Prima di procedere
Un recente studio dell'Università della California a Santa Barbara ha messo in luce una vulnerabilità critica e spesso sottovalutata nell'ecosistema degli agenti di intelligenza artificiale (IA): i router. Questi servizi intermediari, che operano tramite API, connettono le applicazioni degli agenti locali ai modelli di IA basati su cloud, aprendo potenziali falle di sicurezza.
Gli agenti di IA moderni sono sempre più utilizzati per compiti delicati come la scrittura ed esecuzione di codice, la gestione di infrastrutture cloud e persino l'elaborazione di transazioni finanziarie. Tuttavia, la loro dipendenza dai router IA, che reindirizzano le richieste a fornitori come OpenAI, Anthropic e Google, li rende vulnerabili. Agendo come proxy a livello di applicazione, i router hanno accesso completo a ogni pacchetto di dati in formato JSON che li attraversa.
A differenza degli attacchi tradizionali "man-in-the-middle", qui non è necessario falsificare i certificati, poiché gli utenti li indicano volontariamente come endpoint API. Il problema è aggravato dal fatto che nessun fornitore di modelli di IA, nemmeno i più grandi, garantisce l'integrità crittografica dei dati nel passaggio dal modello al cliente. Questo significa che un router malevolo può riscrivere un comando che l'agente eseguirà successivamente.
Per dimostrare la portata della minaccia, i ricercatori hanno esaminato 28 router disponibili su piattaforme come Taobao, Xianyu e Shopify, oltre a 400 router gratuiti offerti in community open source. I risultati sono stati allarmanti:
- 9 router (1 a pagamento e 8 gratuiti) hanno iniettato codice dannoso nelle chiamate agli strumenti.
- 17 router gratuiti hanno portato all'uso non autorizzato di credenziali Amazon Web Services appartenenti ai ricercatori, intercettate durante la trasmissione.
- 1 router ha prelevato fondi in criptovaluta Ethereum dopo aver avuto accesso alla chiave privata di un ricercatore.
- 2 router hanno agito in modo subdolo, attivando comportamenti dannosi solo dopo 50 richieste o durante sessioni autonome YOLO (You Only Live Once), quando all'agente IA è permesso eseguire operazioni critiche senza conferma dell'utente.
Particolarmente pericoloso è l'attacco che prevede l'iniezione di payload attraverso la sostituzione di un URL di installazione legittimo o del nome di un pacchetto con contenuti controllati dall'attaccante. Il payload modificato rimane sintatticamente corretto in JSON e supera la maggior parte dei controlli di sicurezza automatizzati. Basta un singolo comando curl riscritto per eseguire codice arbitrario sulla macchina del cliente.
Anche un servizio apparentemente affidabile può rappresentare una minaccia. Per dimostrarlo, i ricercatori hanno intenzionalmente esposto una chiave API OpenAI, osservando come sconosciuti l'abbiano utilizzata per generare 100 milioni di token GPT-5.4, compromettendo le credenziali nelle sessioni di lavoro associate al servizio di programmazione IA Codex.
In un altro esperimento, sono stati implementati 20 router IA vulnerabili su 20 indirizzi IP, monitorando l'attività. Il carico è risultato elevato: sono stati effettuati 40.000 tentativi di accesso non autorizzato, elaborati circa 2 miliardi di token a pagamento e sottratti 99 set di credenziali in 440 sessioni Codex, riguardanti 398 progetti. In 401 di queste 440 sessioni era attiva la modalità autonoma YOLO, che permette all'agente IA di eseguire qualsiasi comando senza conferma.
Lo studio conclude che è impossibile verificare l'origine di un comando da un modello di IA, ma ci sono tre modi per ridurre il rischio senza coinvolgere il fornitore:
- Consentire all'agente IA di eseguire solo comandi da una whitelist, bloccando tutti gli altri.
- Verificare le anomalie nella risposta tramite il modello IA IsolationForest.
- Registrare richieste e risposte, dati TLS e hash delle risposte per un'analisi post-incidente.
Una protezione affidabile richiederebbe un meccanismo di firma delle risposte dei modelli di IA a livello di fornitore, simile alla protezione DKIM nella posta elettronica. In attesa di misure adeguate da parte dei grandi fornitori, ogni router IA dovrebbe essere considerato un potenziale avversario e protetto con difese multistrato sul lato client.
