Il terzo livello riguarda la protezione contro il prompt injection, sia diretto che indiretto: "la soluzione rileva i tentativi di inserire istruzioni malevole nei prompt, compresi quelli veicolati attraverso documenti o siti web letti dall'agente, blocca il tentativo e notifica l'incidente".

Quello che bisogna sempre tenere a mente è che esiste una forte asimmetria tra attaccanti e difensori: i primi non hanno nulla da perdere, possono tentare, sbagliare, riprovare, senza conseguenze. I difensori rispondono di ogni errore, di ogni ritardo, di ogni breccia. L'AI agentica amplifica questa asimmetria perché “se non sperimentiamo l’AI, gli attaccanti la useranno comunque e perderemo per certo. Dobbiamo usarli, ma con consapevolezza" conclude Artioli.