OpenAI ha rilasciato una funzionalità chiamata Lockdown Mode per i propri prodotti enterprise, progettata per limitare l'esfiltrazione di dati riducendo le capacità esterne degli agenti di intelligenza artificiale. La mossa, comunicata tramite un post ufficiale sul blog aziendale, è destinata principalmente a responsabili della sicurezza informatica (CISO) di grandi organizzazioni, inclusi enti governativi non classificati, e arriva in un momento in cui la diffusione degli agenti AI autonomi solleva interrogativi sempre più pressanti sulla governance dei dati.
Il contesto in cui si inserisce questa scelta è segnato da episodi concreti di rischio: di recente, alcuni utenti di Instagram hanno subito il furto di dati personali dopo che Meta aveva delegato a un agente AI il controllo delle modifiche alle password degli account. Questo tipo di incidente illustra quanto rapidamente le architetture agentiche possano trasformarsi in vettori di attacco, specialmente quando un modello opera con i privilegi di un utente autorizzato.
Nella sua configurazione operativa, il Lockdown Mode limita la navigazione web ai contenuti in cache, disabilita la modalità Deep Research e Agent Mode, impedisce a ChatGPT di scaricare file per l'analisi dei dati e blocca l'approvazione di codice generato da Canvas per accedere alla rete. La società consente comunque l'elaborazione di file caricati manualmente, lasciando aperta una finestra operativa che diversi analisti hanno già identificato come insufficiente.
La contraddizione più evidente è nel documento stesso di OpenAI: alla domanda "la prompt injection è un rischio significativo?", la risposta ufficiale recita che non lo è "al momento". Sanchit Vir Gogia, chief analyst di Greyhound Research, ha definito questa posizione rivelatrice: un fornitore non costruisce una panic room per una casa che ritiene sicura. Tradotto: l'esistenza stessa del Lockdown Mode è un'ammissione implicita di vulnerabilità strutturali.
Sul piano tecnico, la funzionalità presenta margini di permeabilità riconosciuti anche dagli addetti ai lavori. Tom Findling, CEO di Conifers.ai, ha osservato che il Lockdown Mode "probabilmente rappresenta il massimo ottenibile con l'infrastruttura attuale", ma non equivale a una soluzione definitiva. Un dirigente anonimo di una primaria società di cybersecurity agentiva ha aggiunto che nessun sistema di sandboxing si è finora dimostrato inviolabile per i modelli AI.
La questione del controllo aggiunge un ulteriore livello di complessità. Flavio Villanustre, CISO del LexisNexis Risk Solutions Group, ha evidenziato che i clienti possono controllare solo parzialmente i sistemi AI erogati come servizio: se il modello accede a servizi di terze parti dall'infrastruttura OpenAI, il team IT del cliente non ha strumenti per intervenire. Dennis Xu, research VP di Gartner, ha precisato che, trattandosi di un'applicazione SaaS, solo OpenAI può governare quel flusso di traffico in uscita, e che senza questa funzionalità i clienti non avrebbero alcun controllo.
Il problema si moltiplica in ambienti multi-vendor, scenario ormai prevalente nelle grandi organizzazioni. Gogia ha osservato che i controlli specifici di un fornitore sono tatticamente utili ma strategicamente fragili: OpenAI può limitare OpenAI, ma non può governare modelli locali distribuiti in altre business unit. Villanustre prevede che le aziende si troveranno a gestire un patchwork di controlli finché non emergeranno strumenti di governance indipendenti e trasversali ai vendor.
Erik Avakian, technical counselor di Info-Tech Research Group, ha ricordato che concetti analoghi — segmentazione di rete, least privilege, Zero Trust — esistono da anni nella cybersecurity tradizionale e potrebbero essere applicati anche senza delegare questa responsabilità al fornitore AI. Justin Greis, CEO di Acceligence, ha invece inquadrato il problema in termini strategici: il valore degli agenti AI deriva proprio dalla loro connettività, ma quella stessa connettività amplia la superficie d'attacco. Il futuro, secondo Greis, è un modello configurabile per contesto, sensibilità dei dati e profilo di rischio.
Rimane aperta una domanda che va oltre la tecnologia: se la maggioranza delle organizzazioni non può permettersi di gestire modelli AI in locale, e i vendor erogano questi sistemi come servizi gestiti con controlli eterogenei, chi risponde in ultima istanza delle violazioni? La governance dell'AI agentiva rischia di restare un territorio frammentato, dove la responsabilità si dissolve tra provider, clienti e regolatori, proprio mentre i sistemi acquisiscono capacità operative sempre più autonome.