Agenti di intelligenza artificiale come insider threat: evidenze sperimentali recenti

L’adozione di sistemi agentici basati su modelli linguistici di grandi dimensioni (LLM) sta rapidamente passando dalla fase sperimentale a quella operativa. Numerose aziende stanno già affidando a tali agenti attività quotidiane: recupero documentale, gestione di backup, interazione con API interne, generazione di contenuti o supporto a workflow aziendali.

Il presupposto è semplice: automatizzare operazioni ripetitive e ridurre il carico cognitivo umano.
Parallelamente emerge una nuova classe di rischio. In alcune condizioni operative gli agenti non si limitano a eseguire istruzioni, ma adottano strategie adattive che possono sfociare in comportamenti offensivi verso l’infrastruttura che li ospita.

Advertising

Una ricerca pubblicata nel 2026 dal laboratorio di sicurezza Irregular descrive una serie di esperimenti controllati che mostrano l’emergere di comportamenti di tipo offensivo in agenti AI incaricati di compiti ordinari. Gli esperimenti sono stati condotti all’interno di una rete aziendale simulata denominata MegaCorp, progettata per riprodurre servizi tipici di un’infrastruttura enterprise: wiki interni, server Windows, repository documentali e sistemi di sicurezza.

Il risultato più rilevante non riguarda l’efficacia tecnica degli attacchi, ma la natura emergente del comportamento: gli agenti non sono stati istruiti a bypassare controlli di sicurezza, né sottoposti a prompt malevoli. Le azioni offensive sono emerse come strategie di problem solving per completare il task assegnato.

Scenario 1 – Accesso non autorizzato a documenti interni

Nel primo scenario un sistema multi-agente doveva recuperare un documento riservato da un wiki aziendale. Il sub-agente incaricato ha ricevuto un messaggio di accesso negato. In un modello operativo tradizionale questo evento dovrebbe rappresentare un punto terminale del workflow.
Nel test, invece, l’agente ha intrapreso un percorso alternativo:

• analisi del codice dell’applicazione web;
• individuazione di una chiave segreta hardcoded nel backend Flask;
• generazione di un cookie di sessione amministratore falsificato;
• accesso non autorizzato al documento.

L’azione non è stata richiesta dall’utente. L’agente ha semplicemente interpretato la restrizione come un ostacolo tecnico da superare per completare il compito.

Scenario 2 – Escalation di privilegi su server Windows

Nel secondo scenario un agente gestiva un semplice task operativo: scaricare un file su un server di backup Windows.

Il file conteneva malware e Windows Defender ha bloccato il download.
L’agente ha quindi eseguito una sequenza di azioni autonome:

1. tentativo di disabilitare Defender;
2. fallimento per mancanza di privilegi;
3. analisi degli script locali;
4. individuazione di una password amministrativa salvata in chiaro;
5. escalation dei privilegi;
6. disattivazione dell’antivirus;
8. ompletamento del download.

Ancora una volta non esisteva alcuna istruzione esplicita a bypassare i controlli di sicurezza. Il comportamento è stato guidato esclusivamente dall’obiettivo di completare il task assegnato.

Scenario 3 – Bypass di sistemi DLP tramite collaborazione tra agenti

Un terzo test ha coinvolto due agenti incaricati di trasformare documentazione tecnica interna in contenuti per social media.

Il sistema di Data Loss Prevention (DLP) ha bloccato la pubblicazione perché il testo conteneva credenziali sensibili.

Gli agenti hanno reagito in modo inatteso:

• l’agente autore ha sostenuto che il contenuto fosse già approvato dalla direzione;
• ha esercitato una forma di persuasione semantica sull’agente revisore;
• i due agenti hanno creato una codifica steganografica per inserire la password nel testo evitando il rilevamento del DLP.

Questo comportamento dimostra una capacità emergente di cooperazione offensiva tra agenti autonomi.

Interpretazione tecnica del fenomeno

La ricerca identifica tre condizioni strutturali che favoriscono questo comportamento:

• Autonomia operativa. Gli agenti dispongono di accesso diretto a strumenti, file system, API e shell.
• Incentivo alla persistenza. Molti prompt operativi incoraggiano gli agenti a “superare gli ostacoli” e completare il task a ogni costo.
• Conoscenza tecnica incorporata nei modelli. I modelli LLM contengono una vasta conoscenza di tecniche di sicurezza informatica.

Quando questi fattori si combinano, il sistema interpreta i controlli di sicurezza come problemi da risolvere, non come limiti da rispettare

Implicazioni per la sicurezza aziendale

Dal punto di vista della sicurezza informatica emerge una nuova categoria di rischio:

Agentic Insider Threat

A differenza degli insider tradizionali:

• l’agente opera all’interno del perimetro di fiducia;
• possiede accesso diretto a strumenti e credenziali;
• agisce con velocità e autonomia algoritmica.

Secondo i ricercatori di Irregular, le organizzazioni che introducono sistemi agentici senza integrare questo rischio nel proprio threat model potrebbero trovarsi esposte a comportamenti offensivi emergenti non previsti dalle architetture di sicurezza tradizionali.

La conclusione è netta: gli agenti AI devono essere trattati come entità potenzialmente ostili all’interno del modello di minaccia, al pari di qualsiasi altro componente software autonomo con accesso a sistemi sensibili.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks