Agenti sull’orlo del baratro: IA autonoma come nuova area di attacco nella cybersicurezza

Un agente IA che installa autonomamente software, valuta le e-mail e prende decisioni: questo aumento della produttività causerà notti insonni alla cyberdifesa. Le stesse capacità che dovrebbero alleggerire i collaboratori aprono infatti nuove aree di attacco, come la GenAI in generale. Con conseguenze per la sicurezza.

Maggio 2026, Testo Andreas Heer            4 Min.

In questo articolo potete leggere:

  • Come gli agenti IA autonomi possono aumentare la produttività, ma anche offrire nuove e pericolose aree di attacco.
  • Perché l’IA rafforza anche gli hacker e costringe la cyberdifesa ad adeguarsi.
  • Perché la sicurezza IA diventa quindi un compito dirigenziale e di design.

Sembra un sogno: OpenClaw funziona come un agente IA locale ed esegue praticamente qualsiasi compito in modo automatizzato: «Creami un sito web per eventi con la funzione di registrazione. Per l’implementazione usa i framework CSS e JavaScript noti e installa tutto nella directory del progetto.» «Cerca tra le e-mail le attività importanti e inseriscile nell’elenco delle attività.» «Crea una presentazione sulla base delle informazioni contenute nella mia cartella di progetto. Avvisami su WhatsApp quando hai finito.»

Agenti IA come sogno e incubo allo stesso tempo

Non c’è da stupirsi se l’annuncio di OpenClaw a gennaio 2026 ha suscitato grande scalpore. Il progetto open source, avviato come Clawdbot e successivamente come Moltbot, utilizza un LLM via API e dispone di numerose competenze che l’agente può utilizzare autonomamente: esecuzione di comandi shell locali, accesso internet, installazione di software, comunicazione tramite vari servizi di messaggistica. E le competenze mancanti possono essere integrate con le cosiddette skill.

OpenClaw è diventato virale in due sensi: ad aprile il progetto ha ottenuto oltre 360’000 valutazioni basate su stelle su GitHub – ed è diventato un vero incubo nei reparti di cybersicurezza delle aziende. Tutte le preoccupazioni in materia di sicurezza nei confronti degli agenti IA sono diventate reali praticamente da un giorno all’altro: prompt injection, fuoriuscite di dati, porta di accesso per cyberattacchi, installazione di malware, esfiltrazione di chiavi API e dati di accesso tramite i file di configurazione di OpenClaw. E, ciliegina sulla torta, attacchi alla supply chain sui servizi internet tramite skill infette. Un esempio che illustra la situazione è t «ClawHawoc»: gli esperti di sicurezza hanno scoperto che quasi il 10% delle oltre 10’000 skill sul marketplace ClawHub conteneva malware.

OpenClaw può essere un esempio estremo di mancanza di sicurezza. Tuttavia, il progetto mostra quali nuove aree di attacco possono aprirsi nelle aziende che impiegano agenti IA autonomi. Non sorprende quindi che anche lo Swisscom Cybersecurity Threat Radar consideri l’IA come una tendenza in aumento nell’ambito della sicurezza. La protezione da tali attacchi e il loro riconoscimento rientrano tra i compiti della cyberdifesa, che deve adattarsi a scenari in continua evoluzione.

Al più tardi quando i settori specialistici iniziano a valutare autonomamente gli agenti IA o a impiegarli in modo produttivo, la sicurezza IA diventa un compito dirigenziale. Gli agenti autonomi, infatti, non sono più tool classici, ma agiscono con le proprie autorizzazioni, spesso al di fuori di meccanismi di controllo consolidati. Chi aspetta rischia di affrontare le questioni di sicurezza solo quando l’agente è già operativo.

