I staff di sicurezza aziendali stanno perdendo terreno di fronte agli attacchi basati sull’intelligenza artificiale, non perché le difese siano deboli, ma perché il modello di minaccia è cambiato. Man mano che gli agenti IA entrano in produzione, gli aggressori sfruttano i punti deboli del runtime in cui i tempi di breakout sono misurati in secondi, le finestre di patch in ore e la sicurezza tradizionale ha poca visibilità o controllo.
Rapporto sulle minacce globali 2025 di CrowdStrike documenta tempi di interruzione pari a 51 secondi. Gli aggressori passano dall’accesso iniziale al movimento laterale prima che la maggior parte dei staff di sicurezza riceva il primo avviso. Lo stesso rapporto ha rilevato che il 79% dei rilevamenti period privo di malware, con gli avversari che utilizzavano tecniche di tastiera pratiche che aggiravano completamente le tradizionali difese degli endpoint.
L’ultima sfida dei CISO è non effettuare il reverse engineering in 72 ore
Mike Riemer, CISO sul campo presso Ivantiha osservato l’IA collassare la finestra tra il rilascio della patch e l’armamento.
“Gli autori delle minacce eseguono il reverse engineering delle patch entro 72 ore”, ha detto Riemer a VentureBeat. “Se un cliente non installa la patch entro 72 ore dal rilascio, è esposto agli exploit. La velocità è stata notevolmente migliorata dall’intelligenza artificiale.”
La maggior parte delle aziende impiega settimane o mesi per applicare manualmente le patch, mentre gli interventi antincendio e altre priorità urgenti spesso hanno la precedenza.
Perché la sicurezza tradizionale fallisce in fase di esecuzione
Un’iniezione SQL in genere ha una firma riconoscibile. I staff di sicurezza stanno migliorando le loro strategie commerciali e molti li stanno bloccando con un numero di falsi positivi vicino allo zero. Ma “ignorare le istruzioni precedenti” comporta un potenziale di carico utile equivalente a un overflow del buffer senza condividere nulla con malware noti. L’attacco è semantico, non sintattico. Le iniezioni tempestive stanno portando le tecniche ostili e l’intelligenza artificiale utilizzata come arma a un nuovo livello di minaccia attraverso la semantica che nasconde i tentativi di iniezione.
La ricerca di Gartner lo cube senza mezzi termini: “Le aziende abbracceranno l’intelligenza artificiale generativa, indipendentemente dalla sicurezza”. L’azienda ha scoperto che l’89% dei tecnici aziendali ignorerebbe le linee guida sulla sicurezza informatica per raggiungere un obiettivo aziendale. L’IA ombra non è un rischio: è una certezza.
“Gli autori di minacce che utilizzano l’intelligenza artificiale come vettore di attacco sono stati accelerati e sono così lontani da noi come difensori”, ha detto Riemer a VentureBeat. “Dobbiamo salire sul carro dei difensori per iniziare a utilizzare l’intelligenza artificiale; non solo nel rilevamento dei deepfake, ma nella gestione delle identità. Come posso usare l’intelligenza artificiale per determinare se ciò che mi sta accadendo è reale?”
Carter Rees, vicepresidente dell’IA presso Reputazioneinquadra il divario tecnico: “Le strategie di difesa approfondita basate su regole deterministiche e firme statiche sono fondamentalmente insufficienti contro la natura stocastica e semantica degli attacchi che prendono di mira i modelli di intelligenza artificiale in fase di esecuzione.”
11 vettori di attacco che aggirano ogni tradizionale controllo di sicurezza
IL OWASP Top 10 per le applicazioni LLM 2025 classifica al primo posto l’iniezione immediata. Ma questo è uno degli undici vettori che i chief della sicurezza e gli sviluppatori di intelligenza artificiale devono affrontare. Ciascuno richiede la comprensione sia dei meccanismi di attacco che delle contromisure difensive.
1. Iniezione immediata diretta: I modelli addestrati a seguire le istruzioni daranno la priorità ai comandi dell’utente rispetto alla formazione sulla sicurezza. Rapporto sullo stato degli attacchi di Pillar Security al GenAI trovato Il 20% dei jailbreak riesce in una media di 42 secondi, con Il 90% degli attacchi riusciti perdono dati sensibili.
