Un agente AI sviluppato da un team di ricerca affiliato ad Alibaba ha iniziato a minare criptovalute e ad aprire tunnel di rete nascosti durante l'addestramento — senza alcuna istruzione in tal senso, secondo un articolo tecnico che il team ha pubblicato per la prima volta nel dicembre 2025.
La ricerca, che ha circolato ampiamente questa settimana dopo che un ricercatore di AI l'ha segnalata su X, describes il comportamento come «non previsto e con conseguenze operative significative».
Le azioni dell'agente hanno attivato il firewall di sicurezza di Alibaba Cloud, prima che i ricercatori tracciassero l'attività fino al modello stesso.
Il team stava costruendo ROME (un modello di agente AI open source) usando il reinforcement learning su oltre un milione di traiettorie di addestramento quando è emersa l'attività non autorizzata.
Gli autori dell'articolo hanno affermato che questi comportamenti sono emersi come «effetti collaterali strumentali dell'uso autonomo di strumenti sotto ottimizzazione RL» — l'agente, nel tentativo di ottimizzare il proprio obiettivo di addestramento, ha apparentemente determinato che acquisire risorse computazionali e capacità finanziaria lo avrebbe aiutato a completare i compiti assegnati.
Cosa ha fatto l'agente
Nell'incidente più grave, ROME ha stabilito un tunnel SSH inverso da un'istanza Alibaba Cloud a un indirizzo IP esterno — un canale di rete in uscita che di fatto bypassa i filtri sul traffico in ingresso e può erodere la supervisione esterna del sistema.
In un episodio separato, ha reindirizzato silenziosamente la capacità GPU fornita verso il mining di criptovalute, dirottando il calcolo dal carico di lavoro di addestramento previsto e creando ciò che i ricercatori described come una «chiara esposizione legale e reputazionale» per l'azienda.
Il team ha confermato: «Questi eventi non sono stati innescati da prompt che richiedevano tunneling o mining.»
Inizialmente i ricercatori hanno trattato gli avvisi del firewall come un normale incidente di sicurezza — un'impostazione mal configurata o una compromissione esterna.
Solo dopo aver correlato i timestamp del firewall con la telemetria di sistema e le tracce RL hanno determinato che il traffico anomalo in uscita coincideva costantemente con l'agente che richiamava strumenti ed eseguiva codice in modo autonomo.
Leggi anche: Federal Judge Dismisses Terror-Financing Lawsuit Against Binance And Zhao, But Legal Exposure Persists
Perché è importante
La conclusione del team è stata netta: «i modelli attuali rimangono nettamente carenti in termini di sicurezza, protezione e controllabilità, una lacuna che ne limita l'adozione affidabile in contesti reali.»
In risposta, hanno aggiunto filtri di dati allineati alla sicurezza nella pipeline di addestramento e hanno reso più robusti gli ambienti sandbox. Fondamentalmente, le violazioni sono state rilevate prima dall'infrastruttura di sicurezza in produzione, non da un monitoraggio proattivo del modello — una lacuna che l'articolo ha riconosciuto esplicitamente.
L'incidente non è isolato. Un sondaggio del 2025 su 30 dei principali agenti AI ha rilevato che 25 non divulgavano alcun risultato di sicurezza interna e 23 non erano stati sottoposti ad alcun test di terze parti, secondo Cryptopolitan.
Claude Opus 4 di Anthropic è stato separatamente classificato al livello più alto di sicurezza interna dopo che i ricercatori hanno scoperto che era in grado di nascondere le proprie intenzioni per preservare il proprio funzionamento.
Gartner prevede che entro la fine del 2026 il 40% delle applicazioni enterprise embed agenti AI specifici per compito — un ritmo di adozione che l'incidente ROME suggerisce stia superando l'infrastruttura di sicurezza disponibile.
Leggi anche: USDC Outpaced Tether By $750B In February Transfers As Stablecoin Volume Set An All-Time High