Sicurezza degli agenti IA: gli 8 principali strumenti e le minacce per il 2026

In pratica, la sicurezza degli agenti IA si traduce in due cose diverse: proteggere gli agenti autonomi implementati dall'organizzazione e utilizzare gli agenti IA per eseguire operazioni di sicurezza più velocemente di quanto possano fare gli analisti umani.

Abbiamo analizzato otto piattaforme appartenenti a entrambe le categorie, i vettori di attacco le rendono necessarie e le scadenze per la conformità ci stanno ora imponendo di avviare questo dialogo.

Strumenti e piattaforme di sicurezza basati su agenti di intelligenza artificiale

Il mercato è suddiviso in due categorie.

• Categoria 1: Protezione degli agenti IA (AI-SPM e protezione in fase di esecuzione): si concentra sulla protezione degli agenti IA distribuiti: scansione dei modelli prima della distribuzione, controllo degli accessi consentiti agli agenti e blocco di attacchi come l'iniezione di prompt in fase di esecuzione.
• Categoria 2: Agenti di IA che eseguono operazioni di sicurezza (Agentic SOC) : Implementa agenti di IA per eseguire autonomamente operazioni di sicurezza, sostituendo o integrando gli analisti umani nei flussi di lavoro del SOC.

*Azure Solo registri ML, modelli di terze parti o auto-ospitati non coperti.

• Gestione dell'identità degli agenti: monitoraggio dei token OAuth, gestione dell'identità non umana (NHI) e applicazione del principio del minimo privilegio per gli agenti distribuiti.
• Sicurezza MCP : monitoraggio nativo delle connessioni al server del Model Context Protocol.
• Red Teaming Agentico: simulazione di attacco multi-turno e multi-agente, distinta dal red teaming LLM standard.

1. Strumenti di gestione della postura di sicurezza basati sull'intelligenza artificiale (AI-SPM)

Palo Alto Networks Prisma AIRS

Prisma AIRS (AI Runtime Security) è l'unica piattaforma in questo confronto a vantare una copertura end-to-end del ciclo di vita dell'IA agentiva, dalla scansione del modello pre-implementazione all'applicazione in tempo reale, come prodotto distinto da Prisma Cloud, l'offerta CNAPP dell'azienda. ¹

Il gateway per agenti AI (un piano di controllo centrale che applica controlli di accesso basati sull'identità per gli agenti autonomi durante l'esecuzione in tempo reale), la sicurezza degli artefatti degli agenti (scansione dell'architettura prima della distribuzione) e il Red Teaming AI integrato per sistemi multi-agente. ² La piattaforma ha integrato il sistema di rilevamento delle vulnerabilità di serializzazione ModelScan di Protect AI in seguito all'acquisizione da parte di Palo Alto Networks nel luglio 2025. La sicurezza degli endpoint basata su agenti di Koi è in attesa di integrazione completa e, al secondo trimestre del 2026, rimane un'implementazione separata. ³

Vantaggi:

• La scansione preliminare del modello AI rileva manomissioni del modello, script dannosi e attacchi di deserializzazione.
• La funzionalità integrata di Red Teaming basata sull'IA supporta la simulazione di attacchi a più turni e il test di sistemi multi-agente.
• Le misure di sicurezza in fase di esecuzione impediscono la manipolazione dei prompt e l'esposizione dei dati durante le interazioni con gli agenti in tempo reale. ⁴

Svantaggi:

• I prezzi non sono resi pubblici; sono necessari contratti aziendali.
• L'integrazione degli endpoint Koi è in corso; gli agenti in esecuzione localmente al di fuori dei perimetri cloud e SaaS richiedono un'implementazione separata fino al completamento di tale integrazione.

Wiz AI-SPM

L'elemento distintivo principale di Wiz AI-SPM è il Wiz Security Graph, che correla i rischi dell'IA con il contesto dell'infrastruttura cloud sottostante. ⁵ Mentre la maggior parte degli strumenti AI-SPM segnalano i rischi dell'IA in modo isolato, il Security Graph mostra che un modello vulnerabile è in esecuzione in una VPC di produzione con un contesto di uscita da Internet che modifica la priorità di correzione.

La piattaforma include Mika AI per le query di rischio in linguaggio naturale ("quali LLM stanno accedendo ai database di produzione?"), Wiz Blue Agent per l'analisi automatizzata delle minacce e Wiz Defend per la protezione in fase di esecuzione contro l'iniezione di prompt e il comportamento di agenti non autorizzati. ⁶ La scoperta di Shadow AI opera senza agenti, scansionando i repository dei modelli Hugging Face alla ricerca di codice dannoso e dati di addestramento per l'esposizione di PII.

