Le garde-frecce degli agenti IA trasformati in vettore di DDoS

I ricercatori hanno scoperto una tecnica che potrebbe trasformare i garde-freccia utilizzati dagli agenti IA in armi per effettuare attacchi DDoS. Questi metodi mirano a rallentare le capacità operative degli agenti IA, causando un'inefficienza generalizzata negli ambienti in cui operano. Secondo gli studi, il problema non riguarda solo l'integrità dei modelli ma la disponibilità del sistema intero.

I framework testati

I ricercatori hanno testato quattro framework di agenti IA: LangGraph, BrowserGym, OpenHands e OSWorld. Hanno rilevato un aumento considerevole dei tempi di attesa durante l'elaborazione.

• LangGraph ha subito il rallentamento maggiore: 148 volte.
• BrowserGym ha mostrato un rallentamento di 131 volte.
• OpenHands ha registrato un rallentamento di 36,3 volte.
• OSWorld ha avuto un rallentamento di 18 volte.

Il punto debole dei guardrail

La particolarità di questa tecnica di attacco è che, diversamente dalle attuali strategie di manipolazione o bypass, non mira a cambiare l’output ma a sovraccaricare il sistema di controllo. I ricercatori hanno spiegato che «più rigoroso è il ragionamento del guardrail, più tempo richiede». Questo approccio si focalizza sull’affaticare i sistemi anziché comprometterli, quindi l’unico obiettivo è resisterne all’accesso.

I modelli interessati

L’attacco ha funzionato anche su otto famiglie diverse di Large Language Models (LLM). Secondo gli esperti, questa tecnica potrebbe essere applicata facilmente anche a modelli open source, rendendo la vulnerabilità accessibile ad un numero più ampio di aggressori.

La risposta delle aziende

OpenAI e Anthropic, due delle aziende coinvolte, non hanno immediatamente risposto alle richieste di commento. Questa mancanza di comunicazione da parte dei grandi attori del settore solleva domande riguardo alla preparazione attuale rispetto a questa tipologia di vulnerabilità.

La criticità della governance IA

Secondo Sakshi Grover, Senior Research Director per la cybersecurity presso IDC Asia-Pacifico, «l’infrastruttura della governance IA sta diventando sempre più cruciale all’avanzare degli agenti IA». Le imprese devono iniziare a considerare la resilienza, l’elasticità e la tolleranza ai difetti dei sistemi di controllo, simili a quelle che applicano per il controllo degli utenti e delle API.

Rischi di concentrazione

Un rischio supplementare è la concentrazione causata dalla gestione centralizzata dell’IA. Sakshi Grover ha sottolineato che quando diversi sistemi IA utilizzano la stessa infrastruttura di controllo condivisa, il rischio di un’attacco mirato è più elevato.

Limitazioni di mitigazione

I ricercatori hanno testato diversi tentativi di mitigazione. I filtri tradizionali per l’iniezione di prompt non hanno fornito protezione. Inoltre, il limitare il numero di token ha spostato i comportamenti da fallosi aperti a completi chiusi, senza risolvere la complessità dell’attacco.

Compromesso tra sicurezza e prestazioni

L’applicazione di budget ridotti per il ragionamento ha ridotto la latenza ma ha indebolito la sicurezza. L’equilibrio tra prestazioni e protezione si rivela problematico. I modelli più grandi, pur più potenti, si sono dimostrati più lenti nel riconoscere e contrastare l’input malizioso.

L’evoluzione della cyberminaccia

Secondo Apeksha Kaushik, Senior Analyst Principal di Gartner, «entro il 2029, oltre il 50% delle cyberminacce mirate agli agenti IA saranno basate su compromissione dei controlli, mentre fino al 2028, almeno l’80% degli accessi non autorizzati verificatisi negli agenti saranno causati da errori interni o da comportamenti errati dell'AI, non da attacchi mirati». La migrazione verso sistemi autonomi multi-agente introduce nuovi pericoli, come l’emergere di comportamenti dannosi non previsti.

Soluzioni e preparazione aziendale

Gli esperti suggeriscono di adottare nuove pratiche di monitoraggio, test e protezione. L’infrastruttura di controllo per l’IA deve essere indipendente, e devono essere implementati controlli stratificati o asincroni là dove necessario.

• Analisi delle profondità anomale del ragionamento.
• Test di sicurezza mirati per individuare vulnerabilità di disponibilità.
• Applicazione di architetture robuste e sicure.

Riflessioni finali

Secondo Grover, le organizzazioni che trattano l’infrastruttura IA con la stessa cura riservata ai sistemi critici otterranno vantaggi strategici nel panorama in rapida evoluzione. Le altre imprese, invece, correranno il rischio di perdite significative a causa di un’infrastruttura poco protetta.