Difesa: Classificazione degli intenti che riconosce i modelli di jailbreak prima che i immediate raggiungano il modello, oltre al filtraggio dell’output che rileva i bypass riusciti.
2. Attacchi mimetici: Gli aggressori sfruttano la tendenza del modello a seguire segnali contestuali incorporando richieste dannose all’interno di conversazioni benigne. Ricerca “Deceptive Delight” dell’Unità 42 di Palo Alto ha ottenuto il 65% di successo in 8.000 take a look at su otto diversi modelli in soli tre turni di interazione.
Difesa: Analisi sensibile al contesto che valuta l’intento cumulativo di una conversazione, non i singoli messaggi.
3. Attacchi in crescendo multi-giro: La distribuzione dei carichi utili tra i turni, ciascuno dei quali appare innocuo se preso singolarmente, vanifica le protezioni a turno singolo. Lo strumento automatizzato Crescendomation ha ottenuto il 98% di successo su GPT-4 e il 100% su Gemini-Professional.
Difesa: Tracciamento del contesto con stato, mantenimento della cronologia delle conversazioni e segnalazione dei modelli di escalation.
4. Iniezione rapida indiretta (avvelenamento da RAG): Un exploit zero-click che prende di mira le architetture RAG. Si tratta di una strategia di attacco particolarmente difficile da fermare. Ricerca RAG avvelenata raggiunge il 90% di successo dell’attacco inserendo solo cinque testi dannosi in database contenenti milioni di documenti.
Difesa: Avvolgi i dati recuperati in delimitatori, indicando al modello di trattare il contenuto solo come dati. Elimina i token di controllo dai blocchi del database vettoriale prima che entrino nella finestra di contesto.
5. Attacchi di offuscamento: Le istruzioni dannose codificate utilizzando ASCII artwork, Base64 o Unicode ignorano i filtri delle parole chiave pur rimanendo interpretabili per il modello. La ricerca ArtPrompt hanno ottenuto un successo fino al 76,2% su GPT-4, Gemini, Claude e Llama2 nel valutare quanto sia letale questo tipo di attacco.
Difesa: I livelli di normalizzazione decodificano tutte le rappresentazioni non normal in testo semplice prima dell’analisi semantica. Questo singolo passaggio blocca la maggior parte degli attacchi basati sulla codifica.
6. Estrazione del modello: Le question API sistematiche ricostruiscono le capacità proprietarie tramite distillazione. Ricerca sul modello di sanguisuga ha estratto il 73% di somiglianza da ChatGPT-3.5-Turbo per $ 50 in costi API in 48 ore.
Difesa: Impronta digitale comportamentale, rilevamento di modelli di analisi della distribuzione, filigrana che dimostra il furto post-fatto e limitazione della velocità, analisi dei modelli di question oltre il semplice conteggio delle richieste.
7. Esaurimento delle risorse (attacchi di spugna). Gli enter creati advert arte sfruttano la complessità quadratica dell’attenzione di Transformer, esaurendo i funds per l’inferenza o degradando il servizio. Ricerca IEEE EuroS&P su esempi di spugne dimostrato aumenti di latenza di 30 volte sui modelli linguistici. Un attacco ha spinto Microsoft Azure Translator da 1 ms a 6 secondi. Un degrado di 6.000 volte.
Difesa: Budgeting dei token per utente, analisi della complessità dei immediate che rifiuta modelli ricorsivi e caching semantico che serve immediate pesanti e ripetuti senza incorrere in costi di inferenza.
8. Frode d’identità sintetica. Le identità generate dall’intelligenza artificiale che combinano dati reali e fittizi per aggirare la verifica dell’identità rappresentano uno dei maggiori rischi generati dall’intelligenza artificiale per la vendita al dettaglio e i servizi finanziari. La ricerca della Federal Reserve sulla frode d’identità sintetica word L’85-95% dei richiedenti sintetici sfugge ai tradizionali modelli di frode. Rapporto Signicat 2024 hanno scoperto che le frodi basate sull’intelligenza artificiale costituiscono ora il 42,5% di tutti i tentativi di frode rilevati nel settore finanziario.