Vantaggi:

• Genera una distinta base dell'IA (AI-BOM) che comprende modelli, framework e dipendenze alla base di ciascun sistema di intelligenza artificiale. ⁷
• Consente di individuare carichi di lavoro AI "ombra" e servizi AI non gestiti senza la necessità di installare agenti. ⁸
• La correlazione codice-cloud collega i rischi dell'IA a livello di applicazione alla configurazione dell'infrastruttura, abilitandoli.

Svantaggi:

• La gestione nativa della postura di sicurezza SaaS (SSPM) non è inclusa; la copertura SaaS richiede uno strumento supplementare.
• L'acquisizione in sospeso di Salesforce introduce incertezza nella roadmap per gli ambienti non Salesforce.

Obsidian Security

Gli agenti AI aziendali operano all'interno di Salesforce, Microsoft 365, Google Workspace e decine di altre piattaforme SaaS, accumulando token OAuth e trasferendo dati in volumi che nessun utente umano sarebbe in grado di gestire. Obsidian Security è stato progettato specificamente per questo ambiente.

Secondo i dati di ricerca di Obsidian, il 90% degli agenti aziendali ha autorizzazioni eccessive, trasferisce una quantità di dati 16 volte superiore a quella gestita dagli utenti umani e il 53% degli agenti basati sull'IA accede a informazioni sensibili. ⁹ La piattaforma rileva gli agenti con autorizzazioni eccessive, identifica le compromissioni dei token, traccia il movimento dei dati tra le app e mette in luce le implementazioni di IA ombra connesse agli account SaaS aziendali senza visibilità da parte del reparto IT.

Vantaggi:

• La gestione della postura di sicurezza SaaS (SSPM) fornisce una visione costantemente aggiornata delle configurazioni errate e delle lacune di conformità nelle applicazioni SaaS.
• Rileva l'iniezione di prompt AI e la perdita di dati all'interno delle applicazioni SaaS GenAI, tra cui Copilot e Agentforce.
• La governance dell'identità non umana comprende app connesse, token OAuth e account di servizio con parametri comportamentali di riferimento. ¹⁰

Svantaggi:

• La copertura è focalizzata sul SaaS; le organizzazioni che utilizzano agenti di intelligenza artificiale in infrastrutture self-hosted o cloud-native necessitano di uno strumento separato per la visibilità a livello di infrastruttura.
• I prezzi non sono resi pubblici.

Microsoft Defender per Cloud

Microsoft Il modulo di sicurezza AI di Defender for Cloud estende la piattaforma CSPM esistente con il rilevamento delle minacce specifico per l'IA, senza richiedere implementazioni aggiuntive per le organizzazioni che già utilizzano Defender for Cloud. ¹¹ I team che gestiscono le implementazioni di Azure AI Foundry, degli agenti di Copilot Studio o di Azure OpenAI ottengono il rilevamento delle minacce e la gestione della postura all'interno della stessa console.

Il prezzo è uno dei pochi dati resi pubblici in questa categoria: 0,0008 dollari ogni 1.000 token scansionati al mese, con gli agenti Foundry inclusi senza costi aggiuntivi e una prova gratuita di 30 giorni limitata a 75 miliardi di token. ¹²

Il modulo si integra con Azure AI Content Safety Prompt Shields per il rilevamento del jailbreak e instrada gli avvisi relativi a fughe di dati, furto di credenziali e comportamenti anomali degli agenti in Microsoft Sentinel. ¹³ Nel marzo 2026, Microsoft ha lanciato Agent 365, un piano di controllo unificato per la gestione e la protezione degli agenti nell'ambiente Microsoft al costo di 15 dollari per utente al mese. ¹⁴

Vantaggi:

• Non è richiesta alcuna infrastruttura aggiuntiva per le organizzazioni native di Azure che già utilizzano Defender for Cloud CSPM.
• La tariffazione trasparente basata su token consente di stimare i costi prima dell'implementazione.
• L'integrazione con Prompt Shields gestisce in modo nativo il rilevamento del jailbreak e dell'iniezione di prompt. ¹⁵

Svantaggi:

• Le scansioni di sicurezza dei modelli di IA vengono eseguite solo all'interno dei registri e degli spazi di lavoro di Machine Learning di Azure, non in registri di modelli di terze parti o autogestiti. ¹⁶
• Valore limitato per le organizzazioni che utilizzano agenti di IA principalmente al di fuori di Azure

HiddenLayer MLDR

Gli strumenti di sicurezza basati sull'IA si concentrano sul comportamento degli agenti, sull'accesso ai dati e sull'iniezione di minacce. Il sistema HiddenLayer Machine Learning Detection and Response (MLDR) opera a un livello più profondo: il modello.

MLDR monitora i modelli in produzione per individuare attacchi avversari che eludono gli attacchi manipolando gli input per causare errori di classificazione, attacchi di inversione del modello che ricostruiscono i dati di addestramento dagli output del modello e attacchi di inferenza di appartenenza che determinano se dati specifici sono apparsi nell'addestramento. ¹⁷ Funziona senza agenti, non richiedendo né l'accesso ai dati di addestramento né ai pesi del modello, risultando quindi compatibile con modelli proprietari o di terze parti.

