Le minacce informatiche che prendono di mira l'intelligenza artificiale aziendale stanno rapidamente evolvendo da scenari teorici a episodi concreti e documentati. Gli esperti di sicurezza informatica lanciano l'allarme: nei prossimi anni assisteremo a un'impennata di questi attacchi, mentre la maggior parte delle organizzazioni non è ancora preparata a fronteggiarli. La corsa all'implementazione dell'IA, spinta dalla necessità di ottenere risultati rapidi, ha portato molte aziende a trascurare gli aspetti di sicurezza, lasciando vulnerabili sistemi e infrastrutture critiche.
John Licato, professore associato presso l'Università della Florida Meridionale e CEO della startup ActualizationAI, sottolinea una criticità fondamentale: "La maggior parte delle persone riconosce che questi attacchi sono possibili, ma non molti comprendono appieno come mitigare adeguatamente i rischi". Questa lacuna nella preparazione rappresenta una delle sfide più urgenti per i responsabili della sicurezza informatica.
Le vulnerabilità lungo tutto il ciclo di vita dell'IA
Gli attacchi ai sistemi di intelligenza artificiale si manifestano in forme diverse a seconda della fase del ciclo di vita in cui colpiscono. Alcuni mirano alla fase di addestramento attraverso l'avvelenamento dei dati, altri si concentrano sulla fase di inferenza mediante input ostili, mentre altri ancora si verificano durante la distribuzione con tecniche di furto del modello. Questa varietà di vettori di attacco rende particolarmente complessa la difesa dei sistemi basati su IA.
L'avvelenamento dei dati rappresenta una delle minacce più insidiose. Come spiega Robert T. Lee, Chief AI Officer del SANS Institute: "Immaginate di insegnare a un modello che il verde significa 'fermarsi' invece di 'andare'. L'obiettivo è degradare direttamente l'output del modello". Questa manipolazione dei dataset utilizzati per l'addestramento può compromettere completamente l'affidabilità di un sistema di IA, con conseguenze potenzialmente catastrofiche in ambiti critici come la guida autonoma o i sistemi di sicurezza.
L'infiltrazione attraverso i protocolli: una minaccia emergente
Nella primavera del 2025, Invariant Labs ha identificato una nuova categoria di attacco particolarmente preoccupante: il tool poisoning. Questa tecnica sfrutta vulnerabilità nel Model Context Protocol (MCP), consentendo agli aggressori non solo di sottrarre dati sensibili, ma anche di prendere il controllo completo del comportamento degli agenti IA. Gli attaccanti inseriscono istruzioni malevole nelle descrizioni degli strumenti MCP, che il modello interpreta modificando il proprio comportamento.
Chirag Mehta, analista principale di Constellation Research, descrive questo attacco come "un inquinamento del livello MCP stesso per ingannare l'agente e fargli compiere determinate azioni". La ricerca ha dimostrato che server malevoli possono sovrascrivere le istruzioni fornite da server affidabili, assumendo il controllo totale delle funzionalità dell'agente, inclusa l'infrastruttura considerata sicura.
Quando le istruzioni diventano armi: prompt injection e jailbreaking
Il prompt injection rappresenta una delle tecniche di attacco più diffuse contro i grandi modelli linguistici. Gli aggressori formulano richieste apparentemente legittime che contengono comandi nascosti, progettati per far compiere al modello azioni non autorizzate. Fabien Croce, Chief Data and AI Officer di Ducker Carlisle, avverte: "Utilizzando il prompt injection, è possibile modificare completamente il ruolo che un agente IA dovrebbe svolgere".
Recentemente sono emersi casi preoccupanti: dal ChatGPT indotto ad auto-iniettarsi prompt malevoli, all'inserimento di prompt dannosi nelle macro dei documenti, fino a dimostrazioni di attacchi "zero-click" contro agenti IA popolari. Il jailbreaking, o forzatura del modello, mira invece a bypassare le protezioni implementate per prevenire output dannosi, offensivi o non etici, utilizzando tecniche come il role-playing o l'offuscamento attraverso codifica, lingue straniere e caratteri speciali.
