Il settore della sicurezza informatica sta vivendo una svolta: l’intelligenza artificiale sta diventando non solo uno strumento per gli sviluppatori, ma anche un’arma per gli aggressori. E di questo ne abbiamo parlato abbondantemente.

Questo concetto è stato portato all‘attenzione da Ami Luttwak, CTO di Wiz, spiegando che le nuove tecnologie ampliano inevitabilmente la superficie di attacco e che l’integrazione dell’IA nei processi aziendali accelera sia lo sviluppo che l’emergere di vulnerabilità.

Secondo Luttwak, accelerare lo sviluppo attraverso il vibe coding e l’integrazione di agenti di intelligenza artificiale spesso porta a bug nei meccanismi principali, come il sistema di autenticazione. Questo perché gli agenti eseguono i compiti assegnati letteralmente e non forniscono sicurezza di default.

Di conseguenza, le aziende sono costrette a bilanciare velocità e sicurezza, e gli aggressori stanno iniziando a sfruttare questo vantaggio. Ora creano exploit utilizzando prompt, gestendo i propri agenti di intelligenza artificiale e persino interagendo direttamente con gli strumenti aziendali, impartendo comandi come “trasferisci tutti i segreti” o “elimina file”.

Le vulnerabilità emergono persino nei servizi di intelligenza artificiale progettati per uso interno. Quando le aziende implementano soluzioni di terze parti per migliorare la produttività dei dipendenti, spesso cadono vittima di attacchi alla supply chain. È successo a Drift, una startup che offre chatbot per le vendite e il marketing. Una compromissione ha permesso all’azienda di ottenere token di accesso Salesforce da centinaia di clienti, tra cui Cloudflare, Google e Palo Alto Networks. Gli aggressori si sono mascherati da chatbot e hanno navigato nell’infrastruttura dei clienti, richiedendo dati ed espandendo il loro raggio d’azione.

Uno scenario simile è stato osservato nell’operazione s1ingularity contro il sistema di build Nx. Gli aggressori hanno iniettato codice dannoso che ha rilevato l’uso di strumenti di intelligenza artificiale come Claude e Gemini, reindirizzandoli poi alla ricerca autonoma di dati preziosi. Di conseguenza, sono stati rubati migliaia di token e chiavi, dando accesso a repository GitHub privati.

Sebbene Wiz stimi che solo l’1% delle aziende abbia integrato completamente l’intelligenza artificiale nei propri processi, gli attacchi vengono registrati ogni settimana e colpiscono migliaia di clienti. L’intelligenza artificiale è coinvolta in ogni fase della catena di attacco, dalla creazione di exploit all’avanzamento occulto all’interno dei sistemi.

Secondo Luttwak, l’obiettivo dei difensori ora è comprendere lo scopo delle applicazioni dei clienti e costruire una sicurezza orizzontale su misura per le esigenze specifiche di ogni azienda. Ha sottolineato che le startup che lavorano con i dati aziendali devono dare priorità alla sicurezza fin dal primo giorno.

Il set minimo include la nomina di un CISO, l’implementazione di registri di audit, un’autenticazione avanzata, il controllo degli accessi e il Single Sign-On.

Ignorare questi requisiti porta al cosiddetto “debito di sicurezza”, per cui le aziende inizialmente trascurano la sicurezza ma alla fine sono costrette a riprogettare tutti i loro processi per soddisfare gli standard attuali, il che è sempre difficile e costoso.

Luttwak ha posto particolare enfasi sull’architettura. Per una startup di intelligenza artificiale rivolta al mercato aziendale, è fondamentale considerare inizialmente la possibilità di archiviare i dati all’interno dell’infrastruttura del cliente. Questo non solo aumenta la fiducia, ma riduce anche il rischio di compromissioni su larga scala.

Luttwak ritiene che oggi tutti i settori siano accessibili alle startup informatiche, dalla protezione anti-phishing agli endpoint, fino all’automazione dei processi basata sull’intelligenza artificiale.

Tuttavia, ciò richiede una nuova mentalità: difendersi dagli attacchi che si basano sull’intelligenza artificiale tanto quanto lo fanno i difensori.

L'articolo Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding proviene da il blog della sicurezza informatica.