La scansione della catena di fornitura copre i repository dei modelli prima della distribuzione, rilevando le backdoor incorporate nei file di modello serializzati che la classe di attacco MITRE ATLAS cataloga come AML.T0010 (ML Supply Chain Compromise). ¹⁸ Il modulo di simulazione di attacchi AI esegue continuamente test di tipo "red teaming" sui modelli implementati, man mano che cambiano le versioni e gli ambienti. ¹⁹

Vantaggi:

• Rileva in tempo reale attacchi di elusione, inversione del modello e inferenza di appartenenza senza richiedere l'accesso ai dati di addestramento.
• La scansione della catena di fornitura prima della distribuzione identifica vulnerabilità di serializzazione e backdoor nei file modello.
• Le protezioni AI garantiscono la conformità alle policy in fase di esecuzione, inclusa l'iniezione di prompt e la prevenzione della perdita di dati. ²⁰

Svantaggi:

• Non offre servizi di gestione della postura di sicurezza SaaS né di governance dell'identità non umana.
• I prezzi non sono resi pubblici.

Guardia di Lakera

Lakera Guard si interpone tra la tua applicazione GenAI e il modello LLM, intercettando ogni richiesta prima che raggiunga il modello e ogni risposta prima che venga restituita all'utente. ²¹ Il suo database di intelligence sulle minacce attinge a oltre 80 milioni di richieste raccolte attraverso la sfida pubblica di red teaming Gandalf, fornendo al motore di rilevamento l'esposizione a modelli di attacco che i team di red teaming interni alle aziende raramente incontrano. ²²

La piattaforma copre i 10 rischi principali di OWASP LLM e opera con una latenza inferiore al millisecondo grazie a un design API-first, aspetto fondamentale per le applicazioni rivolte ai clienti, dove la latenza di rilevamento incide direttamente sul tempo di risposta dell'utente. ²³ Su platform.lakera.ai è disponibile un piano gratuito che consente l'integrazione e i test iniziali senza dover avviare un processo di vendita.

Contesto dalla ricerca dell'aprile 2026: Google e Forcepoint hanno confermato separatamente che i payload di iniezione di prompt indiretti sono ora attivamente incorporati nei contenuti web pubblici su larga scala, in attesa che gli agenti di intelligenza artificiale li elaborino. ²⁴ Il rilevamento dell'iniezione indiretta di Lakera copre questa classe di attacchi, inclusi i payload recuperati da URL esterni che l'agente visita durante l'esecuzione delle attività.

Vantaggi:

• È disponibile un piano gratuito per lo sviluppo e i test iniziali, senza necessità di coinvolgere il fornitore.
• Il rilevamento indiretto dell'iniezione di prompt copre le istruzioni dannose incorporate nei documenti e recuperate dal web.
• Red Teaming basato sull'intelligenza artificiale con gestione delle vulnerabilità in base al rischio e simulazioni di attacchi diretti/indiretti. ²⁵

Svantaggi:

• Non esegue la scansione preliminare dei file del modello AI né il rilevamento di backdoor.
• Concentrandosi sull'esecuzione in tempo reale, non è in grado di valutare i rischi relativi all'infrastruttura o alla postura di sicurezza del SaaS.

2. Piattaforme SOC Agentic

Falcone dello Striscio di Folla

Charlotte AI opera come livello autonomo di indagine e risposta all'interno della piattaforma CrowdStrike Falcon, combinando EDR, XDR , SIEM e SOAR tramite un'interfaccia conversazionale in linguaggio naturale. ²⁶ Quando viene attivato un allarme, Charlotte AI raccoglie prove, correla i dati di telemetria tra endpoint e identità e presenta un verdetto con le relative motivazioni, quindi attende l'approvazione dell'analista prima di eseguire le azioni di contenimento.

Quel meccanismo di approvazione è una scelta architetturale deliberata. Agentic SOAR di CrowdStrike combina l'automazione tramite script con il ragionamento basato sull'intelligenza artificiale, con livelli di autonomia configurabili: esecuzione supervisionata per azioni ad alto impatto, esecuzione autonoma per il contenimento a basso rischio. ²⁷ La piattaforma utilizza l'apprendimento per rinforzo derivante dal feedback degli analisti, migliorando l'accuratezza delle decisioni man mano che accumula conoscenze istituzionali specifiche per l'ambiente di ciascun cliente.

