Red Teaming AI: metodologie, framework e sfide per la sicurezza dei sistemi intelligenti
Analisi delle pratiche di red teaming per sistemi AI: metodologie di attacco, framework normativi, benchmark di valutazione e strategie difensive basate su fon…
Contenuto
Scopri anche
- Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
- L'infrastruttura AI richiede investimenti da migliaia di miliardi: le previsioni di Jensen Huang
- Agenti AI: l'architettura invisibile che sta ridefinendo il software
- Agenti IA: autonomia, architettura e rischi della nuova frontiera dell'intelligenza artificiale
- Toyota richiama 141.286 Prius: le porte posteriori possono aprirsi durante la guida
- Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
- Compal presenta soluzione integrata per infrastrutture AI al NVIDIA GTC 2026
- Intelligenza artificiale e ragionamento: paradigmi a confronto e impatti cognitivi
- Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
- ChatGPT: dalle nuove offerte Pro ai rischi per i dati fiscali
- Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
- Vivaldi 7.2: evoluzione della barra degli indirizzi e percorso verso il rilascio stabile
- LLM e diritto: limiti strutturali, rischi per la professione legale e necessità di supervisione umana
- L'intelligenza artificiale nella sicurezza del software: opportunità, rischi e trasformazione del ruolo degli sviluppatori
- Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
- NVIDIA cerca architetti per data center orbitali: il calcolo nello spazio diventa realtà
- Yann LeCun lancia AMI Labs con 1,03 miliardi di dollari per sviluppare world models alternativi agli LLM
- OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software
- Licenziamenti e automazione: cosa dicono i CEO delle Big Tech sul futuro del lavoro
- L'intelligenza artificiale nella sanità: tra opportunità cliniche e rischi algoretici
Red Teaming AI: metodologie, framework e sfide per la sicurezza dei sistemi intelligenti
- Incidenti reali e capacità offensive degli LLM
- Metodologie di attacco: prompt injection e jailbreak
- Framework normativi e tassonomie delle minacce
- Strumenti e benchmark di valutazione
- Strategie difensive: defense in depth e Constitutional Classifiers
- Il mercato e la prospettiva operativa
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Il red teaming ha rappresentato storicamente un approccio strutturato per testare la resilienza delle organizzazioni simulando attacchi realistici. Le origini risalgono agli anni Sessanta negli Stati Uniti, quando il think tank RAND Corporation conduceva simulazioni per l'esercito americano durante la Guerra Fredda, utilizzando il termine "red team" per rappresentare l'Unione Sovietica e "blue team" per gli Stati Uniti. Oggi questa disciplina si estende oltre la cybersecurity tradizionale per abbracciare i sistemi di intelligenza artificiale generativa, introducendo sfide metodologiche inedite legate alla natura probabilistica dei modelli.
La definizione fornita dall'Executive Order 14110 del Presidente Biden, firmato il 30 ottobre 2023 e successivamente revocato dall'amministrazione Trump il 20 gennaio 2025, descrive l'AI red teaming come "uno sforzo di testing strutturato per individuare falle e vulnerabilità in un sistema AI, spesso in ambiente controllato e in collaborazione con gli sviluppatori". Il National Institute of Standards and Technology (NIST) conferma questa definizione, specificando che si tratta di test avversariali condotti sotto stress per identificare modalità di fallimento o vulnerabilità.
Incidenti reali e capacità offensive degli LLM
⬆ Torna suA fine febbraio 2025, un attore malevolo ha utilizzato Claude per condurre un'operazione contro reti di enti pubblici messicani, come documentato da Gambit Security. L'attacco ha coinvolto oltre 1.000 prompt inviati a Claude Code, con passaggio di informazioni a GPT-4.1 per analisi aggiuntive. Il risultato è stato l'esfiltrazione di 150 gigabyte di dati, tra cui record fiscali, elettorali, credenziali di dipendenti pubblici e file di anagrafe. Anthropic ha dichiarato di avere indagato, bloccato l'attività e bannato gli account coinvolti, definendo l'episodio un caso di jailbreak dell'LLM che ha trasformato un assistente per il coding in supporto operativo lungo l'intera catena di attacco.