Il furto invisibile: estrazione e reverse engineering dei modelli
Gli attaccanti hanno sviluppato sofisticate tecniche per replicare o effettuare il reverse engineering di modelli IA e dei loro parametri. Attraverso interrogazioni ripetute di API pubbliche, come quelle di previsione o servizi cloud, riescono a raccogliere output sufficienti per analizzare il comportamento del modello e ricostruirlo. Alison Wikoff, responsabile della threat intelligence globale per PwC Americas, definisce questo attacco come quello che "consente di replicare lo strumento stesso in modo non autorizzato".
Una variante particolarmente insidiosa è l'inversione del modello, dove gli hacker utilizzano gli output per ricostruire i dati di addestramento originali, potenzialmente esponendo informazioni sensibili contenute nei dataset di training. Questa tecnica solleva gravi preoccupazioni sulla privacy, poiché consente di estrarre dati che il modello non dovrebbe mai rivelare.
La catena vulnerabile: rischi nella supply chain dell'IA
I sistemi di intelligenza artificiale sono costruiti combinando codice open source, modelli di terze parti e diverse fonti di dati. Questa complessità crea molteplici punti di vulnerabilità. Se anche un solo componente presenta falle di sicurezza, l'intero sistema può essere compromesso. Gli aggressori sfruttano queste debolezze per infiltrarsi nei sistemi completi, rendendo gli ecosistemi IA particolarmente esposti agli attacchi alla supply chain.
Gli input ostili rappresentano un'altra categoria di minaccia sofisticata. Gli attaccanti introducono dati modificati in modo impercettibile, sufficienti a ingannare i controlli di sicurezza ma abbastanza efficaci da far produrre al modello risultati errati. Queste alterazioni sono spesso così sottili da apparire come semplice rumore, eppure riescono a confondere completamente le decisioni del sistema.
La responsabilità ricade sui CISO: strategie di difesa
Secondo un'indagine di HackerOne, l'84% dei Chief Information Security Officer è attualmente responsabile della sicurezza dell'IA, mentre l'82% gestisce anche la privacy dei dati. Tuttavia, molti CISO si trovano in difficoltà, dovendo prioritizzare problemi immediati come l'IA shadow (sistemi non autorizzati) e gli attacchi tradizionali potenziati dall'intelligenza artificiale, mentre le minacce specifiche ai sistemi IA rimangono in parte teoriche.
Chirag Mehta di Constellation Research è categorico: "La sicurezza dell'IA non è semplicemente una sfida tecnica, ma una sfida strategica che richiede il pieno sostegno della leadership e la collaborazione tra dipartimenti". La governance dei dati costituisce il punto di partenza, garantendo l'integrità e la provenienza dei dati di addestramento e degli input del modello. I team di sicurezza devono acquisire nuove competenze per affrontare i rischi legati all'IA.
Strumenti e framework per la difesa
Le strategie per valutare, gestire e rispondere agli attacchi ai sistemi IA si stanno progressivamente consolidando. Oltre a mantenere una solida governance dei dati, gli esperti raccomandano di testare i modelli prima della distribuzione, monitorare continuamente i sistemi in produzione e utilizzare red team per saggiare la resistenza dei modelli.
Wikoff di PwC osserva che potrebbero essere necessarie misure specifiche per contrastare determinati tipi di attacco. Per prevenire il furto di modelli, ad esempio, è possibile monitorare query sospette, limitare le velocità di risposta o implementare timeout. Per ridurre gli attacchi evasivi, si può ricorrere all'addestramento avversariale, preparando il modello a resistere a questi specifici tentativi di compromissione.
L'adozione del framework MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) rappresenta un'opzione valida. Questo strumento fornisce una base di conoscenze strutturata su come gli attaccanti prendono di mira i sistemi IA, identificando tattiche, tecniche e procedure utilizzate. Come sottolinea Robert Lee del SANS: "Per i CISO, gli attacchi al backend dell'IA sono particolarmente complessi perché siamo ancora nella fase iniziale di comprensione di cosa stanno facendo gli hacker e perché".
Matt Goham, che guida il Cyber, Risk & Innovation Institute di PwC, conclude con una raccomandazione chiara: "Il compito fondamentale per i CISO è considerare quali forme di attacco potrebbero essere possibili durante la costruzione dell'infrastruttura". Nonostante la pressione competitiva per implementare rapidamente l'IA, la sicurezza non può essere relegata a un ripensamento successivo, ma deve essere integrata fin dall'inizio nei progetti di intelligenza artificiale.