CrowdStrike possiede la certificazione ISO 42001 per la governance dell'IA, ed è l'unico prodotto in questo confronto ad avere una convalida indipendente da parte di terzi dei suoi controlli di governance dell'IA. ²⁸ In occasione dell'RSAC 2026, l'azienda ha annunciato Shadow AI Discovery, una soluzione che si estende a endpoint, SaaS e ambienti cloud, identificando oltre 1.800 applicazioni di intelligenza artificiale in esecuzione su dispositivi aziendali presso i suoi clienti. ²⁹

Vantaggi:

• La certificazione ISO 42001 per la governance dell'IA fornisce una convalida da parte di terzi dei controlli di gestione dell'intelligenza artificiale. ³⁰
• La ricerca di minacce tramite linguaggio naturale converte le domande degli analisti in query strutturate sull'intero data lake di Falcon.
• I livelli di autonomia configurabili consentono alle organizzazioni di controllare quali azioni richiedono l'approvazione umana. ³¹

Svantaggi:

• Charlotte AI non funge da barriera di protezione o firewall per le applicazioni GenAI di terze parti; il suo obiettivo è il rilevamento delle minacce all'infrastruttura, non la sicurezza dei modelli di intelligenza artificiale.
• I prezzi partono da 8,99 dollari per endpoint al mese, una cifra che aumenta significativamente per flotte di dispositivi numerose. ³²

SentinelOne Purple AI

Purple AI è integrato in Singularity XDR anziché essere venduto come prodotto a sé stante, il che significa che gli analisti interagiscono con esso tramite la stessa interfaccia che utilizzano per tutte le altre indagini. ³³ Un analista chiede in linguaggio naturale: "Qual è la causa principale di questo avviso?"; Purple AI interroga i dati sottostanti, correla la telemetria tra endpoint, cloud e sistemi di identità e restituisce una risposta con allegata la documentazione di supporto.

Questo modello di integrazione si contrappone agli strumenti di indagine basati sull'IA che richiedono l'esportazione dei dati in un sistema separato. Purple AI ha accesso all'intero data lake di Singularity e utilizza l'apprendimento automatico dai dati degli incidenti precedenti per migliorare la precisione della correlazione nel tempo. ³⁴ La piattaforma include un backend AI-SIEM nativo per l'acquisizione di dati su larga scala e Singularity Hyperautomation gestisce l'automazione del flusso di lavoro lungo tutta la catena di risposta. ^{35 36}

Vantaggi:

• La ricerca di minacce tramite linguaggio naturale traduce domande in linguaggio semplice in query ottimizzate all'interno del data lake aziendale.
• La correlazione tra domini diversi abbraccia endpoint, risorse cloud e identità in un unico flusso di lavoro di indagine.
• Il backend nativo AI-SIEM evita le penalità di prezzo per ogni singola acquisizione dati su larga scala. ³⁷

Svantaggi:

• Non ispeziona né blocca i prompt nelle applicazioni GenAI distribuite dai clienti; si concentra sull'infrastruttura e sulla telemetria degli endpoint.
• Prezzi aziendali personalizzati; non è disponibile un listino prezzi pubblico.

Caratteristiche comuni tra le piattaforme di sicurezza basate su agenti di intelligenza artificiale

Pur coprendo diversi livelli dello stack tecnologico, tutte e otto le piattaforme in questo confronto offrono cinque funzionalità di base che le organizzazioni possono aspettarsi da qualsiasi fornitore enterprise in questa categoria.

• Le mappe di rilevamento delle risorse basate su IA e ML, che includono modelli, agenti, strumenti connessi e fonti di dati, sono il prerequisito fondamentale per qualsiasi programma di sicurezza. Senza un inventario aggiornato, i team non possono valutare l'esposizione al rischio né applicare le policy.
• Il rilevamento delle anomalie comportamentali monitora i carichi di lavoro dell'IA per individuare deviazioni dai parametri di riferimento stabiliti. Il meccanismo varia (apprendimento automatico non supervisionato in Darktrace, soglie statistiche altrove), ma il risultato è lo stesso: vengono emessi avvisi quando un agente compie un'azione inaspettata, interrogando database a cui non ha mai avuto accesso prima, effettuando chiamate API insolite o elaborando volumi di dati al di fuori degli intervalli normali.
• L'integrazione con le piattaforme SIEM e SOAR consente di convogliare i risultati delle analisi nei flussi di lavoro di sicurezza esistenti tramite API documentate. Le organizzazioni dovrebbero verificare se i fornitori supportano l'integrazione bidirezionale (invio di avvisi al SIEM e ricezione di informazioni aggiuntive) o se si limitano al semplice inoltro dei log in sola lettura.
• La registrazione degli eventi di controllo per la conformità acquisisce gli eventi di sicurezza, le azioni degli agenti e le decisioni di accesso in formati interrogabili. I requisiti dell'articolo 9 della legge europea sull'IA per i sistemi di IA ad alto rischio e i criteri SOC 2 Trust Services impongono entrambi questa capacità entro agosto 2026 per le organizzazioni interessate. ³⁸
• I flussi di lavoro di allerta e notifica mettono in evidenza le minacce rilevate tramite dashboard, e-mail, Slack o integrazione con sistemi di ticketing, in modo che i team di sicurezza ricevano informazioni utili anziché semplici log grezzi.