L’IA semplifica il lavoro – ai cybercriminali

OpenClaw è stato sviluppato principalmente con e dall’IA. Le possibilità offerte dalla GenAI, come il «vibe coding,» non sono rimaste nascoste nemmeno ai cybercriminali. L’IA non semplifica solo la redazione di e-mail di phishing talmente ben congegnate da sembrare vere in diverse lingue, e senza errori di ortografia. Con «VoidLink» gli esperti di sicurezza hanno scoperto anche un malware Linux generato principalmente con l’IA. Oltre a permettere a nuovi gruppi criminali di emergere, l’IA consente a quelli esistenti di sfruttare le opportunità per «fare un upgrade» delle proprie competenze: VoidLink presenta delle caratteristiche che finora erano state trovate solo nei malware di gruppi ben attrezzati come i gruppi APT.
 
Ciò significa che anche gli attacchi dei cybercriminali «comuni» diventano più sofisticati. «L’IA consente agli hacker di sviluppare exploit per sistemi che non conoscono,» afferma Collin Geisser, Lead Security Architect di Swisscom. «Questo amplia la potenziale area di attacco.»

Anche le truffe diventano più sofisticate, «grazie» ai deepfake. L’audio con voci contraffatte o le immagini in movimento generate dall’IA rendono credibili il Social Engineering e la CEO Fraud. In Svizzera a gennaio è stato segnalato un caso in cui, grazie alla clonazione della voce, alcuni criminali sconosciuti si sono dichiarati partner commerciali noti al telefono e hanno convinto l’imprenditore interessato a pagare milioni di franchi.

Ma anche i processi che per l’identificazione si basano sul riconoscimento vocale o delle immagini potrebbero essere ingannati con l’IA. Il riconoscimento dei deepfake è sicuramente uno dei compiti impegnativi della cyberdifesa e richiede una combinazione di misure tecniche e di Security Awareness per sensibilizzare i collaboratori.

L’IA come supporto per la cyberdifesa 

L’IA rende gli cyberattacchi non solo più sofisticati, ma anche più rapidi. Lo sfruttamento automatico delle falle nella sicurezza e l’esecuzione di attacchi riducono la finestra temporale per il riconoscimento e la reazione. Ma Threat Detection and Response (TDR) può praticamente battere i cybercriminali con le loro stesse armi. L’IA può infatti fornire un valido aiuto anche nel riconoscimento degli attacchi. Ad esempio, può essere utile per rilevare modelli di attacco in grandi volumi di dati di log, per ricostruire le sequenze temporali o per analizzare malware – in un certo senso, effettuando il «vibe decoding».

Inoltre, anche gli analisti SOC migliorano le proprie competenze. Sono proprio le persone meno esperte a poter trarre vantaggio dall’IA nell’analisi di minacce complesse. E trasformare un rapporto tecnico in un riepilogo comprensibile per i manager è un compito piuttosto facile per l’IA. L’IA può aiutare gli specialisti anche nei penetration test o nei test di sicurezza per le applicazioni, afferma Geisser: «Con l’IA è possibile automatizzare compiti come il fuzzing, riducendo l’onere e i costi di tali test.»

In generale, il ruolo degli esperti cambia con l’IA. Anziché svolgere piccoli e noiosi lavori, gli analisti coordinano i processi automatizzati. Non si tratta di sostituire le persone, ma di alleggerirle, in modo che possano concentrarsi maggiormente sui compiti in cui è richiesta l’esperienza umana come classificare gli incidenti e adottare le misure giuste per l’Incident Response. Le parole chiave nell’impiego dell’IA nel SOC sono «human in the loop»: l’IA automatizza, l’uomo verifica e decide.

Il momento di «Glasswing»: punto di svolta nella cybersicurezza?

Claude «Mythos» di Anthropic potrebbe rappresentare un punto di svolta per l’impiego dell’IA sia nella cyberdifesa sia per i criminali informatici. All’inizio di aprile il modello, non disponibile al pubblico, ha mostrato capacità finora sconosciute nel riconoscimento – e nello sfruttamento – delle lacune. Mythos ha infatti scoperto un bug di quasi 30 anni nello stack di rete di OpenBSD, considerato uno dei sistemi operativi più sicuri in assoluto. E in un ambiente di test, l’IA è riuscita a combinare autonomamente diverse lacune nel Kernel Linux («chainen») e ad assumere il controllo completo del sistema. 
 
Nelle mani dei cybercriminali, un sistema di questo tipo potrebbe rivoluzionare completamente gli attacchi, con un livello di complessità finora riservato a pochi esperti. E anche se molti esperti di IA e cybersicurezza hanno commentato criticamente l’annuncio, c’è il rischio che l’IA aumenti il numero di attacchi zero-day e di conseguenza la necessità di patch per sistemi e applicazioni.
 
In risposta, Anthropic ha lanciato insieme a grandi nomi del settore il progetto Glasswing. L’obiettivo è offrire alla cyberdifesa e ai fornitori l’opportunità di sfruttare le capacità di Mythos prima che gli hacker scoprano le lacune. Ciò potrebbe rappresentare l’inizio di una nuova fase della cybersicurezza, in cui solo con il supporto delle macchine è possibile sconfiggere gli attacchi informatici.

Adeguare il Red Teaming per i sistemi IA

Molti rischi per la sicurezza dei sistemi IA non derivano da singole lacune, ma da decisioni riguardanti l’architettura, sottolinea Geisser: «L’IA amplia l’area di attacco, perché gli attacchi possono iniziare anche con la prompt injection. Ciò rappresenta un rischio soprattutto per gli agenti IA, che spesso dispongono di ampi diritti.»
Quando la sicurezza viene presa in considerazione solo a posteriori, spesso non è possibile correggere in modo adeguato le questioni chiave come le identità, le autorizzazioni o i flussi di dati. Soprattutto nel caso degli agenti autonomi, le decisioni riguardanti la sicurezza devono essere prese in fase iniziale, durante il design.

Per verificare la sicurezza dei sistemi IA sono necessari nuovi metodi di test. Infatti, a differenza delle applicazioni classiche, qui l’attenzione non è posta sulle falle nella sicurezza, bensì sull’esfiltrazione dei dati e sul funzionamento delle linee guida che dovrebbero evitare risposte inadeguate.

Occorre quindi ampliare i penetration test o il Red Teaming con compiti aggiuntivi quali:

  • Test di prompt injection
  • Simulazione di attacchi di inversione del modello: in questo caso, gli hacker cercano di risalire alla configurazione del modello utilizzato o di esfiltrare i dati di addestramento sulla base delle risposte fornite
  • Test sull’esfiltrazione dei dati
  • Esercitazioni tabletop specifiche per l’IA

Gli agenti IA autonomi segnano un punto di svolta nella cybersicurezza: per la prima volta i sistemi operano autonomamente negli ambienti IT, prendono decisioni e accedono alle risorse. Per i dirigenti in ambito IT e di sicurezza, questo significa che la sicurezza non deve frenare tutte le innovazioni, ma deve essere presa in considerazione sin dall’inizio. Chi definisce linee guida chiare crea spazio per un utilizzo produttivo dell’IA senza perdere il controllo.

Passi importanti per la cybersicurezza nell’era degli agenti IA

Ecco le principali raccomandazioni operative per reagire ai cyberrischi attraverso l’IA:

  • Creare trasparenza sugli agenti IA impiegati
  • Gestire gli agenti IA come identità privilegiate: autorizzazioni chiare, diritti di accesso minimi e azioni tracciabili (data, sistema, fattore scatenante, ecc.)
  • Tenere in considerazione i rischi della supply chain di skill e modelli IA nell’ambito della cyberdifesa
    -Estendere i processi SOC e il rilevamento degli attacchi all’IA, ad esempio con playbook correlati all’IA (prompt injection, fuoriuscite di dati ecc.)
  • Integrare la sicurezza IA nel piano architetturale e per i test di applicazioni e agenti supportati dall’IA
Swisscom Cybersecurity Threat Radar 2026: rischi IA, attacchi Supply Chain, sovranità digitale e OTSecurity. Panoramica delle principali tendenze informatiche. 

Maggiori informazioni: