AWS sta equipaggiando agenti IA con Knowledge Graph e verifica di sicurezza automatica

AWS presenta al AWS Summit a New York una serie di nuovi servizi finalizzati all’adattamento di agenti KI al contesto aziendale e alla sicurezza critica, tra cui AWS Continuum e AWS Context.

Due nuovi servizi per l’utilizzo di agenti KI

I nuovi servizi AWS si concentrano su due ambiti critici: la gestione automatica delle vulnerabilità di codice con AWS Continuum, e la creazione di una base comune di conoscenza aziendale con AWS Context.

Essi risolvono i problemi comuni nel contesto operativo degli agenti KI, come la mancanza di contesto aziendale necessario e i rischi di sicurezza generati con il ritmo attuale di produzione di codice KI.

Contestazione delle vulnerabilità con AWS Continuum

Con AWS Continuum, AWS introduce un servizio che automatizza l’intero ciclo di gestione delle vulnerabilità di codice, partendo dal rilevamento, fino alla priorità, validazione e soluzioni attive.

L’accesso iniziale a Continuum è limitato a pochi clienti di test, poiché, come spiega AWS nel blog di sicurezza, gli ambienti di minaccia si stanno velocizzando, in particolare con modelli di sicurezza specializzati come Claude Mythos da Anthropic.

Quei modelli possono individuare vulnerabilità e progettare percorsi di attacco, rendendo la lista di problemi inesplorati su scala crescente. Un’approccio manuale basato su dati statici e dashboard non è più adatto a risolvere tali problemi.

Come funziona AWS Continuum

Continuum opera in quattro fasi principali: inizialmente, raccoglie i dati esistenti sulle vulnerabilità e ne cerca di nuove. Successivamente, priorizza i risultati in base all’impatto commerciale, ad esempio valutando se un componente vulnerabile è accessibile o operativo.

In una fase separata di convalida, il servizio replica un attacco in un ambiente test separato, distinguendo chiaramente i falsi positivi dai rischi veri.

Dopodiché, Continuum fornisce raccomandazioni di prevenzione specifiche, come modifiche alle reti, aggiustamenti di autorizzazione o correzioni al codice. Il servizio è dotato anche di un strumento di modellazione delle minacce che genera panorami automatizzati di scenari potenziali di attacco da documentazione o codice sorgente.

Modellazione del codice in automatico

Continuum non si attacca ad un singolo modello KI, ma utilizza vari modelli avanzati (Frontier-Model) a seconda dell’applicazione. Parte dal modo di apprendimento, permettendo ad un team di controllare inizialmente il processo. Il sistema può essere portato automaticamente al "mode enforcement", dove le correzioni sono attuate direttamente dal sistema senza intervento umano.

Costruzione del Wissensgraph per le basi aziendali

Il servizio AWS Context crea un Wissensgraph a partire dai dati aziendali interni ed è disponibile per tutti gli agenti al servizio. Questo sistema collega diversi punti di dati, consentendo ad un agente, ad esempio, di capire qual è il rapporto tra una tabella e un cliente o da dove proviene una informazione centrale.

Context trae origine dati da database, documenti, email e messaggi di chat, integrando regole aziendali e conoscenza del settore specifico, un supporto indispensabile per evitare il più delle volte che gli agenti KI facciano previsioni errate.

Funzionalità avanzate di ricerca

Il servizio Context raccoglie e cataloga documenti, video, immagini e file audio da Lake dati S3, database e applicazioni in SaaS nel AWS Glue Data Catalog esteso ai cataloghi esterni. La libreria di API Apigentic Search consente ricerche contestuali e invia risultati direttamente a modelli KI o strumenti di terze parti.

Technologicamente, Context si sviluppa dallo stesso approccio grafico come Amazon Quick, con un formato tabellare di metadati registrati in AWS, permettendo ai clienti di continuare ad utilizzare gli strumenti esistenti. Non serve nemmeno creare una pipeline personalizzata per ottenere i dati. I controlli di accesso integrati garantiscono che i singoli agenti possano accedere solo ai dati resi accessibili.

Codice di controllo pre-deployment

Il AWS DevOps Agent riceverà in una fase test due nuove funzioni per rispondere al crescente volume di codice KI generato. Il primo, denominato Release Readiness Review, riesamina ogni modifica del codice seguendo gli standard produttivi e individua dipendenze che potrebbero generare problemi al di fuori dei repository.

Gli standard di qualità sottostanti possono essere definiti in linguaggio naturale o integrati da codice. Questi risultati vengono mostrati come commenti su GitHub o GitLab, e vengono accessibili in ambiente di lavoro tramite plug-in Kiro o Claude Code.

Gestione del test automatico

La seconda funzione sviluppa un piano di test adatto alla specifica di modifica e lo esegue in un ambiente di produzione simile. Questo approccio evita di utilizzare test statici e mira a una maggiore aderenza all’impatto effettivo.

La preview iniziale del servizio è gratuita e disponibile solo nell’area US East. Queste nuove feature si allineano con una serie di recenti problemi emersi nel settore interno ad AWS con strumenti generativi KI autonome, causando interruzioni importanti.

Nel febbraio 2026 fu riferito che gli strumenti di codifica KI di Amazon avrebbero causato almeno due interruzioni del cloud; queste includono un blackout prolungato segnato da Kiro. Successivamente, Amazon ha introdotto una richiesta di revisione umana di esperti per ogni codice KI prodotto.

Agent KI mobile con Kiro e nuove integrazioni

AWS ha reso disponibile una versione nativa iOS per il suo assistente di codifica Kiro. Ogni sessione esiste nell’ambiente cloud, con il telefono che funge da interfacce controllata per avviare, controllare e approvare modifiche del codice.

L’accesso al servizio è riservato solo agli utenti paganti. Intanto, AWS Bedrock AgentCore si espande con una banca dati gestita e connettori per S3, SharePoint, Confluence e Google Drive, integrando inoltre un motore di ricerca internet. Si aggiungono controlli integrati basati sulla protezione interna per verificare richieste manipolare, contenuti dannosi o perdite di dati.

Nel tempo saranno integrati segnali anche da fornitori di sicurezza esterni come Check Point, Zscaler, Rubrik, Netskope e SentinelOne.