La proliferazione degli agenti AI autonomi nelle aziende rappresenta una delle sfide di sicurezza più insidiose per il 2026, secondo quanto emerge dall'analisi di Palo Alto Networks. Il problema non riguarda tanto la tecnologia in sé, quanto la velocità con cui viene implementata e i privilegi estesi che questi sistemi ricevono per operare. Wendi Whitmore, Chief Security Intelligence Officer dell'azienda, ha definito gli agenti AI come "la nuova minaccia interna" che i responsabili della sicurezza informatica devono affrontare.
Il fenomeno sta esplodendo con una rapidità sorprendente. Le stime di Gartner indicano che entro la fine del 2026 il 40% delle applicazioni aziendali sarà integrato con agenti AI specializzati, rispetto a meno del 5% registrato nel 2025. Questa crescita esponenziale mette sotto pressione i team di sicurezza, costretti ad accelerare processi di procurement e verifiche che richiederebbero tempi molto più lunghi.
Il paradosso della difesa automatizzata
Gli agenti AI potrebbero teoricamente risolvere la cronica carenza di competenze nel settore della cybersicurezza, automatizzando attività come la correzione di codice difettoso, l'analisi dei log e la risposta immediata alle minacce. Whitmore ha raccontato di un analista interno che ha sviluppato un programma basato su AI capace di incrociare minacce pubblicamente note con i dati di intelligence privati dell'azienda, valutando la resilienza complessiva del sistema. Questo tipo di approccio consente ai team di sicurezza di passare da una posizione reattiva a una strategica, pianificando le difese su un orizzonte temporale di sei mesi.
L'implementazione pratica prevede la categorizzazione degli alert in tre tipologie: quelli che richiedono azione umana, quelli che possono essere chiusi automaticamente e quelli che possono essere risolti in autonomia. Tuttavia, Palo Alto Networks sta procedendo gradualmente, iniziando dai casi d'uso più semplici prima di estendere l'automazione ad ambiti più complessi.
Il problema del "superutente digitale"
La vera vulnerabilità emerge quando agli agenti AI vengono concessi privilegi eccessivi. Il "superuser problem" si verifica quando questi sistemi autonomi ricevono permessi così ampi da poter concatenare accessi a applicazioni e risorse sensibili senza la supervisione dei team di sicurezza. Come sottolinea Whitmore, vale anche per gli agenti AI il principio del minimo privilegio necessario, proprio come per gli utenti umani.
Uno scenario particolarmente preoccupante riguarda quello che Whitmore definisce il "doppelganger" del CEO. Immaginate agenti AI configurati per approvare transazioni o firmare contratti che normalmente richiederebbero l'autorizzazione diretta dei dirigenti di alto livello. L'obiettivo è rendere più efficiente il lavoro dei vertici aziendali, costantemente oberati da impegni. Ma cosa succederebbe se un agente approvasse un bonifico fraudolento a nome del CEO? O se, in uno scenario di fusione aziendale, un attaccante manipolasse il modello per far agire l'agente con intenti malevoli?
Attacchi prompt injection: nessuna soluzione all'orizzonte
La vulnerabilità agli attacchi di prompt injection rimane una delle maggiori preoccupazioni. Secondo le previsioni di Palo Alto Networks, con "un singolo prompt injection ben costruito o sfruttando una vulnerabilità di 'tool misuse'", gli avversari possono ottenere "un insider autonomo ai loro comandi, capace di eseguire silenziosamente transazioni, cancellare backup o esfiltrare interi database di clienti". Nel corso del 2025, i ricercatori hanno ripetutamente dimostrato che questi attacchi rappresentano un problema reale, senza che sia stata individuata una soluzione definitiva.
La situazione potrebbe peggiorare ulteriormente prima di migliorare, ammette Whitmore. Il paradosso sta nel fatto che i creatori di queste tecnologie hanno bisogno che gli utenti sperimentino casi d'uso creativi, e questo spesso implica la manipolazione dei modelli. L'innovazione nell'AI procede a una velocità molto superiore rispetto all'integrazione della sicurezza, che resta indietro.
Come gli attaccanti sfruttano l'intelligenza artificiale
Il team di risposta agli incidenti Unit 42 di Palo Alto Networks ha osservato nel 2025 due modalità principali di abuso dell'AI da parte degli attaccanti. La prima consente loro di condurre attacchi tradizionali più rapidamente e su vasta scala. La seconda riguarda la manipolazione dei modelli per eseguire nuovi tipi di attacchi. Un cambiamento significativo nelle tattiche: invece di muoversi lateralmente verso un domain controller per compromettere le credenziali di Active Directory, gli attaccanti accedono direttamente ai modelli linguistici interni e li interrogano, facendo svolgere tutto il lavoro all'AI stessa.
L'attacco documentato da Anthropic lo scorso settembre rappresenta un esempio emblematico. Spie cibernetiche cinesi hanno utilizzato lo strumento Claude Code per automatizzare attacchi di raccolta intelligence contro organizzazioni governative e aziende di alto profilo, riuscendo in alcuni casi a penetrare i sistemi. Sebbene Whitmore non si aspetti attacchi completamente autonomi da parte di agenti AI nel 2026, prevede che l'intelligenza artificiale fungerà da moltiplicatore di forza per i gruppi di intrusione: "Piccoli team avranno capacità paragonabili a grandi eserciti, sfruttando l'AI per eseguire attività che in passato avrebbero richiesto risorse umane molto più consistenti".
Paralleli con la migrazione al cloud
Whitmore traccia un parallelo interessante con la migrazione al cloud avvenuta due decenni fa. Le maggiori violazioni negli ambienti cloud non sono derivate dall'uso della tecnologia in sé, ma da configurazioni insicure. Gli stessi segnali si stanno manifestando nell'adozione dell'AI. Per i responsabili della sicurezza, questo significa stabilire best practice per le identità AI, configurare gli agenti con controlli di accesso che li limitino esclusivamente ai dati e alle applicazioni necessarie per svolgere compiti specifici, e implementare sistemi di rilevamento rapido nel caso un agente "impazzisca".