Sembrava una normale skill per agenti AI, promossa con un innocuo annuncio su Instagram. Invece era un esperimento di sicurezza informatica che ha esposto le crepe profonde dell'ecosistema degli assistenti intelligenti: un’abilità fittizia sviluppata dalla società di sicurezza AIR è riuscita a superare tutti gli scanner di sicurezza testati, raggiungendo circa 26.000 agenti, compresi quelli attivi su account aziendali. Il payload, per scelta, era innocuo – raccoglieva soltanto dati di test non sensibili. Ma il messaggio è chiaro: la fiducia riposta nei marketplace di skill può trasformarsi in un vettore di attacco che passa inosservato.

Un inganno progettato per superare ogni controllo

AIR ha costruito una skill artificiale con le sembianze di uno strumento utile, l’ha caricata su un popolare marketplace per agenti AI e l’ha promossa con una campagna pubblicitaria su Instagram. L’obiettivo era verificare se i meccanismi di validazione automatica, spesso basati su analisi statica del codice e sandbox leggere, fossero in grado di riconoscere un componente potenzialmente dannoso. La risposta è stata un secco “no”: ogni scanner di sicurezza messo alla prova ha bollato la skill come sicura. La skill ha così accumulato circa 26.000 installazioni, raggiungendo anche ambienti corporate dove gli agenti operano con accesso a dati interni e processi.

La dinamica ricorda i problemi noti degli app store tradizionali, ma qui la posta in gioco è più alta. Un agente AI non esegue semplicemente azioni isolate: può interagire con basi di conoscenza, chiamare API, leggere conversazioni. Una skill malevola potrebbe esfiltrare informazioni, manipolare flussi decisionali o aprire la strada ad attacchi più articolati, il tutto senza che gli scanner se ne accorgano.

Agenti aziendali nel mirino (anche se per finta)

Che l’esperimento abbia contagiato anche account aziendali non è un dettaglio di colore: dimostra che la catena di fornitura del software per AI è un anello debole anche per le organizzazioni più strutturate. Molte aziende stanno integrando agenti nei flussi di lavoro, ma spesso lo fanno appoggiandosi a marketplace pubblici per estendere le funzionalità, trascurando il fatto che ogni skill installata diventa a tutti gli effetti codice eseguito nel perimetro applicativo.

Chi adotta deployment on-premise o self-hosted ha margini di protezione più ampi, perché può decidere di non appoggiarsi affatto a registri esterni, curando un repository interno di skill verificate. Per chi valuta un’architettura locale, il caso AIR mette in guardia contro la tentazione di risparmiare tempo attingendo a componenti di terze parti non sufficientemente controllate. Il trade-off è tra rapidità di integrazione e garanzia di sicurezza: scegliere uno stack privato obbliga a investire nella governance delle skill, ma restituisce controllo su ciò che entra in esecuzione.

Perché la sovranità dei dati passa anche dal controllo del codice

Quando si parla di sovranità dei dati e conformità normativa, il pensiero corre subito a dove risiedono fisicamente i dati e al loro trattamento. L’incidente segnala che la superficie di rischio si allarga anche al codice di terze parti eseguito all’interno degli agenti, anche se il modello LLM e i dati restano in locale. Un’abilità fittizia potrebbe leggere dati in chiaro durante l’esecuzione, anche senza bisogno di trasmetterli all’esterno, perché opera con gli stessi privilegi dell’agente.

In uno scenario on-premise, è possibile attivare politiche di firma del codice, revisione manuale delle skill e ambienti di esecuzione confinati. Tuttavia, i tool di scansione automatica, da soli, si rivelano fragili. L’esperimento di AIR mostra quanto sia necessario integrare più livelli di difesa: controllo umano, test comportamentali e limitazione delle capacità delle skill a ciò che è strettamente indispensabile. La sovranità dei dati, insomma, è un progetto che richiede di mettere sotto lente non solo i dati, ma anche ogni riga di codice che li tocca.

Oltre lo scanner: cosa insegna questa vicenda

La storia della skill fasulla non è un catastrofico data breach, ma un segnale d’allarme che arriva proprio mentre l’adozione degli agenti AI accelera. I marketplace di skill diventeranno sempre più popolari, ma la loro sicurezza è ancora affidata a controlli superabili. Chi si prepara a un deployment on-premise, o semplicemente vuole proteggere carichi di lavoro sensibili, dovrebbe considerare il caso AIR come uno sprone a costruire un ecosistema di skill gestito internamente, dove la fiducia non venga delegata ciecamente a un’analisi statica.

L’assenza di segnalazioni da parte degli scanner, unita alla semplicità dell’attacco, evidenzia un gap che la comunità tecnica dovrà colmare in fretta. Per AI-RADAR, che osserva da vicino il mondo delle implementazioni autonome, l’esperimento suggerisce che il vero valore differenziale dello stack on-premise non è solo il controllo sulla residenza dei dati, ma la possibilità di chiudere completamente la catena di fornitura del software, rendendo ogni componente verificabile e ogni esecuzione tracciabile.