Il punto di partenza è una constatazione ormai condivisa: gli agenti AI rappresentano una superficie di attacco completamente nuova. A differenza dei software tradizionali, questi sistemi non si limitano a eseguire istruzioni, ma prendono decisioni, manipolano dati sensibili e interagiscono con ambienti esterni. Questo li rende particolarmente vulnerabili a minacce logiche, come prompt injection e manipolazioni indirette del contesto, che non agiscono sul codice ma sul processo decisionale stesso dell’agente.
In questo scenario emerge il paradigma dello zero trust, un modello che abbandona l’idea di un perimetro sicuro e assume che ogni componente, interno o esterno, sia potenzialmente compromesso. Applicato agli agenti AI, lo zero trust implica che nessuna parte del sistema – né il modello, né gli strumenti, né il contesto – possa accedere automaticamente a risorse critiche senza verifiche continue e isolamento rigoroso.
Uno degli elementi centrali di questo approccio è l’isolamento delle credenziali. Le credenziali rappresentano il vero “potere operativo” di un agente: API key, token di accesso, autorizzazioni a database o sistemi aziendali. Se un attaccante riesce a manipolare il ragionamento dell’agente e ottenere accesso a queste credenziali, il sistema diventa un vettore di attacco interno. L’architettura proposta da Anthropic affronta questo problema separando in modo netto il livello di reasoning da quello delle credenziali. Anche in presenza di injection indirette, il contesto manipolato non può raggiungere il vault delle credenziali, riducendo drasticamente la superficie di attacco.
Questo modello introduce una distinzione fondamentale tra “pensiero” e “azione”: l’agente può essere influenzato nel ragionamento, ma non può tradurre automaticamente tale influenza in accesso operativo. In altre parole, anche se il modello viene ingannato, l’infrastruttura sottostante limita i danni.
L’approccio di NVIDIA con NemoClaw segue una logica diversa, più orientata alla gestione operativa e alla scalabilità enterprise. NemoClaw è concepito come una piattaforma completa per il deployment di agenti AI, con runtime strutturati, sandbox di esecuzione e strumenti di monitoraggio integrati. Tuttavia, secondo l’analisi riportata, in alcune configurazioni il contesto dell’agente, il reasoning e l’esecuzione possono coesistere nello stesso ambiente isolato, creando una maggiore prossimità tra input non fidati e capacità operative.
Questa differenza architetturale evidenzia una tensione tipica dei sistemi complessi: da un lato la massima sicurezza tramite isolamento rigoroso, dall’altro la necessità di efficienza, integrazione e prestazioni. NemoClaw compensa questo rischio con strumenti avanzati di controllo, logging e audit, che permettono di tracciare ogni azione dell’agente e intervenire in caso di anomalie.
Il tema dell’audit diventa quindi un altro pilastro fondamentale. Negli ambienti tradizionali, i log servono a ricostruire eventi passati; negli agenti AI, devono anche spiegare decisioni. Questo implica la capacità di tracciare non solo le azioni, ma anche la catena di reasoning che le ha generate. Senza questa trasparenza, diventa impossibile distinguere tra comportamento corretto, errore e attacco. Le architetture più avanzate iniziano a introdurre concetti come causal chain auditing e attestazioni comportamentali, che permettono di verificare in modo continuo l’integrità dell’agente e delle sue decisioni.
Un ulteriore aspetto critico riguarda la cosiddetta “lethal trifecta” degli agenti AI: accesso a dati sensibili, esposizione a input non fidati e capacità di agire autonomamente. Quando queste tre condizioni coesistono, il rischio di compromissione aumenta in modo esponenziale. Le architetture zero trust cercano proprio di spezzare questa combinazione, introducendo barriere tra i diversi livelli operativi.
Il confronto tra Anthropic e NVIDIA non va quindi letto come una competizione diretta, ma come due visioni complementari del problema. Anthropic privilegia la separazione radicale e la minimizzazione della fiducia, mentre NVIDIA punta su un’infrastruttura completa che integra sicurezza, orchestrazione e scalabilità. Entrambe rispondono a una stessa esigenza: rendere gli agenti AI utilizzabili in contesti reali senza trasformarli in un punto di vulnerabilità sistemica.
Questa evoluzione riflette un cambiamento più ampio nella sicurezza informatica. Non si tratta più di difendere sistemi statici, ma di governare entità dinamiche che apprendono, interagiscono e prendono decisioni. Le architetture tradizionali di identity and access management, progettate per utenti umani o servizi statici, mostrano limiti evidenti in questo nuovo contesto, richiedendo modelli più granulari, dinamici e verificabili.
Nel medio termine, è probabile che emerga una convergenza tra questi approcci: isolamento delle credenziali, sandboxing rigoroso, audit continuo e identità verificabili diventeranno elementi standard delle piattaforme per agenti AI. Ma il punto chiave resta invariato: la sicurezza non può essere un’aggiunta successiva, deve essere incorporata nell’architettura fin dall’inizio.
Per le aziende, questo significa affrontare una nuova fase di maturità tecnologica. L’adozione degli agenti AI non è più solo una questione di efficienza o automazione, ma di governance, controllo e responsabilità. In un contesto in cui oltre il 79% delle organizzazioni utilizza agenti AI ma solo una minoranza ha piena approvazione di sicurezza, il gap tra innovazione e protezione rappresenta una delle sfide più urgenti da colmare.