Le aziende si trovano di fronte a una nuova minaccia informatica che paradossalmente proviene dall'interno, ma non è rappresentata da dipendenti infedeli o collaboratori corrotti. Gli agenti di intelligenza artificiale autonomi stanno per diventare il principale rischio per la sicurezza aziendale nel 2026, creando scenari che fino a poco tempo fa appartenevano solo alla fantascienza. Il fenomeno è destinato a esplodere nei prossimi mesi, con Gartner che stima come entro la fine del 2026 il 40% delle applicazioni aziendali integrerà agenti AI specializzati, rispetto a meno del 5% del 2025.
Wendi Whitmore, responsabile della sicurezza informatica di Palo Alto Networks, ha illustrato in un'intervista a The Register le dimensioni del problema. La pressione sui responsabili della sicurezza informatica e sui loro team è già enorme: devono implementare rapidamente nuove tecnologie, attraversare processi di approvvigionamento complessi ed effettuare verifiche di sicurezza per comprendere se le nuove applicazioni AI siano sufficientemente sicure per gli scopi aziendali. Questa corsa all'innovazione ha trasformato gli stessi agenti AI in quella che Whitmore definisce "la nuova minaccia interna".
Il paradosso degli assistenti digitali
La questione presenta una contraddizione intrinseca che ricorda il dilemma della spada di Damocle. Da un lato, questi sistemi intelligenti possono colmare la carenza cronica di competenze nel campo della cybersicurezza, correggendo automaticamente codice difettoso, scansionando log, gestendo gli allarmi e bloccando rapidamente le minacce. Dall'altro, proprio in virtù delle loro configurazioni e autorizzazioni, possono accedere a dati sensibili e sistemi critici, diventando obiettivi estremamente appetibili per gli attaccanti.
"Quando guardiamo attraverso la lente del difensore, molte delle capacità agentiche ci permettono di pensare più strategicamente a come difendere le nostre reti, invece di trovarci sempre in una situazione reattiva", ha spiegato Whitmore. La responsabile ha raccontato di un analista interno del centro operativo di sicurezza di Palo Alto Networks che ha sviluppato un programma basato sull'AI capace di indicizzare le minacce pubblicamente note confrontandole con i dati privati di intelligence dell'azienda, analizzando la resilienza complessiva e identificando quali problemi di sicurezza potrebbero causare maggiori danni.
Il problema del "superutente" digitale
Uno dei rischi principali emerge quando gli agenti autonomi ricevono autorizzazioni troppo ampie, creando un "superutente" in grado di concatenare accessi ad applicazioni e risorse sensibili senza che i team di sicurezza ne siano a conoscenza o abbiano dato il loro consenso. Diventa quindi fondamentale applicare anche agli agenti AI lo stesso principio che si utilizza per gli esseri umani: concedere solo il minimo livello di privilegi necessario per svolgere un determinato compito.
Ma c'è un secondo scenario ancora più inquietante che Whitmore definisce "il concetto del doppelganger". Si tratta dell'utilizzo di agenti AI specializzati per approvare transazioni o revisionare e firmare contratti che normalmente richiederebbero l'approvazione manuale dei dirigenti di massimo livello. I CEO e i top manager sono costantemente impegnati in mille direzioni diverse durante la giornata, e l'idea di delegare alcune decisioni a un agente AI può sembrare allettante per aumentare l'efficienza. Tuttavia, man mano che si concede più potere, autorità e autonomia a questi agenti, emergono problemi concreti: un agente potrebbe approvare un bonifico indesiderato per conto del CEO, oppure in uno scenario di fusione aziendale, un attaccante potrebbe manipolare i modelli in modo da costringere l'agente AI ad agire con intenti malevoli.
L'arma degli attacchi prompt-injection
Secondo le previsioni di Palo Alto Networks per il 2026, attraverso un singolo attacco di prompt injection ben progettato o sfruttando una vulnerabilità di "uso improprio degli strumenti", gli avversari possono ora avere "un insider autonomo ai loro comandi, che può silenziosamente eseguire operazioni, eliminare backup o procedere all'esfiltrazione dell'intero database clienti". La minaccia degli attacchi prompt-injection rimane concreta, con ricercatori che quest'anno hanno ripetutamente dimostrato come si tratti di un problema reale senza una soluzione all'orizzonte.
"Probabilmente la situazione peggiorerà molto prima di migliorare", ha affermato Whitmore riferendosi agli attacchi prompt-injection. "Nel senso che non credo proprio che abbiamo questi sistemi sufficientemente blindati". Parte del problema è intenzionale: i nuovi sistemi e i creatori di queste tecnologie hanno bisogno che le persone possano elaborare casi d'uso creativi per gli attacchi, e questo spesso comporta la manipolazione dei modelli. Lo sviluppo e l'innovazione all'interno dei modelli AI stessi stanno avvenendo molto più rapidamente rispetto all'integrazione della sicurezza, che resta indietro.
Come gli hacker sfruttano l'intelligenza artificiale
Nel 2025, il team di risposta agli incidenti Unit 42 di Palo Alto Networks ha osservato gli attaccanti abusare dell'AI in due modi distinti. Il primo ha permesso loro di condurre attacchi informatici tradizionali più velocemente e su scala più ampia. Il secondo ha coinvolto la manipolazione di modelli e sistemi AI per condurre nuovi tipi di attacchi. "Storicamente, quando un attaccante otteneva l'accesso iniziale a un ambiente, voleva muoversi lateralmente verso un domain controller", ha spiegato Whitmore. "Voleva scaricare le credenziali di Active Directory, voleva elevare i privilegi. Ora non lo vediamo più tanto spesso. Quello che stiamo vedendo è che ottengono accesso a un ambiente, vanno immediatamente dritti al LLM interno e iniziano a interrogare il modello per domande e risposte, facendogli fare tutto il lavoro per loro conto".
L'esempio più emblematico citato da Whitmore riguarda gli attacchi documentati da Anthropic lo scorso settembre. Spie informatiche cinesi hanno utilizzato lo strumento Claude Code AI dell'azienda per automatizzare attacchi di raccolta intelligence contro multiple organizzazioni governative e aziende di alto profilo, riuscendo in alcuni casi. Sebbene Whitmore non preveda che gli agenti AI portino a termine attacchi completamente autonomi quest'anno, si aspetta che l'AI funga da moltiplicatore di forza per gli intrusi di rete. "Vedrete questi team davvero piccoli avere quasi le capacità di grandi eserciti", ha dichiarato. "Ora possono sfruttare le capacità AI per fare molto più lavoro che in precedenza avrebbe richiesto un team molto più grande".
Lezioni dalla migrazione al cloud
La responsabile della sicurezza traccia un parallelo illuminante con la migrazione al cloud avvenuta due decenni fa. Le violazioni più gravi verificatesi negli ambienti cloud non sono state causate dall'uso del cloud in sé, ma perché prendevano di mira distribuzioni cloud configurate in modo insicuro. Gli stessi indicatori si stanno ripetendo con l'adozione dell'intelligenza artificiale. Per i CISO questo significa stabilire best practice quando si tratta di identità AI e fornire agli agenti e agli altri sistemi basati sull'AI controlli di accesso che li limitino solo ai dati e alle applicazioni necessari per svolgere i loro compiti specifici. "Dobbiamo fornirli con il minimo accesso possibile e avere controlli configurati in modo da poter rilevare rapidamente se un agente diventa canaglia", ha concluso Whitmore.