Il ritmo del cambiamento tecnologico è inarrestabile. Non molto tempo fa, migrazione al cloud e automazione delle pipeline CI/CD dominavano le conversazioni. Oggi, gli agenti AI stanno rimodellando il nostro modo di concepire automazione, produttività e rischio. Il 2025 ha dimostrato che questi sistemi intelligenti e autonomi non sono solo una tendenza passeggera, ma stanno diventando elementi chiave del modo in cui le aziende operano.

Tuttavia, un grande potere porta con sé grandi responsabilità e, nel mondo della cybersecurity, rischi enormi. Più questi agenti AI diventano autonomi e interconnessi, maggiore è la superficie di attacco che creano. Entro quest’anno, non ci limiteremo a sperimentare gli agenti AI, ne saremo completamente dipendenti un cambiamento che ci impone di ripensare identità, accessi e sicurezza. Non si tratta più solo di macchine, è anche la natura stessa dell’identità umana a essere sotto pressione.

L’affermarsi degli agenti AI come colleghi digitali

Consideriamo gli agenti AI come una nuova categoria di collaboratori digitali. A differenza dell’automazione tradizionale o dei bot che seguono uno script rigido, gli agenti AI possono prendere decisioni, imparare dal loro ambiente e agire autonomamente per completare attività complesse. Sono composti da tre moduli chiave: un modello di orchestrazione che definisce il loro compito, un modulo strumenti che consente loro di interagire con altre risorse e il modello di AI (LLM) che fornisce il “cervello”.

Lavi Lazarovitz, vice president of cyber research di CyberArk Labs

Questa modularità consente loro di fare di tutto, dalla ricerca automatizzata alla gestione delle fatture. La loro adozione sta accelerando e, entro il 2027, si prevede che gli ambienti multi-agente saranno la norma, con il numero di sistemi agentici che raddoppierà in soli tre anni.

Mentre le aziende sbloccano il loro incredibile potenziale, emerge una realtà critica: ogni agente AI è un’identità che ha bisogno di credenziali per accedere a database, servizi cloud e repository di codice. Più compiti si affidano loro, più autorizzazioni accumulano, rendendoli un bersaglio privilegiato per gli attaccanti. L’equazione è semplice: più agenti e più autorizzazioni equivalgono a maggiori opportunità per gli attori delle minacce.

Nuovi agenti AI, nuovi vettori d’attacco

Mentre gli agenti AI condividono alcune somiglianze con le identità macchina tradizionali - hanno bisogno di secret e credenziali per operare - introducono anche superfici di attacco completamente nuove. Lo abbiamo constatato di persona nelle attività di ricerca dei CyberArk Labs.

Un nuovo rischio rilevante, evidenziato da OWASP come “abuso di strumenti”, dimostra come un vettore d’attacco apparentemente non correlato a identità o permessi possa sfruttare l’accesso di un agente AI per compromettere dati sensibili. Il team dei CyberArk Labs lo ha recentemente dimostrato in un attacco a un agente AI implementato da una società di servizi finanziari. Progettato per consentire ai fornitori di visualizzare i loro ordini recenti, l’agente è diventato vulnerabile quando un attaccante ha incorporato un prompt malevolo nel campo dell’indirizzo di spedizione di un piccolo ordine. Quando un fornitore ha chiesto all’'agente di elencare gli ordini, questo ha elaborato il prompt malevolo, innescando l’exploit.

Questo caso dimostra come anche funzionalità apparentemente innocue possano essere trasformate in armi, soprattutto quando mancano filtering degli input e limitazioni nelle autorizzazioni. Invece di occuparsi solo di elencare gli ordini, l’agente è stato indotto con l’inganno a utilizzare un altro tool a cui aveva accesso, quello di fatturazione. Ha quindi recuperato dati sensibili del fornitore, come i dettagli del conto bancario, li ha aggiunti a una fattura e li ha inviati all’attaccante.

Sono due le ragioni che hanno reso possibile questo attacco:

• Mancanza di filtering degli input: il sistema non ha sanificato il prompt nascosto nell’indirizzo di spedizione.
• Permessi eccessivi: l’agente aveva accesso al tool di fatturazione, nonostante la sua funzione principale fosse solo quella di elencare gli ordini.

In definitiva, le autorizzazioni di un agente AI definiscono il potenziale raggio d’azione di un attacco. Limitare l’accesso non è solo una buona pratica, ma una difesa primaria da abuso e sfruttamento.