Difesa: Verifica multifattoriale che incorpora segnali comportamentali oltre gli attributi di identità statici, oltre al rilevamento di anomalie addestrato su modelli di identità sintetici.
9. Frode abilitata dal deepfake. Audio e video generati dall’intelligenza artificiale impersonano i dirigenti per autorizzare le transazioni, spesso tentando di frodare le organizzazioni. Rapporto Onfido sulle frodi d’identità 2024 ha documentato un aumento del 3.000% dei tentativi di deepfake nel 2023. Arup ha perso 25 milioni di dollari con una singola videochiamata con partecipanti generati dall’intelligenza artificiale che impersonano il direttore finanziario e i colleghi.
Difesa: Verifica fuori banda per transazioni di valore elevato, rilevamento dell’attività per l’autenticazione video e coverage che richiedono una conferma secondaria indipendentemente dall’anzianità apparente.
10. Esfiltrazione di dati da parte di addetti negligenti. I dipendenti incollano codice proprietario e documenti strategici in LLM pubblici. Questo è esattamente ciò che Gli ingegneri Samsung lo hanno fatto poche settimane dopo aver revocato il divieto di ChatGPTfuga di codice sorgente e word di riunioni interne in tre incidenti separati. Gartner prevede L’80% delle transazioni IA non autorizzate entro il 2026 deriverà da violazioni delle coverage interne piuttosto che da attacchi dannosi.
Difesa: La redazione delle informazioni di identificazione personale (PII) consente un utilizzo sicuro degli strumenti di intelligenza artificiale impedendo al contempo che i dati sensibili raggiungano modelli esterni. Fare in modo che l’utilizzo sicuro sia il percorso di minor resistenza.
11. Sfruttamento delle allucinazioni. La spinta controfattuale costringe i modelli a concordare con le invenzioni, amplificando i falsi risultati. Ricerca su agenti basati su LLM mostra che le allucinazioni si accumulano e si amplificano nel corso di processi a più fasi. Ciò diventa pericoloso quando gli output dell’intelligenza artificiale alimentano flussi di lavoro automatizzati senza revisione umana.
Difesa: I moduli di messa a terra confrontano le risposte con il contesto recuperato per verificarne la fedeltà, oltre al punteggio di confidenza, segnalando potenziali allucinazioni prima della propagazione.
Cosa devono fare ora i CISO
Gartner prevede Entro il 2028, il 25% delle violazioni aziendali sarà riconducibile all’abuso di agenti IA. Il momento giusto per costruire difese è adesso.
Chris Betz, CISO presso AWS, l’ha incorniciato alla RSA 2024: “Le aziende dimenticano la sicurezza dell’applicazione nella fretta di utilizzare l’intelligenza artificiale generativa. I luoghi in cui vediamo innanzitutto le lacune di sicurezza sono in realtà a livello dell’applicazione. Le persone corrono per trovare soluzioni e stanno commettendo errori.”
Emergono cinque priorità di implementazione:
-
Automatizza la distribuzione delle patch. La finestra di 72 ore richiede patch autonome legate alla gestione del cloud.
-
Distribuire prima i livelli di normalizzazione. Decodifica Base64, ASCII artwork e Unicode prima dell’analisi semantica.
-
Implementare il monitoraggio del contesto con stato. Gli attacchi Crescendo multigiro sconfiggono l’ispezione a richiesta singola.
-
Applicare la gerarchia delle istruzioni RAG. Avvolgi i dati recuperati in delimitatori, trattando il contenuto solo come dati.
-
Propaga l’identità nei immediate. Iniettare metadati utente per il contesto di autorizzazione.
“Quando metti la sicurezza ai margini della tua rete, stai invitando il mondo intero a entrare”, ha detto Riemer. “Finché non saprò di cosa si tratta e non saprò chi c’è dall’altra parte della tastiera, non comunicherò con esso. Questo è zero belief; non come una parola d’ordine, ma come principio operativo.”
L’esposizione di Microsoft è rimasta inosservata per tre anni. Samsung ha fatto trapelare il codice per settimane. La questione per i CISO non è se implementare la sicurezza dell’inferenza, ma se riescono a colmare il divario prima di diventare il prossimo ammonimento.