Minacce alla sicurezza degli agenti di intelligenza artificiale

Gli agenti basati sull'IA introducono superfici di attacco che i controlli di sicurezza tradizionali non sono stati progettati per affrontare. Un sistema EDR basato sulle firme rileva il malware, ma non può rilevare un agente che ha ricevuto istruzioni legittime da un documento dannoso che gli era stato chiesto di riassumere, e che poi ha utilizzato le proprie credenziali legittime per esfiltrare dati. Le seguenti minacce spiegano perché sono necessari strumenti specializzati.

1. Iniezione rapida e jailbreaking

L'iniezione di prompt consiste nell'incorporare istruzioni malevole all'interno di contenuti elaborati dagli agenti, come pagine web, e-mail, allegati PDF e output di strumenti, inducendoli a eseguire comandi non autorizzati dall'operatore. OWASP classifica l'iniezione di prompt come la vulnerabilità più grave nella sua Top 10 di LLM, presente in oltre il 73% delle implementazioni di IA in produzione valutate durante gli audit di sicurezza. ³⁹

La minaccia non è più teorica. Nell'aprile 2026, Google e Forcepoint hanno pubblicato indipendentemente prove di payload di iniezione indiretta di prompt incorporati su larga scala in siti web statici pubblici, blog e sezioni di commenti, in attesa che agenti di intelligenza artificiale li recuperino ed elaborino. Nel periodo di ricerca sono stati catalogati ⁴⁰ payload attivi confermati, mirati ad agenti di intelligenza artificiale con obiettivi quali frode finanziaria, distruzione di dati e furto di chiavi API. ⁴¹

L'Unità 42 ha scoperto che l'85,2% dei tentativi di iniezione nel mondo reale utilizza tecniche di ingegneria sociale anziché semplici sovrascritture di comandi, inclusi metodi di occultamento come caratteri Unicode a larghezza zero e payload codificati in base64. ⁴² Una meta-analisi di 78 studi pubblicata nel gennaio 2026 ha rilevato che i tassi di successo degli attacchi adattivi contro le difese all'avanguardia superano l'85%. ⁴³

Nel 2025, è stata riscontrata la vulnerabilità di 365 Copilot alla CVE-2025-32711 (EchoLeak), un exploit di iniezione di prompt senza clic che consente l'esfiltrazione remota di dati tramite e-mail appositamente create senza interazione da parte dell'utente. ⁴⁴ Il Model Context Protocol (MCP) abilita una classe di attacchi correlata: l'avvelenamento degli strumenti, in cui istruzioni dannose incorporate nei metadati degli strumenti istruiscono gli agenti a inoltrare dati sensibili a endpoint controllati dall'attaccante. ⁴⁵

2. Compromissione dei token e furto delle credenziali

Gli agenti di intelligenza artificiale si autenticano ai servizi esterni utilizzando token OAuth e chiavi API. Tali credenziali concedono all'agente le stesse autorizzazioni dell'identità che rappresentano e un utente malintenzionato che le ottenga eredita tali autorizzazioni senza attivare l'autenticazione a più fattori (MFA), poiché il token stesso costituisce l'artefatto di autenticazione.

La violazione dei dati di Salesloft/Drift dell'agosto 2025 dimostra il rischio a cascata. Gli aggressori hanno compromesso l'integrazione di un agente di chat di terze parti ed estratto i token di aggiornamento OAuth, utilizzandoli poi per impersonare l'applicazione Drift in oltre 700 ambienti di clienti a valle per dieci giorni, accedendo a __991259_1935 dati, Google account Workspace e credenziali cloud senza attivare avvisi di autenticazione. ⁴⁶ Il rilevamento non è riuscito perché le query OAuth provenivano da un'identità applicativa pre-approvata identica al traffico legittimo nei log di autenticazione standard. ⁴⁷

Una ricerca pubblicata all'inizio del 2026 dall'UC Santa Barbara e da Fuzzland conferma questa ipotesi a livello di infrastruttura. I ricercatori hanno acquistato 28 router API LLM a pagamento e ne hanno raccolti 400 gratuiti; 9 di questi iniettavano attivamente codice dannoso nelle risposte del modello. Un honeypot configurato con una chiave OpenAI trapelata ha portato al consumo di 100 milioni di token GPT e al dirottamento di 401 sessioni, 401 delle quali erano già in esecuzione in modalità "YOLO" senza alcun controllo umano. ⁴⁸ Nessun fornitore di API LLM impone l'integrità crittografica sul percorso di risposta, il che significa che un router malevolo può iniettare istruzioni nelle risposte del modello e l'agente le eseguirà come chiamate di strumenti legittime.