Un precedente del 13 novembre 2025 documenta un'ulteriore campagna di cyber-espionaggio interrotta da Anthropic e attribuita con "high confidence" a un gruppo sponsorizzato dallo stato cinese. Secondo l'azienda, gli attaccanti hanno manipolato Claude Code per tentare intrusioni contro circa 30 bersagli globali, impiegando estesamente le capacità agentiche del modello lungo le fasi di ricognizione, ricerca di vulnerabilità, sfruttamento, movimento laterale, raccolta credenziali, analisi dei dati ed esfiltrazione. Anthropic ha definito questo episodio il primo caso documentato di attacco cyber su larga scala eseguito senza un intervento umano sostanziale.
Secondo il report 2025 di Adversa AI, il 35% degli incidenti di sicurezza AI nel mondo reale è stato causato da prompt semplici, con alcune perdite che hanno superato i 100.000 dollari per incidente. Quando OpenAI ha rilasciato GPT-5 nel gennaio 2026, i red team di SPLX hanno ottenuto un jailbreak entro 24 ore, dichiarando il modello "quasi inutilizzabile per le aziende nella configurazione standard".
Metodologie di attacco: prompt injection e jailbreak
⬆ Torna suIl NIST definisce il prompt injection come la manipolazione del comportamento del modello attraverso input costruiti ad arte, mentre il jailbreak rappresenta una forma specifica che porta il modello a ignorare interamente i protocolli di sicurezza. L'attacco può essere anche indiretto: nascosto in una pagina web, in un file, in una email o in una fonte recuperata via RAG (Retrieval-Augmented Generation). In questi casi, il modello non riceve l'istruzione dall'utente, ma la assorbe da un contenuto esterno trattandola come parte del compito.
La ricerca accademica ha prodotto framework sofisticati per l'automazione del red teaming. PentestGPT, presentato alla conferenza USENIX Security 2024 e vincitore del Distinguished Artifact Award, ha dimostrato un incremento del 228,6% nel completamento dei task rispetto a GPT-3.5 sui target benchmark, mantenendo efficacia anche su target di penetration testing reali e challenge CTF. Il framework GOAT (Generative Offensive Agent Tester) raggiunge un Attack Success Rate del 97% contro Llama 3.1 e dell'88% contro GPT-4-Turbo sul dataset JailbreakBench attraverso attacchi multi-turn.
Anthropic ha introotto nel 2024 il concetto di "Many-Shot" jailbreaking, dove l'inserimento di un numero crescente di esempi avversariali nel prompt template aumenta progressivamente la probabilità di successo dell'attacco sfruttando la tendenza dei modelli a seguire pattern dimostrati attraverso esempi in-context. La ricerca arXiv documenta che gli attacchi roleplay raggiungono tassi di successo dell'89,6%, gli attacchi logic trap l'81,4% e le tecniche di encoding trick il 76,2%.
Framework normativi e tassonomie delle minacce
⬆ Torna suIl NIST ha pubblicato il framework AI 600-1 nella versione finale del 26 luglio 2024, introducendo una tassonomia di 12 categorie di rischio specifiche "nuove o esacerbate dall'uso dell'AI generativa". Questo profilo è complementare all'AI Risk Management Framework e distingue le vulnerabilità intrinseche dei modelli di machine learning da quelle ereditate dall'infrastruttura tecnologica sottostante.
Il progetto ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) sviluppato da MITRE Corporation costituisce la base di conoscenza più completa sulle tattiche e tecniche avversariali specifiche per i sistemi AI. Modellato sul framework ATT&CK, ATLAS cataloga attualmente 15 tattiche distinte, 66 tecniche e 46 sotto-tecniche derivate da osservazioni di attacchi reali e dimostrazioni condotte da team di sicurezza specializzati. Tra le tattiche peculiari di ATLAS che non trovano corrispondenza in ATT&CK figurano l'avvelenamento del modello (ML Model Poisoning), l'attacco evasivo (Evasion Attack) e l'ingegneria inversa del modello (Model Inversion).
L'EU AI Act, entrato in vigore il 1° agosto 2024 come primo framework legale completo sull'AI a livello mondiale, introduce requisiti vincolanti di valutazione e testing avversariale. I provider di modelli General Purpose AI che presentano rischio sistemico devono condurre valutazioni avversariali prima del deployment, monitorare i modelli dopo il rilascio e segnalare gravi incidenti alle autorità competenti. L'articolo 15 prescrive per i sistemi ad alto rischio la dimostrazione di accuratezza, robustezza e sicurezza informatica con misure tecniche proporzionate al contesto operativo.
