Anthropic ha recentemente annunciato la decisione di non rilasciare Mythos, il suo modello AI più potente, al pubblico. Il motivo? Mythos ha individuato migliaia di vulnerabilità software sconosciute, alcune delle quali erano presenti in sistemi operativi e browser per quasi trent’anni senza essere rilevate. Secondo l’azienda, distribuire un modello del genere sarebbe troppo pericoloso: le stesse capacità che permettono di trovare e correggere falle di sicurezza potrebbero essere usate da attaccanti per sfruttarle su vasta scala.
Un solo agente AI, avverte Anthropic, potrebbe scansionare le difese digitali più velocemente e in modo più persistente di centinaia di hacker umani. Questa scelta solleva una domanda cruciale: dove ci troviamo davvero nello sviluppo dell’intelligenza artificiale?
Le stesse tecnologie che le aziende stanno affannosamente implementando come assistenti autonomi — per gestire appuntamenti, scrivere codice o ottimizzare workflow — sono anche in grado di sondare le difese digitali a una velocità e scala impossibili per qualsiasi team umano.
Un modello di sicurezza obsoleto
La maggior parte dei sistemi attuali si basa su un modello di sicurezza pensato per un’epoca in cui ogni accesso era gestito da una persona fisica. Immaginate un edificio dove ogni porta ha una serratura, ma tutte sono state progettate per riconoscere solo le mani umane. Ora, all’interno di quell’edificio, ci sono robot: alcuni sono corrieri autorizzati, altri intrusi. Le serrature, però, non riescono a distinguerli.
Fino a poco tempo fa, bastava sedersi alla scrivania, digitare username e password da un post-it e lasciare che il browser aprisse la porta verso il resto del mondo. Ogni livello di sicurezza successivo — password, domande di sicurezza, biometria, autenticazione a due fattori — si è evoluto partendo da un’assunzione fondamentale: dall’altra parte dello schermo c’era sempre una persona.
Gli agenti AI stanno demolendo questa ipotesi da due fronti contemporaneamente.
Il lato oscuro dell’automazione
Da un lato, gli agenti legittimi hanno bisogno di credenziali per agire come esseri umani. OpenAI Operator naviga siti web per vostro conto, Google Gemini può pianificare una vacanza familiare mentre dormite, e Visa ha recentemente lanciato Intelligence Commerce Connect, una piattaforma che permette agli agenti AI di fare acquisti per i consumatori. Questi non sono prototipi o idee da conferenza tecnologica: sono prodotti già in uso che agiscono per conto di persone reali — e per farlo, hanno bisogno della vostra identità.
Dall’altro lato, gli avversari possono fingere di essere umani su scala industriale. Lo stesso AI che può essere un assistente utile può trasformarsi in un impersonatore malintenzionato. Non si tratta di forzare le difese: loro si loggano. Attraverso credenziali condivise, processi di assunzione, portali di onboarding fornitori e strumenti di collaborazione.
L’identità digitale: il nuovo campo di battaglia
La maggior parte delle organizzazioni tratta ancora l’identità come un problema di accesso — qualcosa che l’IT risolve con password più complesse o ulteriori livelli di autenticazione. Il vero problema, ora, è capire chi o cosa ha già accesso ai vostri sistemi.
Questa distinzione — tra umano e macchina — sta svanendo proprio mentre i sistemi digitali diventano sempre più autonomi. Quando questa linea si dissolve, le conseguenze sono concrete. Se un flusso di approvvigionamento non riesce a distinguere tra un manager umano e un AI impersonatore, gli ordini di acquisto verranno emessi sotto falsa autorità. Se i log di conformità non riescono a determinare come un’azione è stata compiuta, le responsabilità diventano impossibili da tracciare.
Il rischio non è solo teorico. Secondo recenti rapporti, gli attacchi basati su AI sono già in aumento, con casi in cui sistemi automatizzati hanno bypassato controlli di sicurezza tradizionali sfruttando falle nell’identificazione dell’utente. Le aziende che non aggiorneranno i loro modelli di sicurezza rischiano di trovarsi con porte spalancate a strumenti che non sanno riconoscere.
«Le difese che abbiamo costruito per decenni si basano sull’idea che dietro ogni schermo ci sia una persona. Gli agenti AI stanno rendendo questa ipotesi obsoleta, e la maggior parte delle organizzazioni non è pronta.»
Cosa cambia per imprese e utenti?
Per le aziende, la sfida è duplice: proteggere i sistemi dagli agenti malevoli e garantire che quelli legittimi possano operare senza ostacoli. Servono nuovi modelli di autenticazione che vadano oltre la semplice verifica dell’identità umana, integrando comportamenti, contesti e pattern di utilizzo.
Per gli utenti, la consapevolezza è fondamentale. Condividere credenziali, anche con agenti AI, espone a rischi senza precedenti. Le aziende devono educare i propri dipendenti e clienti sui pericoli di un’identità digitale sempre più difficile da proteggere.
Il futuro dell’AI non è solo una questione di potenza di calcolo o di capacità di apprendimento. È una questione di identità, fiducia e sicurezza in un mondo dove le macchine agiscono per nostro conto — e dove, troppo spesso, non sappiamo più chi c’è davvero dall’altra parte dello schermo.
Articoli correlati
ArXiv vieta ai ricercatori per un anno se pubblicano lavori generati da AI
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Dietro le quinte: novità musicali e un errore clamoroso
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Nuova vulnerabilità zero-day di Cisco sfruttata attivamente: gruppo di minaccia persistente colpisce SD-WAN
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Mayo Clinic adotta l’IA per registrare le conversazioni in pronto soccorso
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
L'IA avanzata rivoluzionerà la guerra, avverte un alto ufficiale del Pentagono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersecurity: l'identità digitale diventa cruciale nell'era dell'IA secondo la Casa Bianca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn subisce un attacco informatico: ransomware Nitrogen colpisce stabilimenti nordamericani
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App di analisi delle feci con IA: in vendita un database con 150mila immagini di utenti
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...