AiSec: Framework di analisi della sicurezza per agenti AI

A marzo 2025, il team di sicurezza di Xcapit ha ricevuto una richiesta che avrebbe messo alla prova ogni assunzione sulla sicurezza dell'AI: auditare OpenClaw, un framework di agenti AI open-source che veniva distribuito nei servizi finanziari e nella sanità — settori dove una singola vulnerabilità potrebbe esporre milioni di record. Il team aveva trascorso sei anni a costruire strumenti di sicurezza, partendo dal penetration testing manuale nel 2019 ed evolvendosi attraverso il boom dell'AI. Ma OpenClaw era diverso. I suoi agenti potevano chiamare API esterne, eseguire codice e concatenare azioni autonomamente. La superficie di attacco non era un'applicazione web con endpoint noti — era un sistema che poteva decidere, a runtime, di fare cose che i suoi creatori non avevano mai previsto.

La sfida

Gli scanner di sicurezza tradizionali sono stati costruiti per un mondo in cui il software fa cio che dice il suo codice. Snyk trova CVE note nelle dipendenze. Semgrep confronta pattern di codice con database di vulnerabilità. Questi strumenti sono essenziali — ma sono ciechi di fronte a una categoria completamente nuova di minacce che emergono quando gli agenti AI operano autonomamente.

Consideriamo i vettori di attacco che gli scanner tradizionali non possono rilevare:

• Prompt injection: Un attaccante incorpora istruzioni nei dati forniti dall'utente che sovrascrivono il prompt di sistema dell'agente. Nel 2024, i ricercatori hanno dimostrato che un curriculum caricato su uno strumento HR potenziato dall'AI poteva istruire l'agente a inviare via email tutti i dati dei candidati a un indirizzo esterno — e l'agente ha obbedito, perché non poteva distinguere tra le proprie istruzioni e quelle dell'attaccante.
• Esfiltrazione di dati attraverso gli output del modello: Un agente che elabora documenti riservati può essere manipolato per codificare dati sensibili nelle sue risposte — non attraverso un exploit di rete, ma costruendo input che causano la 'fuga' di dati di addestramento o contenuti della finestra di contesto dal modello.
• Escalation dei privilegi tramite uso di strumenti: Gli agenti AI che possono chiamare strumenti (database, API, comandi shell) possono essere ingannati per concatenare chiamate in modi che escalano i privilegi. Un agente con accesso in sola lettura al database, ad esempio, potrebbe essere manipolato per chiamare un altro strumento che scrive dati.
• Attacchi alla supply chain sui pesi dei modelli: Attori malevoli possono pubblicare modelli fine-tuned che contengono backdoor — il modello si comporta normalmente con input standard ma attiva comportamenti dannosi su specifiche frasi trigger.

Nessuno scanner esistente affronta queste minacce in modo olistico. OWASP ha pubblicato il suo AI Top 10 nel 2023, MITRE ha rilasciato il framework ATLAS e l'EU AI Act ha imposto valutazioni di sicurezza — ma gli strumenti sono rimasti indietro rispetto agli standard. Le organizzazioni sapevano cosa dovevano testare ma non avevano un modo automatizzato per farlo.

L'Audit di OpenClaw: Validazione nel mondo reale

Perché OpenClaw

OpenClaw e stato scelto come obiettivo di validazione di AiSec perché rappresenta il pattern architetturale più comunemente distribuito nell'AI aziendale: un framework multi-agente dove gli agenti si coordinano attraverso stato condiviso, chiamano strumenti esterni tramite API e processano input degli utenti con sanitizzazione minima. Se AiSec poteva auditare OpenClaw in modo completo, poteva auditare la stragrande maggioranza dei deployment di agenti AI in produzione.

Metodologia di audit

AiSec ha distribuito tutti i 35 agenti di sicurezza specializzati contro il codebase di OpenClaw in un processo a tre fasi:

• Fase 1 — Scansione individuale degli agenti: Ciascuno dei 35 agenti ha analizzato indipendentemente il codebase dalla propria prospettiva specializzata. L'agente di prompt injection ha testato la gestione degli input su tutti gli endpoint degli agenti. L'agente di escalation dei privilegi ha mappato le catene di chiamate agli strumenti e i confini dei permessi. L'agente della supply chain ha analizzato il caricamento dei modelli e l'integrità delle dipendenze.
• Fase 2 — Correlazione cross-agente: Il motore di correlazione ha ingerito tutti i risultati dei 35 agenti e applicato 31 regole di correlazione per identificare vulnerabilità composte — casi in cui risultati di bassa severita individuale si combinano in catene di attacco critiche. Ad esempio: una lacuna di validazione dell'input di severita media più una configurazione errata dei permessi degli strumenti di severita media insieme abilitano un percorso critico di esfiltrazione dei dati.
• Fase 3 — Verifica manuale e classificazione della severita: Il sistema di scoring AI-CVSS di AiSec ha classificato ogni risultato per severita, tenendo conto di fattori specifici dell'AI come la manipolabilita del modello, l'esposizione della chain-of-thought e l'ambito delle azioni autonome. Ingegneri della sicurezza umani hanno quindi verificato un campione di risultati per validare l'accuratezza.

