L’intelligenza artificiale promette di rivoluzionare la gestione delle infrastrutture IT, automatizzando il monitoraggio e la risoluzione dei problemi. Tuttavia, una nuova ricerca accende i riflettori su una vulnerabilità critica: la possibilità di “avvelenare” i dati su cui si basano questi sistemi, trasformando un potente alleato in una potenziale minaccia.
Come funziona l’attacco di “telemetry poisoning”
Immagina un sistema AIOps (AI for IT Operations) come un medico super intelligente che analizza costantemente i dati vitali (la telemetria) di un’infrastruttura informatica: log, metriche di performance, avvisi. Il suo scopo è diagnosticare problemi e applicare cure, spesso in automatico. Ma cosa succede se qualcuno manomette deliberatamente i dati che il medico legge?
Questo è il cuore dell’attacco di “telemetry poisoning” (avvelenamento della telemetria), come dimostrato da un team di ricercatori della George Mason University e di RSAC Labs nel loro studio intitolato “When AIOps Becomes ‘AI Oops’: Subverting LLM-based IT Operations via Telemetry Manipulation”. In pratica, degli aggressori possono inserire informazioni false e dannose all’interno dei log di sistema.
- Studio sostiene che agenti di intelligenza artificiale incontrano un «muro matematico»
- Ridare colore ai ricordi di famiglia con l’AI
- Smartphone più cari nel 2026: l’effetto sui modelli economici
Seguendo il principio “garbage in, garbage out” (spazzatura entra, spazzatura esce), l’attaccante crea log che sembrano segnalare un errore, ma che contengono anche la “soluzione” suggerita. Ad esempio, un messaggio di errore potrebbe affermare falsamente che per risolvere un problema è necessario installare una versione precedente e vulnerabile di un software. L’IA, progettata per essere d’aiuto, ingerisce questa informazione avvelenata e, senza distinguerla da un dato legittimo, la esegue. Come spiega Dario Pasquini, ricercatore a capo dello studio, “l’attacco non richiede molto tempo per essere messo in atto” e sfrutta il modo in cui il modello interpreta i log per essere ingannato.
L’efficacia e le conseguenze di questi attacchi
Quanto è concreto questo rischio? I test condotti dai ricercatori sono allarmanti. Su due applicazioni di test, l’attacco ha avuto una percentuale di successo dell’89,2%. Questo significa che in quasi 9 tentativi su 10, l’agente AIOps è stato ingannato e ha eseguito l’azione dannosa suggerita dall’attaccante.
I ricercatori hanno anche messo alla prova modelli di linguaggio avanzati come GPT-4o e GPT-4.1 di OpenAI, riscontrando tassi di successo rispettivamente del 97% e dell’82%. Curiosamente, il modello più recente (GPT-4.1) si è dimostrato leggermente più capace di individuare le anomalie, ma la minaccia resta incredibilmente alta. In uno degli esempi riportati, l’IA è stata indotta a installare un pacchetto software malevolo semplicemente perché la “soluzione” era stata abilmente nascosta all’interno di un log di errore.
Le conseguenze possono essere devastanti: dal downgrade di sistemi di sicurezza all’installazione di software compromesso, fino all’apertura di vere e proprie backdoor nell’infrastruttura aziendale. Sebbene i ricercatori abbiano proposto una prima linea di difesa chiamata “AIOpsShield” per “pulire” i dati, ammettono che non sia sufficiente contro attacchi più sofisticati.
Conclusione L’adozione di sistemi AIOps basati su IA offre vantaggi innegabili, ma è fondamentale essere consapevoli dei nuovi vettori di attacco che introduce. La sicurezza informatica deve evolvere di pari passo con l’intelligenza artificiale, imparando a proteggere non solo i sistemi, ma anche i dati che li alimentano.
Per chi volesse approfondire, consigliamo di consultare direttamente la ricerca e le risorse dei principali enti di cybersecurity.
- Leggi lo studio completo: arXiv.org (in inglese)
- Approfondimenti sulla sicurezza IA: ENISA – European Union Agency for Cybersecurity