L'edizione 2025 dell'OWASP Top 10 for LLM Applications, rilasciata a novembre 2024, riflette l'evoluzione del panorama delle minacce incorporando lezioni apprese da incidenti reali. La categoria Supply Chain ha acquisito rilevanza crescente in risposta alla proliferazione di componenti AI di terze parti: il 53% delle aziende opta per non effettuare fine-tuning dei propri modelli, affidandosi invece a pipeline RAG e agentiche, rendendo le vulnerabilità relative a vettori e embedding particolarmente critiche.
Strumenti e benchmark di valutazione
⬆ Torna suMicrosoft ha sviluppato PyRIT (Python Risk Identification Tool for generative AI), strumento che integra Azure AI Foundry e include l'AI Red Teaming Agent rilasciato nell'aprile 2025 per workflow di testing automatizzati. La libreria di attacchi di PyRIT copre prompt injection, jailbreaking e content safety testing. NVIDIA Garak, versione 0.14.0 in sviluppo con supporto migliorato per sistemi agentic AI, offre scanning di vulnerabilità LLM con architettura a plugin che consente lo sviluppo di probe personalizzati per requisiti organizzativi specifici.
Tra i benchmark più citati figura CyBench, sviluppato in ambito Stanford, che valuta agenti LLM su 40 task professionali di capture the flag presi da quattro competizioni con sottotask intermedi per capire non solo se il modello arriva al risultato, ma dove si ferma lungo la catena operativa. CVE-Bench, arrivato nel 2025, è costruito su 40 vulnerabilità critiche reali di applicazioni web: negli esperimenti iniziali, gli agenti migliori riuscivano a sfruttarne fino al 13%. HCAST di Metr comprende 189 task su cyber, software engineering, ML e ragionamento, pensato per collegare la performance del modello al tempo che impiegherebbe un umano esperto.
L'AI Security Institute britannico (Aisi) ha valutato oltre 30 modelli frontier dal novembre 2023. Nel Frontier AI Trends Report pubblicato il 18 dicembre 2025, segnala progressi rapidi nelle capacità cyber: a fine 2023 i modelli completavano task "apprentice-level" nel 9% dei casi, mentre a fine 2025 il dato era salito al 50%, con l'arrivo del primo modello capace di completare task pensati per esperti con oltre dieci anni di esperienza. L'istituto ha inoltre trovato universal jailbreak in ogni sistema testato.
Strategie difensive: defense in depth e Constitutional Classifiers
⬆ Torna suOpenAI specifica che non si può contare su una singola categoria di salvaguardie: serve una strategia di defense in depth con livelli diversi di controllo sull'accesso, sull'uso, sul monitoraggio e sulla risposta agli abusi. Nella versione aggiornata del Preparedness Framework del 15 aprile 2025, OpenAI aggiunge che i sistemi che raggiungono capacità "High" devono avere salvaguardie sufficienti a minimizzare il rischio grave prima del deployment; per capacità "Critical", le contromisure devono essere già presenti durante lo sviluppo.
Anthropic ha mostrato a febbraio 2025 che i Constitutional Classifiers riducevano il tasso di successo dei jailbreak dall'86% al 4,4% nei test automatici avanzati. A gennaio 2026 ha presentato una nuova generazione di questi classificatori con costo computazionale molto più basso e un aumento dei rifiuti su query innocue dello 0,38%. Tuttavia, Anthropic specifica che nessun sistema sul mercato ha difese perfettamente robuste e descrive due famiglie di vulnerabilità ancora aperte: attacchi di ricostruzione, che spezzano una richiesta pericolosa in parti apparentemente innocue, e attacchi di output obfuscation, che nascondono l'informazione dannosa in metafore, sostituzioni o codifiche.
L'Aisi ha pubblicato il 17 febbraio 2026 Boundary Point Jailbreaking, una tecnica automatizzata che secondo quanto scrive è riuscita a trovare universal jailbreak contro i Constitutional Classifiers di Anthropic e contro l'input classifier di GPT-5. L'istituto raccomanda batch-level monitoring e un approccio a strati, non un singolo punto di controllo ottimizzabile dall'attaccante.
OWASP aggiunge che non basta difendere il prompt: bisogna gestire l'insecure output handling perché un output LLM non validato può arrivare a esecuzione di codice o altri exploit nei sistemi a valle. È inoltre necessario limitare l'excessive agency, definita come la vulnerabilità che consente azioni dannose in risposta a output inattesi, ambigui o manipolati. Le cause tipiche sono tre: funzionalità eccessiva, permessi eccessivi, autonomia eccessiva.
