L’adozione di agenti AI autonomi all’interno delle aziende sta aprendo un nuovo fronte della cybersecurity che fino a pochi mesi fa era quasi assente nelle strategie di difesa tradizionali. Il problema non riguarda soltanto il modello linguistico o i classici attacchi di prompt injection, ma soprattutto l’intero ecosistema di strumenti, plugin, registry e connettori che gli agenti utilizzano per operare in autonomia.
Il tema emerso negli ultimi giorni riguarda in particolare il cosiddetto “tool poisoning”, una tecnica che sfrutta il modo in cui gli agenti AI selezionano gli strumenti da utilizzare durante le proprie attività operative. Nei sistemi agentici moderni, infatti, l’agente non sceglie i tool tramite verifiche rigide o whitelist statiche, ma interpreta descrizioni in linguaggio naturale presenti nei registry aziendali o nei marketplace interni. Questo significa che un tool malevolo può presentarsi come un componente legittimo, inducendo l’agente a utilizzarlo senza che vi sia una reale verifica umana o crittografica dell’affidabilità dello strumento.
La criticità è molto più ampia di quanto possa sembrare. In un’infrastruttura enterprise moderna, gli agenti AI non si limitano a generare testo: possono leggere documenti, interrogare database, accedere a repository Git, modificare ticket ITSM, interagire con ERP, CRM e piattaforme cloud. Se un attaccante riesce a manipolare il registry degli strumenti oppure le descrizioni semantiche associate ai tool, può influenzare il comportamento dell’agente fino a ottenere accessi impropri, esfiltrazione dati o esecuzione di azioni non autorizzate.
Uno degli aspetti più pericolosi del tool poisoning è che l’attacco non richiede necessariamente vulnerabilità software classiche. Non serve sfruttare buffer overflow, escalation di privilegi o exploit kernel-level. È sufficiente manipolare il contesto interpretativo dell’agente. In pratica, l’agente viene ingannato sul significato e sulla funzione reale dello strumento che sta utilizzando. Questo cambia radicalmente il paradigma della sicurezza informatica, perché l’attacco avviene sul piano semantico e decisionale, non esclusivamente su quello tecnico tradizionale.
Il problema si amplifica ulteriormente nei sistemi multi-agent e nelle architetture distribuite. Molte aziende stanno implementando ecosistemi in cui più agenti collaborano tra loro, condividendo tool, memoria e workflow. In questo scenario, un singolo tool compromesso può propagare comportamenti errati lungo l’intera catena operativa. Gli studi più recenti parlano ormai apertamente di “runtime supply chain attack”, cioè attacchi alla filiera operativa in tempo reale degli agenti AI.
La situazione è resa ancora più complessa dal fatto che molti agenti selezionano gli strumenti sulla base di similarità linguistiche. Se un tool malevolo viene descritto con keyword convincenti o con metadata ottimizzati per l’interpretazione dell’LLM, l’agente potrebbe preferirlo rispetto a uno strumento legittimo. Questo introduce un problema molto simile al phishing, ma applicato alle decisioni autonome delle AI enterprise. Non è più l’utente umano a cliccare sul link sbagliato: è l’agente a scegliere autonomamente il componente malevolo.
Le conseguenze operative possono essere estremamente gravi. Un agente compromesso potrebbe recuperare segreti aziendali da vault interni, modificare configurazioni cloud, eseguire codice arbitrario tramite API autorizzate o accedere a dati sensibili custoditi nei sistemi documentali aziendali. In ambienti DevOps e CI/CD il rischio diventa ancora più elevato, perché molti agenti hanno privilegi estesi per accelerare automazione, deployment e gestione infrastrutturale.
Diversi report recenti mostrano che le aziende stanno adottando agenti AI molto più rapidamente rispetto alla capacità di governarli in sicurezza. Alcune analisi di settore indicano che solo una minima parte delle organizzazioni dispone di processi strutturati di approvazione e validazione degli agenti prima della messa in produzione, mentre gli incidenti legati alla sicurezza agentica risultano già estremamente diffusi.
Il tema della governance sta diventando centrale anche per le autorità di sicurezza internazionali. Le agenzie del gruppo Five Eyes hanno recentemente evidenziato come gli agenti autonomi introducano superfici d’attacco completamente nuove, raccomandando controlli molto più rigidi sui privilegi, sulla tracciabilità delle azioni e sulla validazione degli strumenti utilizzati dagli agenti.
Uno dei principali problemi è l’assenza di un modello standardizzato di identità e provenienza dei tool. Oggi molti registry interni si basano su descrizioni testuali e metadata facilmente modificabili. Mancano spesso firme crittografiche robuste, verifiche di integrità runtime e sistemi di attestazione continua dei componenti utilizzati dagli agenti. In pratica, molte piattaforme agentiche enterprise stanno replicando gli stessi errori che anni fa avevano colpito la supply chain software tradizionale, ma con un livello di autonomia operativa molto più elevato.
Anche il fenomeno dello “shadow AI” contribuisce ad aggravare il rischio. Sempre più dipendenti introducono strumenti AI non autorizzati nei workflow aziendali, creando registry paralleli, integrazioni improvvisate e automazioni fuori governance IT. Questo aumenta enormemente la probabilità che tool non verificati vengano incorporati negli ecosistemi agentici enterprise.
Per ridurre il rischio non sarà sufficiente applicare i controlli tradizionali della cybersecurity. Le aziende dovranno implementare modelli Zero Trust specifici per gli agenti AI, trattando ogni tool, prompt, contesto e memoria come potenzialmente non affidabili. Gli esperti stanno iniziando a suggerire architetture in cui gli agenti possano utilizzare solo strumenti firmati digitalmente, eseguiti in sandbox isolate e sottoposti a controlli continui di comportamento anomalo.
Parallelamente, diventeranno fondamentali il monitoraggio runtime degli agenti, la segregazione dei privilegi, la verifica delle catene decisionali e la possibilità di interrompere rapidamente workflow autonomi in caso di comportamento sospetto. In sostanza, la sicurezza degli agenti AI non potrà più essere considerata una semplice estensione della sicurezza applicativa tradizionale, ma dovrà essere trattata come una disciplina specifica, con modelli di governance, auditing e threat detection completamente nuovi.
L’aspetto più critico è probabilmente questo: gli agenti AI stanno acquisendo capacità operative reali molto più velocemente rispetto alla maturazione degli standard di sicurezza che dovrebbero governarli. Il tool poisoning rappresenta quindi non una vulnerabilità isolata, ma il segnale di un problema strutturale molto più ampio legato alla fiducia automatica che gli ecosistemi enterprise stanno iniziando a concedere agli agenti autonomi.