Cosa e stato trovato

L'audit ha identificato 63 risultati di sicurezza — 4.2x in più rispetto a quanto trovato da Snyk e Semgrep scansionando lo stesso codebase. La suddivisione per categoria rivela il divario tra la scansione tradizionale e l'analisi di sicurezza specifica per l'AI:

• Vulnerabilità di prompt injection: 14 risultati, inclusi 3 percorsi critici in cui gli input degli utenti potevano sovrascrivere i prompt di sistema nelle configurazioni degli agenti in produzione
• Uso degli strumenti ed escalation dei privilegi: 11 risultati, incluse catene di delega agente-ad-agente che aggiravano i confini dei permessi
• Gestione dei dati e rischi di esfiltrazione: 9 risultati, inclusi contenuti della finestra di contesto non crittografati persistiti su storage condiviso
• Rischi della supply chain e delle dipendenze: 8 risultati, inclusi download di pesi dei modelli non firmati da registri pubblici
• Vulnerabilità composte (correlazione cross-agente): 12 risultati che nessun singolo scanner ha rilevato, rappresentanti le catene di attacco più critiche
• Configurazione e hardening del deployment: 9 risultati relativi a configurazioni predefinite, endpoint di debug esposti e rate limit mancanti

Le 12 vulnerabilità composte sono state particolarmente significative. Sono catene di attacco che diventano visibili solo quando si correlano risultati di più domini di sicurezza — esattamente il tipo di minaccia che gli scanner monouso non rilevano. Uno strumento di analisi statica vede un gestore di input permissivo. Uno scanner di dipendenze vede una libreria obsoleta. Solo un motore di correlazione vede che insieme, permettono a un attaccante di iniettare un prompt che attiva una dipendenza vulnerabile per esfiltrate dati.

Da consulenza a prodotto

AiSec non e nato come prodotto. E nato come necessità interna. Nel 2019, la pratica di cybersicurezza di Xcapit forniva penetration testing manuale e consulenza di sicurezza ai clienti in America Latina e in Europa. Man mano che il team accumulava metodologie di audit, ha iniziato ad automatizzare compiti di analisi ripetitivi — prima come script, poi come agenti coordinati, poi come un framework completo.

L'evoluzione ha seguito un percorso chiaro: la consulenza manuale (2019-2021) ha costruito l'esperienza di dominio. Gli strumenti interni (2021-2023) hanno codificato quell'esperienza in agenti automatizzati. Il framework open-source (2023-2024) ha reso gli strumenti riutilizzabili tra gli incarichi. E la piattaforma cloud (2025) l'ha resa accessibile alle organizzazioni senza team di sicurezza dedicati. Ogni fase si e costruita sugli artefatti della precedente, motivo per cui i 250+ rilevatori di AiSec riflettono risultati di audit reali piuttosto che tassonomie teoriche di vulnerabilità.

Risultati e impatto

• 35 agenti di sicurezza specializzati con 250+ rilevatori di vulnerabilità
• 63 risultati nell'audit di OpenClaw (4.2x in più rispetto a Snyk/Semgrep da soli)
• 31 regole di correlazione cross-agente per il rilevamento di vulnerabilità composte
• 8 framework di compliance (OWASP AI Top 10, NIST AI RMF, EU AI Act, ISO 42001, ISO 27001, GDPR, SOC2, MITRE ATLAS)
• 4 minuti di tempo medio di scansione con esecuzione parallela degli agenti
• Auto-remediation con patch di codice generati e creazione di PR
• 12 vulnerabilità composte scoperte che nessun singolo scanner ha rilevato

Stack tecnologico

• Motore di orchestrazione Python/Django che coordina 35 agenti di sicurezza in parallelo
• Docker/Kubernetes per esecuzione isolata delle scansioni con limiti di risorse per agente
• Falco con sonde eBPF per monitoraggio dei contenitori a runtime e rilevamento anomalie
• Sistema di scoring AI-CVSS adattato per la valutazione della severita di vulnerabilità specifiche dell'AI
• Esportazione in formato SARIF per integrazione nativa con GitHub Actions, GitLab CI e Jenkins