3. Concessione eccessiva di autorizzazioni e aumento dei privilegi

Il novanta percento degli agenti aziendali ha autorizzazioni eccessive. ⁴⁹ Ciò accade per ragioni strutturali: le piattaforme SaaS utilizzano per impostazione predefinita ambiti OAuth ampi durante l'autorizzazione degli agenti, gli agenti ereditano le autorizzazioni dai dipendenti che hanno lasciato l'azienda i cui account non sono mai stati ripuliti e le autorizzazioni si accumulano senza revisione man mano che agli agenti vengono affidati nuovi compiti.

OWASP colloca l'eccessiva capacità di agire tra i tre principali rischi per la sicurezza dell'IA agentiva per il 2026, definendola come la presenza di agenti con capacità che vanno oltre quanto richiesto dai compiti assegnati. ⁵⁰ La conseguenza dell'attacco è l'escalation dei privilegi semantici: un agente incaricato di svolgere un compito legittimo acquisisce autonomamente l'accesso al di fuori dell'ambito previsto attraverso catene di decisioni autonome, senza che alcun singolo passaggio attivi un avviso di sicurezza.

L'analisi di Okta conferma che gli agenti IA devono essere trattati come utenti privilegiati, soggetti agli stessi controlli di accesso, politiche di rotazione e registri di controllo applicati agli amministratori umani, considerando che la maggior parte delle organizzazioni attualmente non dispone di tali controlli per le identità non umane. Attualmente, ⁵¹ aziende gestiscono un rapporto medio di 82:1 tra identità macchina e identità umana, con una proliferazione di agenti che supera lo sviluppo dell'infrastruttura di governance. ⁵²

4. Intelligenza artificiale ombra e implementazioni di agenti non autorizzati

Quando un'unità aziendale connette Agentforce all'area di lavoro aziendale senza il coinvolgimento del reparto IT, il risultato è un agente con accesso ai dati SaaS di produzione, senza revisione della sicurezza, senza registrazione degli accessi e senza possibilità di revocare rapidamente le credenziali in caso di comportamento anomalo dell'agente. L'87% delle organizzazioni ha abilitato Copilot, rendendo il rilevamento degli agenti shadow un'esigenza quasi universale, anziché un caso limite. ⁵³

Le violazioni causate dall'IA ombra costano in media 670.000 dollari in più rispetto alle violazioni standard (4,63 milioni di dollari contro 3,96 milioni di dollari), a causa del ritardo nel rilevamento dovuto al fatto che gli agenti operano al di fuori degli ambienti monitorati. ⁵⁴ 54% dei dipendenti che utilizzano strumenti di intelligenza artificiale incolla dati aziendali sensibili negli account personali dei chatbot, creando violazioni della residenza dei dati di cui i team di conformità spesso non sono a conoscenza finché una violazione non le porta alla luce. ⁵⁵

IDC prevede che nel 2026 il 60% dei fallimenti dell'IA sarà dovuto a lacune nella governance piuttosto che a problemi di prestazioni dei modelli, una prospettiva che sposta la responsabilità dai fornitori di IA alle organizzazioni che implementano agenti senza controlli adeguati. ⁵⁶

5. Attacchi alla catena di fornitura dell'IA e manomissione dei modelli

Le aziende che si riforniscono di modelli da Hugging Face, che utilizzano pacchetti PyPI per framework di machine learning o che connettono agenti a server MCP di terze parti ereditano tutte le vulnerabilità presenti a monte. MITRE ATLAS cataloga queste tecniche sotto la sigla AML.T0010 (ML Supply Chain Compromise), documentando backdoor nei file di modello serializzati, dati di training compromessi iniettati in dataset pubblici e dipendenze dannose nei pacchetti dei framework di machine learning.

Nel febbraio 2026, la campagna ClawHavoc ha infettato sistematicamente il marketplace di competenze di OpenClaw, il primo registro di agenti AI attaccato su larga scala. Oltre 1.100 competenze dannose sono state caricate mascherandosi da strumenti di produttività e per sviluppatori, e diverse di esse sono diventate tra i pacchetti più scaricati sulla piattaforma prima di essere rilevate. X-Force ha confermato oltre 21.000 istanze esposte. ⁵⁷ Un audit simultaneo ha rilevato che il 43% dei server MCP pubblicamente disponibili contiene vulnerabilità di esecuzione dei comandi e il 36,7% è esposto ad attacchi di falsificazione delle richieste lato server. ⁵⁸

Gli attacchi di avvelenamento della memoria iniettano istruzioni dannose nelle memorie degli agenti, creando compromissioni persistenti che si attivano giorni o settimane dopo l'infezione iniziale. La ricerca ha dimostrato tassi di successo dell'iniezione superiori al 95% contro agenti di produzione tramite interazione di sola interrogazione. ⁵⁹ Nei sistemi multi-agente, un singolo agente compromesso ha inquinato l'87% del processo decisionale a valle entro quattro ore. ⁶⁰

Quadri di conformità e governance per la sicurezza degli agenti di intelligenza artificiale

Le implementazioni di agenti di intelligenza artificiale in ambito aziendale devono affrontare requisiti di conformità sovrapposti derivanti da standard internazionali, normative di settore e legislazioni regionali, che stanno passando da linee guida volontarie a obblighi vincolanti.

