I rischi sicurezza AI agent stanno diventando un tema sempre meno teorico e sempre più urgente. A lanciare l’allarme è Ronghui Gu, co-founder e CEO di CertiK, secondo cui il dispiegamento su larga scala di agenti AI autonomi senza controlli preventivi può trasformarsi in un disastro per la sicurezza.
Il punto, spiega Gu, è semplice: questi sistemi non si limitano più a rispondere a domande in una chat. Sempre più spesso leggono file locali, richiamano strumenti esterni, attivano workflow e arrivano a interagire con email, credenziali e perfino infrastrutture finanziarie. Se non vengono prima sottoposti a scansione per virus e isolati, ricevono accesso a dati e account sensibili in condizioni troppo fragili.
È qui che la corsa globale agli AI agent cambia significato. Non si parla solo di produttività o automazione, ma di una nuova superficie d’attacco che, secondo CertiK, sta crescendo più in fretta delle difese.
Summary
Perché CertiK vede negli AI agent un problema di sicurezza imminente
Ronghui Gu mette in guardia contro il deployment massiccio degli agenti AI senza verifiche adeguate. Il suo messaggio è netto: prima di concedere qualunque accesso, questi sistemi vanno scansionati, testati e soprattutto isolati.
Secondo Gu, il modello di fiducia adottato oggi da molti progetti è il vero punto debole. Molte applicazioni AI, anche open-source, vengono trattate come se fossero sicure solo perché girano localmente sul computer dell’utente o perché si connettono tramite normali app di chat. Per CertiK, è l’opposto: nel momento in cui un agente ottiene il permesso di leggere lo storage locale, consultare cronologie di esecuzione o gestire email e credenziali aziendali, diventa una minaccia interna potenziale.
Questo spiega perché i rischi per la sicurezza degli AI agent attirano attenzione anche fuori dal mondo tecnico. Se un sistema autonomo compromesso può accedere a file, password, sessioni e flussi operativi, l’impatto non riguarda solo l’utente finale, ma anche aziende, team e infrastrutture digitali collegate.
Come gli agenti AI possono essere dirottati
CertiK descrive un quadro in cui gli AI agent compromessi e hijacking non dipendono necessariamente da malware tradizionale. In molti casi, basta manipolare il livello di ragionamento dell’agente.
Prompt injection negli AI agent attraverso file apparentemente innocui
Uno dei vettori più insidiosi è il prompt injection negli AI agent. Gu spiega che un attore malevolo può nascondere istruzioni in linguaggio naturale dentro contenuti all’apparenza innocui, come una normale pagina web, un PDF o un’email in arrivo.
Quando l’agente non è isolato e legge quel contenuto per eseguire un compito, può confondere i comandi attendibili con dati esterni non affidabili. A quel punto le sue regole originali vengono sovrascritte in silenzio e il sistema può arrivare a esfiltrare dati o perfino avviare trasferimenti di fondi non autorizzati.
È questo uno dei nodi centrali degli attacchi prompt injection: non serve violare il software nel senso classico del termine, perché l’aggressore agisce convincendo l’agente a cambiare comportamento.
Plug-in malevoli, installer falsi e dipendenze imitate
L’analisi di CertiK ha individuato anche centinaia di skill malevole, fake installer e pacchetti di dipendenze lookalike presenti negli hub di utilità per agenti. Il problema, secondo Gu, è che questi strumenti non si comportano come il malware tradizionale e possono quindi aggirare i controlli antivirus basati sulle firme.
In pratica usano linguaggio naturale per influenzare l’agente e deviarne gli obiettivi. Questo rende la protezione AI agent più complessa rispetto ai modelli di difesa classici, perché la minaccia non passa solo dal codice eseguibile ma anche dalle istruzioni che il sistema interpreta come valide.
Le vulnerabilità trovate da CertiK
CertiK afferma di aver rilevato nelle strutture iniziali degli agenti una forte accumulazione di problemi di sicurezza. Tra gli elementi emersi ci sono centinaia di critical security advisories, CVEs non corretti ed esposizioni di credenziali locali e memorie di sessione.
Il dato conta per un motivo preciso: mostra che la questione non riguarda un singolo bug o un caso isolato. Secondo il quadro descritto da CertiK, il debito di sicurezza nasce dall’architettura stessa con cui molti agenti vengono progettati e distribuiti.
La combinazione tra accesso ai file locali, gestione delle credenziali, automazione dei task e controlli incoerenti sui confini operativi crea infatti un ambiente in cui l’agente può diventare il punto di ingresso ideale per un attacco.
Dalle truffe onchain agli attacchi macchina contro macchina
CertiK segnala anche un altro fenomeno: la crescita di scam onchain automatizzati, molto rapidi e progettati per colpire AI trading bot e sistemi di agenti automatizzati. Gu parla di schemi che restano attivi per appena 10 minuti o poche ore prima di sparire.
Questo aspetto è particolarmente rilevante per il settore crypto. Se le truffe diventano abbastanza veloci da colpire direttamente altri sistemi automatici prima ancora che un essere umano noti il problema, il rischio si sposta su un livello nuovo: non più solo utente contro truffatore, ma macchina contro macchina.
Per chi investe o costruisce servizi automatizzati, il messaggio è chiaro. I rischi sicurezza AI agent non riguardano soltanto la privacy o la tenuta dei sistemi interni, ma anche la protezione di capitali, strategie e operazioni eseguite in tempo reale.
La risposta proposta: isolamento, auditing e Zero Trust
Per Gu, la contromisura più solida è abbandonare il modello basato sulla fiducia implicita e passare a una architettura Zero Trust. In concreto, significa trattare ogni comando, ogni dipendenza e ogni accesso come elementi da verificare continuamente.
La linea indicata da CertiK ruota attorno a tre principi:
- scansione e auditing del codice, oltre al controllo preventivo di tool e dipendenze
- isolamento dell’ambiente di esecuzione prima di concedere accesso a dati, email, file o account finanziari
- verifica continua di ogni interazione, in linea con un Zero Trust per AI e agenti
È una posizione che punta a ispirare un approccio Zero Trust per AI e agenti, dove l’autonomia non equivale mai a fiducia automatica. Più un agente può fare, più va contenuto e controllato.
Qui sta il significato strategico dell’avvertimento. La spinta ad adottare agenti AI sta accelerando, ma per CertiK la sicurezza non può restare un passaggio successivo. Se l’industria continua a distribuire sistemi autonomi senza isolamento, scansione e verifica continua, il costo rischia di emergere solo dopo, quando accessi, fondi e dati saranno già stati esposti.
