Dando per scontato il presupposto che l’AI è un elemento fondante sia della difesa che dell’attacco cyber, la presenza dell’AI nelle soluzioni cyber è ormai pervasiva e scontata. Lo step nodale da sciogliere con una certa urgenza è ora la sicurezza dell’AI, che di fatto sta diventando il fondamento stesso della fiducia dei sistemi digitali. Sicurezza dell’AI che non significa usare l’AI per fare security, ma proteggere efficacemente i modelli di AI e LLM da attacchi come jailbreak, prompt injection e manipolazione, per garantire la sicurezza e l’integrità delle risposte fornite dalle varie declinazioni dell’AI.

Il compito è arduo per diversi motivi, tanto che la celebre organizzazione statunitense MITRE ha creato MITRE ATLAS, dove ATLAS sta per Adversarial Threat Landscape for Artificial-Intelligence Systems e si pone come punto di riferimento per l’identificazione e il contrasto degli attacchi mirati ai sistemi AI. Seguendo il modello MITRE per la classificazione degli attacchi cyber, ATLAS propone una visione condivisa delle tattiche avversarie tramite il quale di propone come facilitatore per la collaborazione tra i team di sicurezza, sviluppo e governance.

La promessa è che l’integrazione di ATLAS nei flussi DevSecOps e nei processi decisionali strategici dovrebbe permette di trasformare dati grezzi in intelligence attuabile, ottimizzare i tempi di risposta agli incidenti e costruire ecosistemi AI resilienti alle minacce più sofisticate.

Un framework specializzato

La novità è stata approfondita in un post sul blog ufficiale di Vectra AI in cui gli esperti spiegano le peculiarità del nuovo framework, che ovviamente viene integrato nella soluzione proprietaria di security. ATLAS copre l’intero ciclo di vita dei modelli: dal training con dataset potenzialmente avvelenati alla distribuzione di modelli distorti, fino al monitoring degli endpoint di inferenza.

Il framework analizza come le vulnerabilità IAM intersecano con i rischi specifici dell’AI: in ambienti come per esempio AWS Bedrock, un’identità con permessi eccessivi potrebbe essere sfruttata per esfiltrare dati o manipolare i parametri dei modelli in produzione. Non ultimo, ATLAS integra threat intelligence operativa: ogni tecnica include Indicatori di Compromissione osservati in campagne reali.

La vera domanda da porsi è perché l’AI è un target privilegiato. La risposta è piuttosto semplice e intuitiva: gli attaccanti stanno ridefinendo le proprie strategie per sfruttare le peculiarità delle piattaforme di GenAI. I sistemi che integrano LLM con database aziendali creano un canale privilegiato per l’esfiltrazione di dati e consentono, mediante query apparentemente innocue, di estrarre progressivamente dati sensibili.

In ambienti come Azure AI Foundry, i modelli accedono a servizi esterni tramite service account con privilegi elevati; un attaccante che compromette un’identità del genere potrebbe avviare training non autorizzati o modificare le politiche di versioning. Inoltre, tecniche come quelle del LLMjacking permette agli attaccanti di compromettere ambienti AI cloud per minare criptovalute sfruttando GPU/TPU dedicate al training.

Il framework distingue le tecniche in diverse macro-fasi, con esempi tratti da incidenti reali che hanno messo in atto tecniche di phishing, attacchi mirati alle API di provisioning dei modelli o la modifica dei metadati di un modello in produzione per ottenere l’accesso a infrastrutture critiche.