Intelligenza artificiale e produttività aziendale
L’intelligenza artificiale sta rivoluzionando la produttività aziendale, con strumenti come le completamenti di codice di GitHub Copilot e i chatbot che estraggono risposte istantanee dalle basi di conoscenza interne. Ogni nuovo agente deve autenticarsi con altri servizi, aumentando silenziosamente la popolazione di identità non umane (NHI) nei cloud aziendali. Questa popolazione è già travolgente: molte aziende gestiscono almeno 45 identità di macchine per ogni utente umano. Account di servizio, bot CI/CD, container e agenti AI necessitano di segreti, spesso sotto forma di API key, token o certificati, per connettersi in modo sicuro ad altri sistemi. Il rapporto “State of Secrets Sprawl 2025” di GitGuardian rivela il costo di questa diffusione: oltre 23,7 milioni di segreti sono emersi su GitHub pubblico solo nel 2024. Invece di migliorare la situazione, i repository con Copilot hanno facilitato la fuga di segreti il 40% più spesso.
Le sfide delle identità non umane
Le NHI non sono persone. A differenza degli esseri umani che accedono ai sistemi, le NHI raramente hanno politiche per la rotazione delle credenziali, la limitazione delle autorizzazioni o la dismissione degli account inutilizzati. Se non gestite, creano una rete densa e opaca di connessioni ad alto rischio che gli attaccanti possono sfruttare a lungo dopo che qualcuno ricorda l’esistenza di quei segreti. L’adozione dell’AI, in particolare dei modelli di linguaggio di grandi dimensioni e della generazione aumentata dal recupero (RAG), ha aumentato notevolmente la velocità e il volume con cui questa diffusione a rischio può verificarsi.
Chatbot e rischi di sicurezza
Consideriamo un chatbot di supporto interno alimentato da un LLM. Quando viene chiesto come connettersi a un ambiente di sviluppo, il bot potrebbe recuperare una pagina Confluence contenente credenziali valide. Il chatbot può inconsapevolmente esporre segreti a chiunque ponga la domanda giusta, e i log possono facilmente far trapelare queste informazioni a chiunque abbia accesso. Peggio ancora, in questo scenario, l’LLM sta dicendo ai tuoi sviluppatori di utilizzare questa credenziale in chiaro. I problemi di sicurezza possono accumularsi rapidamente.
Soluzioni per la gestione delle NHI
La situazione non è senza speranza. Infatti, se vengono implementati modelli di governance adeguati attorno alle NHI e alla gestione dei segreti, gli sviluppatori possono effettivamente innovare e distribuire più velocemente.
Cinque controlli praticabili per ridurre il rischio NHI legato all’AI
Le organizzazioni che cercano di controllare i rischi delle NHI guidate dall’AI dovrebbero concentrarsi su queste cinque pratiche attuabili:
- Audit e pulizia delle fonti di dati
- Centralizzazione della gestione delle NHI esistenti
- Prevenzione delle fughe di segreti nelle implementazioni LLM
- Miglioramento della sicurezza dei log
- Restrizione dell’accesso ai dati AI
Audit e pulizia delle fonti di dati
I primi LLM erano vincolati solo ai set di dati specifici su cui erano stati addestrati, rendendoli novità con capacità limitate. L’ingegneria della generazione aumentata dal recupero (RAG) ha cambiato questo, consentendo agli LLM di accedere a fonti di dati aggiuntive secondo necessità. Sfortunatamente, se ci sono segreti presenti in queste fonti, le identità correlate sono ora a rischio di abuso.
Fonte: The Hackers News
