Gli agenti AI ora offrono un maggiore accesso e una maggiore connettività ai sistemi aziendali rispetto ad altri software nell’ambiente. Ciò li rende una superficie di attacco più ampia di qualsiasi cosa i team di sicurezza abbiano dovuto gestire in precedenza, e il settore non dispone ancora di una struttura per questo. "Se utilizzato, questo vettore di attacco potrebbe provocare una violazione dei dati o qualcosa di peggio." ha affermato Spiros Xanthos, fondatore e CEO di Resolve AI, parlando a un recente evento VentureBeat AI Impact Series. I sistemi di sicurezza tradizionali si basano sulle interazioni umane. Nello stesso evento, Jon Aniano, vicepresidente dei prodotti e delle applicazioni CRM di Zendesk, ha affermato che non esiste ancora una struttura concordata per gli agenti IA che possiedono persone e possono operare in modo autonomo. L’intelligenza artificiale delle agenzie sta avanzando più velocemente di quanto le organizzazioni riescano a costruire guardrail e il Model Context Protocol (MCP) sta esacerbando il problema riducendo al contempo la complessità dell’integrazione. Secondo Aniano e altri leader dell’azienda, l’intelligenza artificiale di Agentic sta avanzando più velocemente di quanto le organizzazioni riescano a costruirle dei guardrail attorno. E sebbene il Model Context Protocol (MCP) riduca la complessità dell’integrazione, non aiuta. “In questo momento è una questione irrisolta perché siamo nel selvaggio, selvaggio West”, ha detto Aniano. “Non abbiamo nemmeno un protocollo tecnico definito da rappresentante ad agente su cui tutte le aziende concordano. Come riesci a bilanciare le aspettative degli utenti con ciò che mantiene sicura la tua piattaforma?”
MCP ancora "estremamente tollerante"
Le organizzazioni si connettono sempre più ai server MCP perché semplifica l’integrazione tra agenti, strumenti e dati. Ma ha detto che i server MCP tendono ad essere “estremamente indulgenti”. Ha suggerito che questi sono “in realtà probabilmente peggiori di un’API” perché le API almeno hanno più controllo da imporre agli agenti. I rappresentanti di oggi agiscono per conto delle persone sulla base di un permesso esplicito, garantendo così la responsabilità umana. "Ma in futuro potresti avere dozzine o centinaia di veicoli con la propria identità e il proprio accesso." disse Xantos. "Diventa una matrice molto complessa."
Ha riconosciuto che il settore “manca completamente di una struttura” per agenti autonomi, anche se la sua startup sviluppa agenti IA autonomi per l’ingegneria dell’affidabilità del sito (SRE) e la gestione dei sistemi. “Dipende interamente da noi e da tutti coloro che compongono i broker decidere quali restrizioni imporre loro”, ha detto. E i clienti devono potersi fidare di queste decisioni. Alcuni strumenti di sicurezza esistenti offrono un accesso capillare – Splunk, ad esempio, ha affermato di aver sviluppato un metodo per ottenere l’accesso a indici specifici negli archivi dati sottostanti – ma la maggior parte sono più ampi e più incentrati sull’uomo. “Stiamo cercando di risolvere questo problema con gli strumenti disponibili”, ha detto. "”Ma non credo che questi siano sufficienti per l’era delle spie.”
Chi sarà ritenuto responsabile nel caso in cui l’IA autenticasse erroneamente un utente?
Aniano ha osservato che presso Zendesk e altri fornitori di piattaforme di gestione delle relazioni con i clienti (CRM), l’intelligenza artificiale è incorporata in una serie di interazioni con gli utenti; in effetti, ora è “a un volume e su una scala a cui non pensiamo come imprese e società”.
