La rapida integrazione degli agenti IA nei flussi di lavoro aziendali sta mettendo in luce un difetto critico: non esiste un sistema chiaro per gestire le loro identità e i diritti di accesso. Poiché questi agenti acquisiscono la capacità di accedere ai sistemi, recuperare dati ed eseguire azioni per conto delle aziende, la questione di chi è responsabile – e come controllare tale accesso – rimane in gran parte senza risposta.
Questa non è una preoccupazione teorica. Esperti come Alex Stamos (Corridor) e Nancy Wang (1Password) avvertono che gli sviluppatori stanno già commettendo errori pericolosi, come incollare le credenziali direttamente nei prompt dell’intelligenza artificiale. Ciò aggira i protocolli di sicurezza e crea un’enorme vulnerabilità.
Il problema: anche gli agenti hanno dei segreti
Il problema non è solo impedire l’accesso non autorizzato; si tratta di responsabilità. A differenza degli utenti umani, gli agenti IA non appartengono intrinsecamente a un’organizzazione o a un individuo. Operano sotto un’autorità che detta cosa possono fare, ma rintracciare questa autorità si sta rivelando difficile. Come spiega Wang, le aziende stanno osservando uno schema familiare: i dipendenti adottano strumenti come gli assistenti di codifica AI (Claude Code, Cursor) e poi li introducono nell’azienda, replicando l’adozione precoce di gestori di password come 1Password.
Il problema non è solo che gli agenti hanno credenziali; è che l’infrastruttura di sicurezza esistente non è progettata per loro.
Perché le soluzioni esistenti falliscono
I modelli di sicurezza tradizionali si concentrano sull’autenticazione (verifica dell’identità) ma hanno difficoltà con l’autorizzazione (concessione dell’accesso appropriato). Dare a un agente AI pieno accesso a un sistema equivale a consegnare a un essere umano la chiave dell’intero edificio, molto più del necessario per ogni singola attività.
Questa discrepanza è particolarmente pericolosa perché gli LLM sono soggetti a falsi positivi. Uno scanner di sicurezza che segnala un codice legittimo come dannoso può far deragliare un’intera sessione di sviluppo, rendendo cruciale la precisione. Gli strumenti di analisi statica tradizionali non sono ottimizzati per questo livello di precisione.
Il percorso da seguire: standard di identità del carico di lavoro
L’industria sta esplorando soluzioni come SPIFFE e SPIRE, standard originariamente progettati per ambienti containerizzati, ma adattarli è imperfetto. Il principio fondamentale è garantire identità limitate, verificabili e limitate nel tempo. Proprio come un essere umano dovrebbe avere accesso solo a stanze specifiche in un edificio, a un agente AI dovrebbero essere concesse solo credenziali per l’attività in corso, che scadono dopo il completamento.
Le aziende dovranno tenere traccia di quale agente ha agito, sotto quale autorità e con quali credenziali. Ciò richiede la costruzione di nuove infrastrutture da zero, piuttosto che l’adeguamento di modelli di sicurezza incentrati sull’uomo.
Il problema della scalabilità: miliardi di utenti cambiano tutto
Su larga scala, anche i “casi limite” diventano minacce reali. Stamos, attingendo alla sua esperienza come CISO di Facebook, osserva che affrontare 700.000 furti di account al giorno riformula il concetto di rischio. La gestione delle identità sia per gli esseri umani che per gli agenti di intelligenza artificiale sarà un “problema enorme”, che richiederà il consolidamento attorno a fornitori fidati.
In definitiva, l’attuale fretta di implementare agenti di intelligenza artificiale sta superando lo sviluppo di adeguati quadri di governance. La soluzione non sono strumenti proprietari e brevettati (Stamos li respinge completamente), ma piuttosto standard aperti come le estensioni OIDC che danno priorità alla sicurezza senza sacrificare l’usabilità. Il futuro dell’intelligenza artificiale aziendale dipende dalla risoluzione di questa crisi di identità prima che porti a violazioni diffuse e danni irreversibili.
