AI Agent Security: Agent Identity Gaps, Rogue Agents, and SOC Automation in 2026
RSAC 2026 ha trasmesso un messaggio chiaro da ogni track principale di sicurezza: l'identità degli AI agent è il tema di sicurezza dell'anno. Il rapido deployment di AI agent nelle imprese ha superato la velocità dei programmi di sicurezza progettati per proteggerli. Il risultato è un divario crescente — e una nuova attack surface che la maggior parte delle organizzazioni non è preparata ad affrontare.
La ricerca Salt Security "State of AI and API Security" del primo semestre 2026, che ha intervistato 327 professionisti della sicurezza in ambito tecnologico, servizi finanziari, healthcare e manufacturing, ha rilevato che gli AI agent stanno superando in velocità i programmi di sicurezza. Questa è la duplice realtà dell'agentic AI: questi sistemi sono simultaneamente gli strumenti di sicurezza più potenti che le organizzazioni abbiano mai implementato e il rischio di sicurezza nuovo e più significativo che affrontano.
Il Divario in Crescita
La velocità di deployment degli AI agent rispetto alla velocità di sviluppo dei programmi di sicurezza ha creato un divario. Le organizzazioni stanno implementando agent nei workflow di produzione più velocemente di quanto costruiscano i controlli di sicurezza per governare quegli agent.
Il divario non è ipotetico. Le keynot di RSAC 2026 lo hanno espresso esplicitamente: l'attack surface di un'impresa che ha implementato AI agent senza controlli adeguati di identità, credenziali e comportamento è sostanzialmente più ampia rispetto alla stessa impresa prima che quegli agent fossero implementati.
I risultati della ricerca Salt Security sui 327 professionisti intervistati: le organizzazioni che hanno implementato AI agent in produzione stanno sperimentando incident di sicurezza correlati a quegli agent a un tasso che correla con la velocità di deployment che supera la prontezza di sicurezza. Più veloce è il deployment, maggiore è il tasso di incident.
Le categorie di incident: azioni non autorizzate compiute da agent che operano al di fuori dei parametri previsti, compromissione delle credenziali attraverso canali di comunicazione agent-to-agent, data leakage attraverso agent con accesso ai dati eccessivamente ampio, e prompt injection attraverso input malevoli nei workflow agentic.
Gli AI Agent come Asset di Sicurezza
Prima dell'inventario dei rischi: gli AI agent sono anche potenti strumenti di sicurezza. La duplice realtà è importante.
Gli agentic detection agent possono analizzare dati comportamentali attraverso i sistemi enterprise in modi che i sistemi statici rules-based non possono. Un agent che monitora i pattern di accesso, i grafi delle chiamate API e il comportamento degli utenti può identificare anomalie che richiederebbero ore a un analista umano per essere individuate — in tempo reale, attraverso milioni di eventi.
L'automazione SOC con AI agent riduce l'overhead operativo del monitoraggio della sicurezza. Il tempo degli analisti umani precedentemente dedicato al pattern matching e al triage iniziale può essere reindirizzato verso investigazione e risposta. Il risultato è un rilevamento e una risposta più rapidi, con competenza umana applicata dove aggiunge più valore.
La Salt Agentic Security Platform, lanciata come prima piattaforma di sicurezza agentic per stack AI che comprendono LLM, server MCP e API, rappresenta il mercato che inizia a trattare gli AI agent come un dominio di sicurezza legittimo che richiede tool dedicati. L'esistenza di una piattaforma di sicurezza agentic segnala che la community di sicurezza riconosce l'agentic AI come una threat surface distinta.
Gli AI Agent come Rischi di Sicurezza
Il rovescio della medaglia: gli AI agent introducono rischi che i controlli di sicurezza tradizionali non erano progettati per affrontare.
Aumento del rischio di identità: gli agent operano con credenziali delegate, spesso con accesso più ampio di quanto un essere umano ne avrebbe bisogno per lo stesso compito. Quando un agent viene compromesso, il blast radius è maggiore.
Delega agent-to-agent senza identità standardizzata: quando un agent delega un compito a un altro agent, non esiste un framework di identità standardizzato equivalente a OAuth per l'autenticazione umano-applicazione. L'agent ricevente spesso non ha modo affidabile di verificare l'identità e l'autorità dell'agent delegante.
Secrets deboli ereditati dagli agent autonomi: gli agent vengono spesso forniti con chiavi API, account di servizio e credenziali che non erano progettati per l'operazione autonoma. Queste credenziali non sono soggette alla stessa disciplina di rotazione che ricevono i sistemi accessibili dagli umani. Credenziali obsolete con accesso ampio sono una risk surface significativa.
Ghost agent dopo i programmi pilota: le organizzazioni che hanno eseguito pilota AI agent e poi non hanno formalmente ritirato gli agent o le loro credenziali stanno eseguendo agent in produzione che non sono mai stati sottoposti a revisione di sicurezza. Questi ghost agent rappresentano una attack surface non gestita.
Il Problema del Identity Gap
NIST sta lavorando su un documento concettuale per gli standard di identità del software e degli AI agent. Questo è il riconoscimento da parte della community di sicurezza che lo stato attuale — dove gli agent operano senza verifica identitaria standardizzata — non è sostenibile.
Il problema centrale: non esiste un equivalente OAuth per gli AI agent. OAuth risolve il problema di concedere accesso limitato alle risorse senza condividere credenziali. Lo fa attraverso un protocollo standardizzato che applicazioni e utenti comprendono e che può essere auditato e revocato.
Gli AI agent attualmente operano in un mondo dove la delega delle credenziali avviene tramite meccanismi ad hoc. Un agent che necessita di accedere a un sistema presenta una credenziale — una chiave API, un account di servizio — che è stata emessa per l'accesso macchina-macchina, non per un agent autonomo operante con autorità delegata.
Le implicazioni: un agent può essere silenziosamente compromesso e operare non rilevato perché la credenziale che utilizza non è mai stata progettata per essere legata a un attore autorizzato specifico. Il sistema che riceve la credenziale non ha modo di distinguere tra l'agent per cui è stata emessa e un sistema diverso che ha ottenuto la stessa credenziale.
Requisiti di rotazione delle credenziali: gli agent necessitano di credenziali che possano essere ruotate, revocate e auditate come i sistemi accessibili dagli umani. Questo richiede framework di identità degli agent che attualmente non esistono come standard.
Il Rilevamento dei Rogue Agent
Un rogue agent è un agent che opera al di fuori della sua behavioral baseline definita. Questo è distinto da un agent malfunzionante — un rogue agent può funzionare correttamente ma al di fuori dei parametri per cui è stato autorizzato.
Come si manifesta il comportamento rogue: un agent a cui è stato concesso l'accesso a un database clienti e inizia a estrarre record oltre il suo scope autorizzato. Un agent che inizia a modificare file per cui era autorizzato solo alla lettura. Un agent che inizia a delegare compiti ad altri agent senza autorizzazione dall'orchestrator.
L'analisi ISACA "Agentic AI Evolution and the Security Claw": la community di sicurezza sta sviluppando meccanismi di rilevamento per il comportamento rogue degli agent, ma i requisiti di monitoraggio della baseline non sono ancora standardizzati nella maggior parte delle imprese.
Implicazioni per il SOC: rilevare i rogue agent richiede behavioral baselining — comprendere cosa l'agent dovrebbe fare, monitorare le deviazioni, e attivare alert o interventi quando si verificano deviazioni. Questo è più complesso del monitoraggio del comportamento degli utenti umani perché il comportamento "normale" dell'agent include decision-making autonomo che è intrinsecamente variabile.
Come gli agentic detection agent tracciano il comportamento rogue: un agent secondario — o un sistema di rilevamento dedicato — monitora le azioni dell'agent primario rispetto alla sua behavioral baseline definita. Le deviazioni attivano alert. Il gap di automazione SOC è nella correlazione delle deviazioni comportamentali degli agent con gli incident di sicurezza e nel routing di risposte appropriate.
La Sfida dell'Automazione SOC
L'automazione SOC per l'agentic AI richiede la chiusura di gap che non esistevano nelle operazioni di sicurezza tradizionali:
Monitoraggio della behavioral baseline degli agent: monitoraggio continuo delle azioni degli agent rispetto ai parametri comportamentali definiti. Questo richiede tooling che la maggior parte delle piattaforme SOC attuali non fornisce nativamente.
Monitoraggio della comunicazione agent-to-agent: tracciamento delle catene di delega tra agent per identificare delega non autorizzata o uso improprio delle credenziali.
Verifica dell'identità per le azioni degli agent: legare le azioni degli agent a identità e autorizzazione verificate. Attualmente richiede implementazione personalizzata nella maggior parte degli ambienti.
I gap di automazione SOC chiusi e misurati da piattaforme come Salt Agentic Security Platform rappresentano il mercato che inizia ad affrontare questi requisiti. I gap sono reali e crescono man mano che i deployment di agent scalano.
Il Security Foundation Framework
Cinque raccomandazioni concrete per i leader della sicurezza:
Audit dei deployment di agent esistenti: enumerare ogni AI agent attualmente in produzione, i sistemi a cui accede, le credenziali che detiene e i responsabili umani accountable per il suo comportamento. La maggior parte delle organizzazioni scoprirà ghost agent che non sapeva esistessero.
** Stabilire la rotazione delle credenziali per gli agent**: le credenziali assegnate agli agent devono essere soggette a politiche di rotazione. Le chiavi API e gli account di servizio utilizzati dagli agent devono ruotare secondo schedule definiti con applicazione automatizzata.
Definire le behavioral baseline per ogni agent: per ogni agent in produzione, documentare come appare il comportamento autorizzato. Implementare un monitoraggio che attivi alert quando l'agent opera al di fuori di quella baseline.
Implementare l'autenticazione agent-to-agent: fino a quando non esisteranno standard, implementare meccanismi di autenticazione per la delega degli agent. Un agent che delega a un altro agent dovrebbe verificare identità e autorità prima di eseguire il compito delegato.
Valutare le piattaforme di sicurezza agentic: la Salt Agentic Security Platform e le alternative emergenti affrontano i requisiti specifici di monitoraggio e rilevamento per gli stack AI agentic. Valutale come parte della tua security roadmap.
Cosa Dovrebbero Fare Ora i Team di Sicurezza
Azioni immediate:
Condurre un inventario degli agent: trovare ogni AI agent nel tuo ambiente di produzione, inclusi i programmi pilota che potrebbero non essere stati formalmente trasitionati allo stato operativo. Documentare ciò che ogni agent accede e quali credenziali detiene.
Mappare l'esposizione delle credenziali: per ogni agent, identificare le credenziali che utilizza e valutare se quelle credenziali sono soggette a controlli di rotazione, monitoraggio e revoca.
Definire le behavioral baseline: collaborare con i team che possiedono ogni agent per definire come appare il comportamento autorizzato. Queste baseline sono le fondamenta per il rilevamento dei rogue agent.
Rivedere i playbook SOC per incident agentic: i playbook esistenti di risposta agli incident non contemplano scenari specifici degli agent. Sviluppare playbook per compromissione dell'agent, uso improprio delle credenziali, delega non autorizzata e deviazione comportamentale.
Le organizzazioni che hanno implementato più rapidamente gli AI agent stanno ora scoprendo per prime le implicazioni di sicurezza. Il resto ha l'opportunità di costruire le fondamenta di sicurezza prima che la attack surface cresca ulteriormente.
Prenota una chiamata gratuita di 15 minuti: https://calendly.com/agentcorps
Correlati: Sistemi AI Multi-Agente · Osservabilità degli AI Agent · ROI degli AI Agent