Le cose possono diventare difficili quando l’intelligenza artificiale assiste gli agenti umani; La pista di controllo può diventare un labirinto. “Ora hai un essere umano che parla con un essere umano che parla con un’intelligenza artificiale”, ha detto Aniano. “L’umano dice all’IA di agire. Se si tratta di un’azione sbagliata, di chi è la colpa?” Ciò diventa ancora più complicato quando ci sono “più pezzi di intelligenza artificiale e più persone”." nella miscela. Per evitare che gli agenti sfuggano di mano, Zendesk tende a essere “molto severo” in termini di accesso e ambito; Tuttavia, i clienti possono definire le proprie ringhiere in base alle proprie esigenze. Nella maggior parte dei casi, l’intelligenza artificiale può accedere alle risorse informative ma non scrive codice né esegue comandi sui server, ha affermato Aniano. Se un’intelligenza artificiale chiama un’API, viene “progettata in modo dichiarativo” e convalidata e le azioni vengono chiamate in modo specifico. Ma la domanda dei clienti si sta riversando in questi scenari e “al momento stiamo tenendo le porte”, ha detto. L’industria deve sviluppare standard concreti per le interazioni degli agenti. “Con strumenti come MCP in grado di rilevare automaticamente gli strumenti, stiamo entrando in un mondo in cui dobbiamo creare nuovi metodi di sicurezza per decidere con quali strumenti questi robot possono interagire”, ha affermato Aniano. Quando si tratta di sicurezza, ha affermato, le aziende sono giustamente preoccupate che l’intelligenza artificiale possa assumere il controllo di attività di autenticazione come l’invio e l’elaborazione di password monouso (OTP), codici SMS o altri metodi di verifica in due passaggi. Cosa succede se un’IA conferma o identifica erroneamente qualcuno? Ciò potrebbe portare alla fuga di dati sensibili o aprire la porta agli aggressori. “C’è uno spettro ora, e la fine di quello spettro oggi è una persona”, ha detto Aniano. Tuttavia, “domani l’estremità di quello spettro potrebbe essere un agente speciale progettato per produrre lo stesso tipo di sensazione viscerale o interazione a livello umano”. I clienti stessi rientrano nello spettro dell’adozione e del comfort. Aniano ha osservato che in alcune aziende, soprattutto nei servizi finanziari o in altri ambienti altamente regolamentati, gli esseri umani devono ancora essere coinvolti nel processo di verifica dell’identità. In altri casi, le aziende legacy o le vecchie guardie si affidano esclusivamente agli esseri umani per autenticare altre persone. Ha notato che Zendesk sta sperimentando nuovi agenti AI che sono “un po’ più connessi ai sistemi” e sta lavorando con un gruppo selezionato di clienti sul guardrail.
Sta arrivando l’autorità permanente
In futuro, si potrà fidarsi più degli agenti che degli esseri umani per eseguire alcuni compiti e ricevere permessi “ben oltre” quelli che gli umani hanno oggi, ha detto Xanthos. Ma siamo ancora lontani da questo obiettivo e spesso il timore che qualcosa vada storto è ciò che trattiene le imprese. “È una bella paura, vero? Non sto dicendo che sia una brutta cosa”, ha detto. Molte organizzazioni non si sentono ancora a proprio agio nel fatto che un agente esegua tutte le fasi del flusso di lavoro o chiuda completamente il ciclo da solo. Vogliono ancora la revisione umana. Resolve AI è sul punto di dare maggiore potere agli agenti in diverse situazioni “generalmente sicure”, come la codifica; Xanthos ha spiegato che da lì sarebbero passati a scenari più aperti e meno rischiosi. Ma ha anche riconosciuto che ci saranno sempre situazioni molto rischiose in cui gli errori dell’intelligenza artificiale potrebbero, secondo le sue parole, “cambiare lo stato del sistema di produzione”. Ma alla fine: “Naturalmente non si può tornare indietro; questo si sta muovendo più velocemente di quanto anche i dispositivi mobili siano mai stati. Quindi la domanda è: cosa facciamo al riguardo?”
Cosa possono fare ora i team di sicurezza?
Entrambi i relatori hanno sottolineato le misure temporanee disponibili sui veicoli attuali. Xanthos ha notato che alcuni strumenti, incluso Splunk, offrono controlli granulari di accesso a livello di directory che possono essere applicati agli agenti. Aniano ha descritto l’approccio di Zendesk come un punto di partenza pratico: chiamate API progettate in modo dichiarativo con azioni esplicitamente approvate, limiti rigorosi di accesso e ambito e revisione umana prima di estendere le autorizzazioni dell’agente.
Il principio base, come afferma Aniano: "Controlliamo sempre queste porte e vediamo come possiamo ampliare l’apertura" — ovvero non concedere un’autorizzazione permanente finché non avrai convalidato ciascuna estensione.