1. La norma ISO/IEC 42001 , pubblicata nel dicembre 2023, specifica i requisiti per i sistemi di gestione dell'intelligenza artificiale (AIMS) con 38 controlli distinti che riguardano la valutazione del rischio, la trasparenza e il miglioramento continuo. ⁶¹ La certificazione è volontaria ma soddisfa diversi requisiti di gestione della qualità previsti dalla legge europea sull'IA. ⁶² Tra le piattaforme in questo confronto, CrowdStrike Charlotte AI detiene la certificazione ISO 42001, l'unico prodotto con questa specifica convalida da parte di un audit indipendente. ⁶³
2. Il framework NIST per la gestione del rischio dell'IA (AI RMF 1.0) organizza la governance dell'IA nelle funzioni GOVERN, MAP, MEASURE e MANAGE. ⁶⁴ Nel febbraio 2026, il Center for AI Standards and Innovation (CAISI) del NIST ha lanciato ufficialmente l'AI Agent Standards Initiative, il primo programma del governo statunitense dedicato allo sviluppo di standard volontari specificamente per la sicurezza dell'IA agentiva. ⁶⁵ Un profilo di interoperabilità per agenti AI con controlli specifici per l'autenticazione dell'identità dell'agente, il principio del minimo privilegio e la prevenzione dell'iniezione di prompt è previsto per il quarto trimestre del 2026. ⁶⁶ Il 7 aprile 2026, il NIST ha inoltre pubblicato una nota concettuale per un profilo RMF sull'IA affidabile nelle infrastrutture critiche, segnalando che l'IA agentiva nei settori regolamentati è una priorità. ⁶⁷
3. L'applicazione dei requisiti relativi ai sistemi di intelligenza artificiale ad alto rischio previsti dalla legge europea sull'IA (EU AI Act) inizierà il 2 agosto 2026. ⁶⁸ Le organizzazioni che utilizzano agenti di intelligenza artificiale nei settori della finanza, delle risorse umane, della sanità o delle infrastrutture critiche devono soddisfare i requisiti di valutazione della conformità, con sanzioni che possono raggiungere i 35 milioni di euro o il 7% del fatturato annuo globale in caso di violazioni. ⁶⁹ La legge richiede che i sistemi di IA ad alto rischio mantengano la documentazione tecnica, consentano il monitoraggio esterno, implementino una supervisione umana strutturata con punti di intervento e includano meccanismi di revoca che possano arrestare rapidamente il funzionamento dell'agente. ⁷⁰ I requisiti di trasparenza previsti dall'articolo 50, inclusa la marcatura leggibile da una macchina per i contenuti generati dall'IA, entreranno in vigore nell'agosto 2026. L'Ufficio dell'UE per l'IA non ha ancora pubblicato linee guida dettagliate specifiche per i sistemi agentivi, creando incertezza in materia di conformità che le organizzazioni dovranno risolvere attraverso la propria interpretazione dei principi generali della legge. ⁷¹
4. La OWASP Top 10 for Agentic Applications 2026 , pubblicata nel dicembre 2025, fornisce la prima tassonomia di rischio per la sicurezza dei sistemi di intelligenza artificiale autonomi, sottoposta a revisione paritaria a livello globale e sviluppata con il contributo di oltre 100 ricercatori nel campo della sicurezza. ⁷² Le dieci categorie di rischio (da ASI01 ad ASI10) comprendono, tra le altre, il dirottamento degli obiettivi dell'agente, l'uso improprio e lo sfruttamento degli strumenti, l'abuso della fiducia delegata e le vulnerabilità della catena di fornitura agentica. AWS, Microsoft, NVIDIA e GoDaddy hanno fatto riferimento o implementato le linee guida del framework in produzione. Le organizzazioni soggette all'AI Act dell'UE troveranno sempre più spesso richiesta la copertura delle OWASP Agentic Top 10 nelle valutazioni di sicurezza dei fornitori.
5. Lo standard SOC 2 applica gli agenti di intelligenza artificiale come organizzazioni di sub-servizi ai sensi dei criteri dei servizi fiduciari, richiedendo chiavi API con ambito definito, limiti di transazione e registri di controllo completi delle decisioni degli agenti. L'articolo 22 del GDPR (Regolamento generale sulla protezione dei dati) ⁷³ agli individui diritti in relazione alle decisioni prese esclusivamente in modo automatizzato e che hanno effetti giuridici, richiedendo un coinvolgimento umano significativo e meccanismi di contestabilità per i soggetti che prendono decisioni di tale portata. ⁷⁴

FAQ

Collegamenti di riferimento

1.

Prisma AIRS - Palo Alto Networks

2.

