Agentic loop (3): sicurezza e governance

Il loop, per funzionare, legge contenuto non fidato dentro il contesto e ha strumenti per agire: è la sua superficie d'attacco. Parte 3 di 3: prompt injection e lethal trifecta, perché la sicurezza vive nell'harness e non nel prompt, l'osservabilità e la governance nel ciclo (least privilege, human-in-the-loop, policy runtime, audit).

AICybersecurityGovernanceAIAgenticCybersecurityPrompt InjectionAI GovernanceLLMComplianceOn-Premise

Serie in 3 parti. (1) anatomia del ciclo · (2) contesto, pattern e multi-agente · (3) sicurezza e governance. Questa è la parte finale.

Nelle prime due parti abbiamo costruito un agente capace: il ciclo base e i pattern per farlo durare. Ora il punto scomodo: quello stesso agente, che legge il mondo e agisce, è una superficie d’attacco. E la difesa non sta dove istintivamente la si cerca.

La sicurezza vive nell’harness, non nel prompt

Il loop, per funzionare, legge contenuto non fidato dentro il contesto: pagine web, file, output di strumenti, risposte di API. Ed è qui la superficie d’attacco: quel contenuto può veicolare istruzioni che il modello, non potendole distinguere dal resto, tende a seguire. È la prompt injection, e nella sua forma agentica è particolarmente insidiosa perché il modello ha strumenti con cui agire (il “confused deputy”: il componente fidato che usa i propri privilegi per conto dell’attaccante).

Il rischio massimo è la combinazione che Simon Willison ha battezzato “lethal trifecta”: accesso a dati privati, esposizione a contenuto non fidato e capacità di esfiltrare verso l’esterno. Se un agente ha tutti e tre, un’istruzione nascosta in una pagina può fargli leggere dati sensibili e mandarli fuori. Le mitigazioni non stanno nel prompt (“ignora istruzioni malevole” non è un controllo di sicurezza): stanno nell’harness.

  • Least privilege sugli strumenti: l’agente può fare solo ciò che serve, con permessi minimi.
  • Human-in-the-loop sulle azioni ad alto impatto: approvazione esplicita prima di un’operazione irreversibile.
  • Sandboxing e isolamento dell’ambiente di esecuzione.
  • Policy applicate a runtime sulle tool call (allow/block/redact), non affidate alla buona volontà del modello.
  • PII redaction prima che i dati raggiungano il modello o escano verso l’esterno.
  • Kill switch e budget come ultima linea.

È esattamente il ruolo di un framework come Admina: interporsi tra il modello e il mondo, con audit trail immutabile, oscuramento dei dati e policy bidirezionali su ogni chiamata e ogni strumento.

Osservabilità: senza traccia, non c’è debug

Un sistema non deterministico che compie azioni va tracciato. Ogni passo del loop (contesto in ingresso, decisione, tool call, argomenti, risultato) va registrato in modo da consentirne il replay, con un audit trail immutabile. Serve per il debug (riprodurre un comportamento che dipende dal campionamento è impossibile senza log) e per la conformità (dimostrare cosa ha fatto l’agente, e perché). È anche il presupposto tecnico per stare dentro requisiti come NIS2 e l’EU AI Act quando l’agente opera su processi regolati.

Cosa ne pensiamo

Il loop, in sé, è semplice: un obiettivo, quattro passi e una condizione di stop. Renderlo affidabile, sicuro e governabile è tutto il lavoro. E quel lavoro non è nel prompt né nella scelta del modello: è nell’harness. È qui che si applicano context engineering, terminazione, retry, least privilege, policy, oscuramento e audit.

È la ragione per cui progettiamo i sistemi agentici mettendo la governance nel ciclo, non accanto: il framework Admina come punto di controllo tra modello e strumenti, il paradigma Open Intelligence, Secure Governance come criterio (Open, Intelligent, Secure, Governed), e l’esecuzione on-premise quando l’agente tocca dati o azioni che non ci si può permettere di affidare a un interruttore altrui: lo stesso principio del possedere il pavimento operativo di cui abbiamo scritto per l’inferenza locale. Un agente potente e non governato è un incidente in attesa di accadere.

Riferimenti


Torna alla parte 1: anatomia del ciclo o alla parte 2: contesto, pattern e multi-agente.

Vuoi supporto?Sei sotto attacco?Stato dei servizi
Vuoi supporto?Sei sotto attacco?Stato dei servizi