Rischi legati all’identità umana: nuove pressioni per i team enterprise

Le sfide quest’anno non si limitano alle identità non umane. Proprio le persone incaricate di progettare e proteggere questi sistemi stanno affrontando la propria serie di minacce legate alle identità. Emergono due trend rilevanti:

Chi progetta sarà sotto tiro: perché sviluppatori e builder di agenti AI sono i bersagli principali

Gli attori delle minacce prendono sempre più di mira la fiducia riposta in sviluppatori e builder. Il recente worm NPM Shai-Hulud ha dimostrato come i cybercriminali possano compromettere gli accessi degli sviluppatori ai pacchetti NPM diffondendo malware per il furto di informazioni. Oggi che le aziende accelerano l’adozione di agenti AI, ai loro builder verrà affidato un accesso ancora più ampio, rendendo questa fiducia un bersaglio primario per gli attaccanti.
Un ulteriore livello di vulnerabilità sarà generato dall’aumento delle piattaforme di “vibe coding” low-code e no-code che abilitano una gamma più ampia di builder interni all’azienda. Questo trend evidenzia come queste piattaforme siano spesso ben lontane dalla tecnologia di livello enterprise, creando nuove vulnerabilità che gli attaccanti sono ansiosi di sfruttare.

Cookie sotto attacco: perché il dirottamento di sessione è in crescita

Gli attaccanti sanno che il percorso di minor resistenza è spesso il più efficace. Quest’anno, possiamo aspettarci un’attenzione ancora maggiore agli attacchi post-autenticazione che aggirano le difese tradizionali. Per gli utenti umani ciò significa prendere di mira i cookie del browser. Sottraendo i piccoli frammenti di dati che mantengono un utente connesso a una sessione, un cybercriminale può dirottarla completamente, impersonando l’utente senza la necessità di una password o di ingannare un prompt MFA.

Per le identità non umane, come agenti AI e altri servizi automatizzati, i bersagli equivalenti sono le chiavi API e i token di accesso. Se un attaccante si impossessasse di uno di essi, potrebbe accedere senza autorizzazione, manipolare dati o interrompere operazioni critiche, spesso senza far scattare alcun allarme. Il gioco non consiste più nell’irrompere, ma di entrare dalla porta principale con chiavi rubate. Non è più una novità nella cybersecurity ma, con la superficie di attacco in aumento a seguito di adozione di agenti AI e automazione degli ambienti per forza lavoro, sviluppo e IT, è più rilevante che mai.

Definire una solida base di sicurezza

Mentre ci prepariamo per un futuro in cui gli agenti AI saranno nostri colleghi e ogni identità un potenziale bersaglio, alcuni principi chiave possono guidare la nostra strategia di sicurezza:

1. Individuare e identificare
   Non si può proteggere ciò che non si può vedere. Il primo passo per ogni azienda è acquisire visibilità su tutti gli agenti AI che operano nel proprio ambiente, siano essi costruiti internamente o eseguiti su piattaforme di terze parti. Comprendere quali agenti si possiedono e le attività che compiono è fondamentale.
2. Proteggere gli accessi
   Una volta ottenuta la visibilità, l’attenzione deve spostarsi sulla riduzione dell’esposizione non necessaria, mettendo in sicurezza gli accessi. Adottare un modello di Zero Standing Privileges (ZSP), in cui agli agenti viene concesso accesso alle risorse solo per il tempo necessario a completare un’attività, è un approccio efficace. Proteggere le credenziali e le autorizzazioni di ogni agente è fondamentale per minimizzare la superficie di attacco.
3. Rilevare e rispondere
   Una solida postura di sicurezza è essenziale, ma è anche necessario avere la capacità di individuare e rispondere alle minacce basate su identità. Rilevamento e risposta efficaci si basano sul monitoraggio delle attività degli agenti per segnalare comportamenti anomali, come modelli di accesso insoliti o escalation di privilegi, che potrebbero indicare un attacco o un agente non autorizzato. L’utilizzo delle capacità di Identity Threat Detection and Response (ITDR) consente alle aziende di identificare, investigare e contenere gli attacchi basati su identità prima che si intensifichino.
4. Adottare un approccio di difesa in profondità
   Proteggere gli agenti AI non è una soluzione una tantum. Richiede un approccio a più livelli che combini i controlli tradizionali delle identità macchina con nuovi controlli in-session tipicamente utilizzati per gli utenti privilegiati umani. Poiché gli agenti possono agire come macchine in un momento e imitare il comportamento umano in quello successivo, la sicurezza deve essere altrettanto dinamica.

L’innovazione continuerà a definire il panorama della cybersecurity ben oltre il 2026. Le aziende che avranno successo saranno quelle che beneficeranno del potere degli agenti AI, gestendo proattivamente i rischi associati. Ponendo l’identità al centro della strategia di sicurezza, si potranno costruire fondamenta resilienti che consentiranno di innovare con fiducia.