La sicurezza degli agenti AI che programmano è il problema infrastrutturale che nessuno affronta

La sicurezza degli agenti AI che programmano è il problema infrastrutturale che nessuno affronta

Lug 04, 2026 ai security coding agents developer tools cloud infrastructure enterprise security mcp servers sandboxing prompt injection

Il Problema di Sicurezza Nascosto nei Tuoi Strumenti di Sviluppo

Diciamolo chiaro: la maggior parte dei team di engineering non ha idea di quanti agenti AI stiano girando in questo momento dentro la loro organizzazione. Cursor, Claude Code, GitHub Copilot, Gemini CLI, tool interni custom—la lista si allunga ogni mese. Ognuno ha le sue impostazioni, il suo modello di permessi, e la sua personale interpretazione di cosa significhi "sicuro".

Non è un timore ipotetico. È la situazione attuale dell'adozione enterprise dell'AI.

Cosa Fa Bene Anthropic

La sandbox-runtime che hanno rilasciato è elegante nella sua semplicità. Funziona con un principio di egress deny-by-default: se un agente dentro la sandbox prova a raggiungere un endpoint non autorizzato, la richiesta muore a livello proxy. Niente esfiltrazione, niente callback, niente danno.

Questo è il tipo di sicurezza deterministica che funziona davvero. Invece di fidarti del modello che "capisce" che non dovrebbe rubare credenziali, costruisci un confine duro che rende il furto fisicamente impossibile, indipendentemente da cosa decide di fare l'agente.

Anthropic organizza le difese su tre livelli, ordinati per affidabilità:

  1. Environment layer — Confini hard come VM sandbox, modalità di mount del filesystem, e network allowlist. Questa è la fondazione.

  2. Model layer — Controlli comportamentali come system prompt, classifier, e flussi di approvazione. Utili, ma esplicitamente riconosciuti come "mai al 100% efficaci".

  3. External content layer — Governa quali dati raggiungono l'agente in primis, includendo audit dei server MCP e ispezione dell'output degli tool.

Il punto chiave è l'ordinamento. L'environment layer fa il lavoro pesante. Il model layer è un supplemento utile. L'external content layer è il tuo sistema di allarme precoce.

L'Attacco di Cui Nessuno Parla

I modelli di minaccia astratti sono facili da ignorare. Gli esempi concreti lo sono meno.

Considera questo scenario, che i ricercatori di sicurezza riproducono regolarmente: uno sviluppatore clona un repository per valutare una libreria open-source. Il README sembra a posto. È stato scansionato per malware e ha passato tutti i controlli.

Ma nascosto in quel README ci sono istruzioni per l'agente AI. Non per l'umano che legge il file—per l'agente che potrebbe absorberlo come contesto. Il prompt iniettato dice all'agente di "configurare l'ambiente di sviluppo" trovando file .env, cercando credenziali AWS, e caricandole su un endpoint di setup.

Non è malware. È solo testo. Lo scanner non lo segnala. Lo sviluppatore non se ne accorge. Ma l'agente segue le istruzioni perché questo fanno gli agenti—eseguono i task embedded nel contesto che ricevono.

L'attacco si sviluppa in steps: prima una probe per file di ambiente, poi una ricerca di codice per upload ed esfiltrazione, poi la richiesta curl finale verso l'endpoint dell'attacker. Ogni azione sembra innocua isolatamente. Insieme, costituiscono furto di credenziali.

Perché Il Tuo Laptop Non Basta

Ecco la verità scomoda: se quell'agente gira in una sandbox configurata correttamente, l'attacco fallisce a livello network. La richiesta curl non raggiunge mai l'attacker. La credenziale non lascia mai la macchina.

Ma ecco cosa è peggio: il tuo team di sicurezza non ha idea che sia successo.

La sandbox contiene il danno. Non contiene la visibilità. Potresti star girando decine di repository compromessi in questo momento, ognuno che probe i tuoi agenti, ogni tentativo bloccato silenziosamente mentre i tuoi log SIEM non mostrano nulla di utile.

Questo è il problema enterprise. Non basta fermare i singoli attacchi. Devi sapere che stanno succedendo, chi è stato targettizzato, quali repository bloccare, e come scrivere una policy che copra ogni agente nella tua organizzazione—non solo quello che gira nella sandbox.

Il Blind Spot dei Server MCP

Ecco la parte che sorprende la maggior parte dei team: i server Model Context Protocol sono la superficie d'attacco più sottovalutata nei deployment di agenti AI.

I server MCP estendono ciò che i tuoi agenti possono fare. Possono leggere da database, chiamare API, eseguire codice, e accedere a sistemi che vivono fuori dalla tua infrastruttura. Quando approvi un server MCP, stai essenzialmente concedendo a un agente permessi elevati nel tuo ambiente.

Il problema? La maggior parte dei team approva i server MCP una volta e non li audit più. Un server MCP compromesso o malevolo può fare danni molto più gravi di un README avvelenato perché opera a un livello di privilegio più alto e spesso persiste attraverso le sessioni.

Il tuo framework di governance deve trattare i server MCP come dipendenze third-party: auditati, versionati, monitorati. Un agente che può raggiungere il tuo database di produzione attraverso un server MCP è un agente che può esfiltrare l'intera tabella clienti se qualcosa va storto.

Cosa Puoi Davvero Fare

Nessuna di queste sfide è irrisolvibile, ma richiede di trattare la sicurezza degli agenti AI come un problema di infrastruttura, non come un problema di developer tooling.

Parti dall'environment layer. Ovunque possibile, gira gli agenti in ambienti isolati con policy di rete deny-by-default. I tuoi sviluppatori potrebbero lamentarsi dell'attrito. Si lamenteranno meno di te quando le credenziali verranno leakate.

Accetta che il model layer è imperfetto. System prompt e classifier riducono il rischio, ma non lo eliminano. Modelli più capaci sono migliori nel trovare strade inaspettate attorno alle restrizioni. Pianifica per questo.

Audit i tuoi server MCP. Fai una lista di ogni server MCP a cui i tuoi agenti possono accedere. Trattala come un software inventory. Rimuovi tutto ciò che non riconosci o non puoi auditare.

Investi in observability. Bloccare gli attacchi è bene. Sapere che sono successi è meglio. Il tuo team di sicurezza ha bisogno di visibilità su ogni agente nella tua organizzazione, non solo quello che gira nella sandbox.

Scrivi policy, non preferenze. "Fai attenzione con le credenziali" non è una policy di sicurezza. "Gli agenti non possono avviare connessioni di rete verso domini non allowlisted mentre accedono a repository marcati come external" è una policy di sicurezza. Rendi le regole esplicite, enforceable, e consistenti.

Il Punto della Questione

La trasparenza di Anthropic sul loro agent containment è genuinamente preziosa. Mostra cosa è possibile quando un'organizzazione controlla l'intero stack. Ma la maggior parte delle organizzazioni non ha quel controllo, e fingere il contrario è come succedono le breach.

Gli agenti stanno già girando nella tua organizzazione. La domanda non è se proteggerli—è se sarai tu il team che figura out la governance prima che qualcosa vada storto.

I tuoi sviluppatori si muovono veloci. Assicurati che la tua infrastruttura tenga il passo.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU FR ES DE DA ZH-HANS EN