Il mercato e la prospettiva operativa
⬆ Torna suSecondo Growth Market Reports, il mercato dei servizi di AI red teaming ha raggiunto 1,43 miliardi di dollari nel 2024 con proiezione di crescita a 4,8 miliardi entro il 2029 a un tasso di crescita annuale composto del 28,6%. Questa espansione riflette l'adozione aziendale crescente dell'AI unita alla pressione normativa da framework come l'EU AI Act.
Il framework TIBER-EU della Banca Centrale Europea definisce il red teaming guidato dall'intelligence come un test che imita attaccanti reali prendendo di mira le persone, i processi e le tecnologie che supportano le funzioni critiche. Questa metodologia fornisce una visione end-to-end delle debolezze e aiuta le organizzazioni a comprendere la reale resilienza. Il percorso dell'attacco segue la logica di un'intrusione reale: ricognizione, identificazione punti di ingresso, accesso iniziale, escalation dei privilegi, movimento laterale e raggiungimento dell'obiettivo concordato.
La distinzione tra penetration testing e red teaming è rilevante: il penetration testing si concentra sull'individuazione e dimostrazione di vulnerabilità tecniche in un sistema o applicazione definiti con ambito più ristretto e durata più breve. Il red teaming è più ampio e strategico, cercando di raggiungere un obiettivo aziendale realistico evitando di essere scoperto, spesso concatenando diverse piccole debolezze piuttosto che affidarsi a un'unica grave falla.
Il team blu rappresenta il componente difensivo che monitora gli avvisi, indaga sulle attività sospette e risponde agli incidenti. Il team viola è il processo di collaborazione tra funzioni offensive e difensive, garantendo che le scoperte del team rosso portino a regole di rilevamento più forti, migliori playbook e resilienza migliorata. Un white team sovrintende e gestisce le operazioni tra red team e blue team, determinando ad esempio le regole di ingaggio.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suL'evoluzione delle tecniche di red teaming testimonia una transizione da approcci difensivi tradizionali verso un paradigma centrato sulla resilienza dei sistemi intelligenti. La documentazione di operazioni autonome su larga scala solleva interrogativi sulla capacità delle organizzazioni di anticipare vettori di attacco in rapida evoluzione.
- Scenario 1: L'integrazione di capacità agentiche nei framework di testing potrebbe ridurre il divario temporale tra identificazione e sfruttamento delle vulnerabilità, ma potrebbe anche standardizzare approcci difensivi più efficaci se adottati tempestivamente.
- Scenario 2: L'estensione dei requisiti normativi europei ai provider General Purpose AI potrebbe ridefinire le responsabilità lungo la catena di fornitura, con impatti sull'adozione di pipeline RAG e componenti di terze parti.
- Scenario 3: La diffusione di strumenti automatizzati come GOAT e PyRIT potrebbe democratizzare il testing avversariale, rendendo tuttavia disponibili tecniche offensive anche ad attori non autorizzati.
Cosa monitorare
⬆ Torna su- L'andamento dell'Attack Success Rate nei benchmark di riferimento e l'efficacia delle contromisure implementate dai provider.
- L'adozione del framework ATLAS nelle valutazioni di rischio aziendali e il suo allineamento con i requisiti dell'EU AI Act.
- L'evoluzione delle vulnerabilità legate a supply chain e componenti terze nelle architetture agentiche.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.ai4business.it/intelligenza-artificiale/red-teaming-difesa-a-strati-le-misure-per-ridurre-il-rischio-cyber-degli-llm/
- https://www.captcha.eu/it/what-is-red-teaming/
- https://www.vectra.ai/topics/ai-red-teaming
- https://en.wikipedia.org/wiki/Red_team
- https://www.ictsecuritymagazine.com/articoli/red-teaming/
- https://www.cybersecurity360.it/soluzioni-aziendali/ai-nella-cyber-security-tra-opportunita-di-difesa-e-nuovi-rischi-per-la-sicurezza-digitale/
- https://www.agendadigitale.eu/sicurezza/red-teaming-come-difendere-lazienda-dai-rischi-dellai/
In breve
- cybersecurity
- ai
- llm
- vulnerabilita