L’evoluzione dei modelli linguistici (LLM) da semplici generatori di testo ad agenti operativi offre nuove possibilità, ma crea anche nuovi rischi. È quanto emerge da uno studio condotto dal CERT-AgID che analizza i rischi legati all’uso del Model Context Protocol (MCP), uno standard sempre più diffuso per collegare l’intelligenza artificiale a servizi e risorse esterne.
Il passaggio verso l'IA agentica segna un cambio di paradigma: il problema non è solo cosa risponde l’IA, ma quali azioni può compiere. Con l’MCP, infatti, un LLM non si limita a fornire risposte, ma può usare programmi o servizi esterni (tool) che interrogano database, accedono a repository o inviano richieste ad altri sistemi online. In questo passaggio, il confine della sicurezza si sposta lungo la catena “prompt → tool → azione”.
Da strumento di consultazione a proxy di rete
In uno scenario analizzato dal CERT-AgID, un MCP progettato per acquisire documentazione da fonti remote può essere usato in modo improprio per inviare richieste di rete arbitrarie, di fatto comportandosi come un proxy non autorizzato.
Questo comportamento rientra nella classe di vulnerabilità note come SSRF (Server-Side Request Forgery): il server esegue richieste verso indirizzi non previsti, perché “obbedisce” ciecamente ai parametri generati dal modello, senza controllo preventivo.
Il problema non nasce da una capacità offensiva dell’LLM, ma dall’assunto errato che il modello utilizzi i tool solo secondo le intenzioni del progettista. In realtà, i parametri delle chiamate MCP sono generati in modo probabilistico e dinamico, e possono essere influenzati dal contesto o da prompt malevoli.
Nuove implicazioni per la sicurezza
I risultati dello studio hanno implicazioni dirette per chi sta integrando l’IA nei sistemi informativi, in particolare in contesti pubblici e critici. L’adozione dell’MCP richiede un ripensamento delle strategie di difesa, per cui si raccomandano le seguenti strategie:
- Controlli obbligatori prima dell’esecuzione: Tutti i parametri devono essere verificati prima dell'esecuzione. I filtri di sicurezza devono essere bloccanti: va eliminato qualsiasi meccanismo alternativo che possa aggirare i controlli.
- Allowlist restrittive: Per i tool che effettuano chiamate di rete, gli accessi devono essere limitati esclusivamente a domini, protocolli e formati pre-approvati.
- Principio del minimo privilegio: Ogni tool deve eseguire un'operazione specifica e ben definita. Vanno evitate funzioni generiche che potrebbero essere riutilizzate per finalità diverse da quelle previste.
- Controllo e monitoraggio: È necessario implementare autenticazione obbligatoria per usare programmi o servizi esterni, meccanismi di rate limiting e logging delle chiamate per rilevare anomalie in tempo reale.
L’adozione di architetture agentiche basate su MCP introduce una nuova classe di rischio che non è riconducibile alle tradizionali vulnerabilità applicative né alle note problematiche di allucinazioni degli LLM. Il rischio emerge nel punto di integrazione tra modello e infrastruttura.
Il lavoro del CERT-AgID evidenzia la necessità di un ripensamento delle strategie di sicurezza nei sistemi che affidano all’IA capacità operative. In questi scenari, la protezione non può basarsi sull’assunzione di un uso corretto dei tool da parte del modello, ma deve essere garantita da controlli espliciti, rigorosi e verificabili nel server MCP.
