La scorsa settimana, l'azienda di AI Anthropic ha reso noto un incidente di sicurezza in cui una bozza di post sul blog è stato divulgato a Fortuna.
Nel post del blog si legge che il nuovo progetto, “Claude Mythos”, e il nuovo modello, Capybara, rappresentano un “cambio di passo” negli assistenti AI. Il blog ha parlato di un “modello generico con progressi significativi nel ragionamento, nella codifica e nella sicurezza informatica”.”
Il blog Anthropic ha anche avvertito che: “Nel prepararci a rilasciare Claude Capybara, vogliamo agire con estrema cautela e comprendere i rischi che esso comporta - anche al di là di quanto appreso nei nostri test... In particolare, vogliamo comprendere i potenziali rischi a breve termine del modello nel campo della sicurezza informatica - e condividere i risultati per aiutare i difensori informatici a prepararsi”.”
Il bozza ha inoltre osservato che il nuovo modello “lascia presagire una prossima ondata di modelli in grado di sfruttare le vulnerabilità in modi che superano di gran lunga gli sforzi dei difensori”.”
Claude Mythos potrebbe rappresentare un rischio importante per la sicurezza informatica delle organizzazioni. Il nuovo modello seguirà un'ondata di rischi crescenti causati da IA, agenti e altre identità non umane (NHI):
- Gartner ha indicato l'IA agenziale come la principale tendenza tecnologica del 2025 e ha previsto che 33% di app aziendali includeranno l'IA agenziale entro il 2028, rispetto a meno di 1% nel 2024.
- Altre ricerche mostrano che gli utenti NHI sono più numerosi degli utenti umani di 45 a 1in ambienti DevOps.
- Una recente indagine ha rilevato che 60%delle imprese ha espresso una mancanza di fiducia nella propria capacità di garantire adeguatamente l'NHI.
Che si tratti di Claude Mythos nello specifico, di ChatGPT o di qualche altro servizio agenziale, il discorso della scorsa settimana a Conferenza RSAC era incentrato su come l'IA sta trasformando il panorama delle minacce.
Ecco le best practice che abbiamo indicato ai clienti e che possono aiutare le organizzazioni a prepararsi all'uso dell'IA e a difendersi da essa.
Le minacce alimentate dall'intelligenza artificiale non stanno arrivando, sono già qui. Un precedente articolo di Anthropic post sul blog spiega che un gruppo sponsorizzato dallo Stato ha usato l'agente per infiltrarsi in “circa trenta obiettivi globali e in un piccolo numero di casi ha avuto successo” “fingendo di lavorare per organizzazioni legittime di test di sicurezza” per evitare i controlli di Claude. Abbiamo continuato a vedere Attacchi di phishing guidati dall'intelligenza artificiale finalizzato a rubare le credenziali degli utenti.
Le organizzazioni devono disporre dei giusti controlli sull'identità per prepararsi a un numero maggiore di attacchi, e anche più efficaci. Questi includono:
- Autenticazione senza password: l'assenza di password può eliminare le credenziali che gli attacchi di phishing guidati dall'intelligenza artificiale cercano di rubare. Puntate a implementazione senza password su scala per ogni utente in ogni ambiente.
- Proteggere il processo di autenticazione: L'eliminazione delle password è un ottimo primo passo per proteggere le organizzazioni dall'intelligenza artificiale, ma è solo il primo passo. Mantenete sicuro il processo di autenticazione stesso utilizzando soluzioni che valutare dinamicamente i segnali dell'utente e richiedere un'autenticazione graduale durante i tentativi di accesso ad alto rischio, oppure utilizzare la verifica di prossimità per assicurarsi che il dispositivo dell'utente sia vicino a ciò a cui sta cercando di accedere.
- Verifica bidirezionale dell'identità: I deepfakes renderanno più facile per gli aggressori fingersi utenti o personale dell'help desk. Gli agenti aiuteranno gli avversari a creare attacchi di social engineering più convincenti. Le organizzazioni hanno bisogno di un modo semplice per tenere conto di entrambe le tattiche e verificare un utente è chi sostiene di essere per prevenire il tipo di attacchi che costano MGM Resorts, Caesars Entertainment Group e Marks & Spencer centinaia di milioni di dollari.
- Governance e amministrazione dell'identità (IGA): Nella maggior parte delle violazioni, gli aggressori si muovono rapidamente per aumentare i privilegi e ampliare l'accesso. Avere un programma IGA avanzato aiuta a contenere questo rischio garantendo che le identità abbiano accesso solo a ciò che è necessario, applicando il minimo privilegio e supportando un approccio Zero Trust.
Non è sufficiente disporre di funzionalità di sicurezza per difendersi dall'intelligenza artificiale esterna. Le organizzazioni hanno anche bisogno di controlli di sicurezza dell'identità che consentano loro di utilizzarla in modo sicuro. Il 2026 Rapporto RSA ID IQ, Un'indagine di settore condotta su oltre 2.100 leader globali nei settori della cybersecurity, della gestione delle identità e degli accessi (IAM), della conformità e della tecnologia ha rilevato che il 91% delle organizzazioni prevede di implementare una qualche forma di IA nel proprio stack di cybersecurity quest'anno.
Per utilizzare l'IA in modo sicuro, le organizzazioni devono:
- Trattare ogni agente come un'identità. Le organizzazioni devono trattare ogni agente, bot e servizio di intelligenza artificiale come un'identità. Devono applicare lo stesso livello di controlli, autorizzazioni e supervisione agli NHI come agli utenti umani. Inventariate innanzitutto ciò che avete e comprendete il suo accesso. E richiedete l'assenza di password per i vostri agenti per eliminare il rischio che i dipendenti inseriscano le loro password per agire a loro nome: se lo fate, state solo rilasciando un bot insicuro nella natura.
- Comunicate le vostre politiche in modo chiaro, forte e frequente.. Non si tratta solo di un problema tecnologico. Le organizzazioni devono identificare quali servizi sono validi e quali risorse i dipendenti possono fornire loro. L'IA ombra rappresenta un rischio enorme di perdere PII, informazioni finanziarie e altri dati riservati.
- Costruire un IGA migliore. Per utilizzare l'IA in modo sicuro, le organizzazioni hanno bisogno di una governance che tenga il passo con la scala dei dati sulle identità. Ciò significa garantire che le identità abbiano solo l'accesso necessario, mantenere una visibilità continua sugli accessi e trasformare dati complessi in azioni chiare e prioritarie. L'intelligenza artificiale aiuta i revisori a prendere decisioni sicure e offre ai professionisti della sicurezza spunti per identificare i rischi e agire su scala, consentendo un controllo continuo e intelligente degli accessi.
- Sovranità dei dati per l'IA. Le organizzazioni con requisiti di conformità, sicurezza e disponibilità più stringenti dovrebbero prendere in considerazione l'uso di schieramento sovrano per garantire il pieno controllo sui propri dati, su dove risiedono e su chi può accedervi. Cercate soluzioni in grado di supportare funzionalità complete di gestione dell'identità e dell'accesso (IAM) in configurazioni cloud private, multi-cloud, on-premise e air-gapped.