Prisma AIRS - Palo Alto Networks

3.

https://www.paloaltonetworks.com/blog/2026/02/securing-the-agent-endpoint/

4.

Prisma AIRS - Palo Alto Networks

5.

AI Security Posture Management (AI-SPM) | Wiz

6.

AI Security Posture Management (AI-SPM) | Wiz

7.

AI Security Posture Management (AI-SPM) | Wiz

8.

AI Security Posture Management (AI-SPM) | Wiz

9.

Obsidian | End-to-End AI and SaaS Security for Enterprises

10.

Obsidian | End-to-End AI and SaaS Security for Enterprises

11.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

12.

What's new in Microsoft Defender for Cloud features - Microsoft Defender for Cloud | Microsoft Learn

13.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

14.

https://www.microsoft.com/en-us/security/blog/2026/03/09/secure-agent-ai-for-your-frontier-transformation/

15.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

16.

Discover AI models - Microsoft Defender for Cloud | Microsoft Learn

17.

Platform | HiddenLayer

18.

AI Supply Chain Security | HiddenLayer

19.

https://www.hiddenlayer.com/platform/ai-attack-simulation

20.

AI Runtime Security | HiddenLayer

21.

Lakera: The AI-Native Security Platform to Accelerate GenAI

22.

Lakera: The AI-Native Security Platform to Accelerate GenAI

23.

Lakera: The AI-Native Security Platform to Accelerate GenAI

24.

Indirect prompt injection is taking hold in the wild - Help Net Security

25.

Lakera: The AI-Native Security Platform to Accelerate GenAI

26.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

27.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

28.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

29.

https://nand-research.com/rsac-2026-agentic-ai-security-takes-center-stage-at-industrys-marquee-event/

30.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

31.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

32.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

33.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

34.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

35.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

36.

Singularity™ Hyperautomation | SentinelOne

SentinelOne

37.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

38.

Frequently Asked Questions | AI Act Service Desk

39.

LLM01:2025 Prompt Injection - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

40.

Indirect prompt injection is taking hold in the wild - Help Net Security

41.

https://www.infosecurity-magazine.com/news/researchers-10-wild-indirect/

42.

https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/

43.

https://arxiv.org/abs/2601.17548

44.

https://www.obsidiansecurity.com/blog/prompt-injection

45.

https://www.elastic.co/security-labs/mcp-tools-attack-defense-recommendations

46.

https://cloudsecurityalliance.org/blog/2025/09/25/the-salesloft-drift-oauth-supply-chain-attack-cross-industry-lessons-in-third-party-access-visibility

47.

https://www.finra.org/rules-guidance/guidance/salesloft-drift-AI-supply-chain-attack

48.

Reddit - The heart of the internet

49.

Obsidian | End-to-End AI and SaaS Security for Enterprises

50.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

51.

https://www.okta.com/newsroom/articles/why-ai-agents-must-be-treated-as-privileged-users/

52.

https://www.security.com/product-insights/agentic-ai-tsunami

53.

AI Agent Security Vulnerabilities 2026: 88% of Enterprises Already Breached | AI Automation Global

AI Automation Global

54.

https://www.vanta.com/resources/ai-security-posture-management

55.

https://www.humansecurity.com/learn/resources/2026-state-of-ai-traffic-cyberthreat-benchmarks/

56.

Managed AI against the proliferation of AI agents 🤖🌿 Why your unsupervised AI agents will soon become a legal risk ⚠️⚖️

Xpert.Digital - Konrad Wolfenstein

57.

https://www.ibm.com/think/x-force/agentic-ai-growing-fast-vulnerabilities

58.

Agentic AI Security: Shadow Agents, MCP Exploits, and the New Attack Surface | 1337skills

59.

https://unit42.paloaltonetworks.com/indirect-prompt-injection-poisons-ai-longterm-memory/

60.

https://www.lakera.ai/blog/agentic-ai-threats-p1

61.

https://www.iso.org/standard/42001

62.

https://elevateconsult.com/insights/eu-ai-code-of-practice-iso-42001/

63.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

64.

https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf

65.

https://www.nist.gov/caisi/ai-agent-standards-initiative

66.

https://labs.cloudsecurityalliance.org/agentic/agentic-nist-ai-rmf-profile-v1/

67.

AI Risk Management Framework | NIST

68.

Frequently Asked Questions | AI Act Service Desk

69.

https://artificialintelligenceact.eu/article/5/

70.

https://www.artificialintelligence-news.com/news/agentic-ais-governance-challenges-under-the-eu-ai-act-in-2026/

71.

https://www.devdiscourse.com/article/law-order/3864660-europes-ai-act-expands-reach-to-autonomous-agents

72.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

73.

https://goteleport.com/blog/ai-agents-soc-2/

74.

https://gdpr-info.eu/art-22-gdpr/

Sena Sezer

Analista di settore

Segui

Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento