Gli agenti di IA aziendali stanno invadendo il web. Navigano, interrogano API, compilano moduli ed eseguono attività multi-step per conto di utenti e organizzazioni.
Il problema è che la maggior parte dell’infrastruttura web non riesce a distinguerli dai bot malevoli, secondo Forbes.
Questa distinzione conta sempre di più, trimestre dopo trimestre. Le aziende che bloccano tutto il traffico non umano rischiano di interrompere flussi di lavoro legittimi basati sull’IA. Quelle che lasciano passare tutto rischiano scraping dei dati, credential stuffing e frodi.
La portata del problema
Il traffico generato dai bot affligge il web da anni. Le difese tradizionali, come CAPTCHA, limitazione della frequenza delle richieste (rate limiting) e liste di reputazione IP, sono state progettate per uno specifico modello di minaccia. Quel modello presupponeva che gli attori malevoli eseguissero script per automatizzare attività dannose.
Gli agenti di IA infrangono questa ipotesi. Un agente di IA ben progettato si comporta in modo molto simile a un utente umano attento. Naviga le pagine in sequenza, fa pause tra le richieste e risponde in modo dinamico ai prompt. Gli strumenti standard di rilevamento dei bot lo classificano come a basso rischio.
Allo stesso tempo, un attore malevolo può addestrare un modello leggero per imitare il comportamento di un agente legittimo. Il divario tra un agente di IA aziendale affidabile e uno scraper ben camuffato si è ridotto in modo significativo negli ultimi 18 mesi.
Cosa stanno facendo oggi le aziende
Diverse strategie stanno guadagnando terreno tra i team di sicurezza aziendali.
I token di identità dell’agente rappresentano un metodo. Un agente di IA si autentica utilizzando una credenziale firmata crittograficamente prima di accedere a un servizio. Il servizio verifica la credenziale rispetto a un registro noto di agenti approvati. Questo rispecchia il modo in cui OAuth gestisce l’autorizzazione delle applicazioni per gli utenti umani.
Il fingerprinting comportamentale è un ulteriore livello. Anche se un agente presenta credenziali valide, i sistemi di sicurezza tracciano i pattern di sessione, inclusi il timing delle richieste, la profondità di navigazione e le sequenze di chiamate API. Scostamenti dai pattern attesi fanno scattare passaggi di verifica aggiuntivi.
La allowlist basata sulla dichiarazione di intento è più sperimentale. In questo modello, gli agenti dichiarano il proprio intento di task all’inizio della sessione. Il sistema ospitante concede l’accesso solo alle risorse necessarie per quel compito dichiarato. Qualsiasi accesso al di fuori di tale ambito viene segnalato automaticamente.
Nessun approccio singolo è diventato uno standard. La maggior parte delle implementazioni aziendali combina due o tre di questi metodi.
Il legame con il mondo crypto
L’ascesa degli agenti di IA si intreccia direttamente con l’ecosistema crypto e Web3. Agenti autonomi che operano su reti blockchain sono sempre più comuni. Eseguono operazioni di trading, gestiscono wallet, votano nei sistemi di governance e interagiscono con decentralized exchanges.
In questo contesto, la distinzione tra bot e agente ha implicazioni finanziarie. Un agente malevolo che imita un bot di trading legittimo potrebbe svuotare un wallet o manipolare un pool di liquidità prima che un essere umano esamini i log di sessione.
Diversi progetti blockchain stanno sviluppando framework di identità on-chain specifici per gli agenti di IA. L’idea è collegare a ogni agente un identificatore decentralizzato verificabile, creando un registro verificabile di ogni azione che compie tra i vari protocolli. I framework per agenti basati su Solana (SOL) sono stati tra i più attivi in questo ambito, in parte perché il throughput di transazioni di Solana supporta operazioni ad alta frequenza degli agenti a basso costo.
Contesto
Il mercato degli agenti di IA è cresciuto in modo marcato dalla fine del 2024. Le prime implementazioni erano per lo più strumenti con scopo ristretto, che automatizzavano singoli compiti come lo smistamento delle email o la pianificazione del calendario. All’inizio del 2026, agenti autonomi multi-step in grado di navigare il web, scrivere codice ed eseguire transazioni finanziarie sono passati dai demo di ricerca ai prodotti commerciali. Questo cambiamento ha aumentato il volume di traffico web generato dagli agenti di una stima di diverse centinaia di punti percentuali anno su anno, sulla base dei report di infrastruttura dei principali provider cloud. Yellow.com ha seguito l’intersezione tra infrastruttura di IA e mercati crypto nella sua recente copertura (vedi precedente copertura di Yellow), che ha firmato un accordo per costruire data center di IA in Nord America.
Da leggere anche: BTC And ETH Fall Overnight As Japan Data Adds Fresh Pressure To Geopolitical Selloff
Cosa succederà dopo
Iniziano a emergere pressioni regolatorie. L’AI Act dell’UE include disposizioni sulle decisioni automatizzate che potrebbero alla fine richiedere la divulgazione dell’agente al momento dell’accesso al web. Negli Stati Uniti non esiste ancora uno standard federale equivalente, ma diverse proposte a livello statale sono nelle prime fasi legislative.
Gruppi industriali, tra cui il World Wide Web Consortium, stanno esplorando standard tecnici per l’autenticazione degli agenti. I progressi sono lenti. Raggiungere il consenso tra produttori di browser, fornitori di software aziendale e società di sicurezza richiede tempo.
Per ora, le aziende più esposte sono quelle che gestiscono API ad alto valore senza forti livelli di autenticazione. Servizi finanziari, piattaforme sanitarie e exchange crypto rientrano in questa categoria. Ognuna ha motivo di trattare il problema dell’identificazione degli agenti come urgente e non solo teorico.
La finestra per definire standard prima che il traffico generato dagli agenti diventi ingestibile si sta restringendo. I ricercatori di sicurezza che studiano gli ecosistemi di bot stimano che, se l’adozione continuerà al ritmo attuale, il traffico generato dagli agenti potrebbe rappresentare la maggioranza delle richieste web non CDN entro due o tre anni.
Da leggere dopo: America Runs A Bitcoin Node: What The Government's Move Means For The Network