Sette pattern di disallineamento LLM riprodotti in sandbox red team nel 2026
Gartner prevede il 40% di progetti agentic cancellati entro il 2027 per inadequate risk controls. Nel mio laboratorio di red team ho riprodotto sette pattern documentati in letteratura: alignment faking, self-exfiltration, scheming multi-step, deception manipulation, sandbagging, reward hacking, sycophancy. Diagnosi operativa con payload di test, indicatori lato telemetria, contromisure applicabili in produzione su agenti enterprise. Continua a leggere
Ultima modifica:
Un agent LLM che può eseguire codice Python, Bash o SQL in autonomia è una backdoor delegata. Permetterlo in produzione senza sandboxing è irresponsabile. La mia architettura usa container effimeri, seccomp filter che bloccano syscall pericolose, capability dropping, network namespace che taglia l'egress. Ti mostro il design, i trade-off performance vs sicurezza, e i test di escape eseguiti per validare l'isolamento. 
Un RAG aziendale indicizza documenti interni e risponde alle domande. Se un attaccante inietta un documento nel corpus, può manipolare le risposte per tutti gli utenti. Ti racconto la metodologia di red team che applico: exfiltration di chunk sensibili, pivoting tra tenant multi-azienda, poisoning persistenti. Con tre proof-of-concept e il pattern di difesa applicativa. 
Dal punto di vista di un attaccante, il codice LLM-generated è una miniera d'oro. I pattern ricorrenti - concatenazione di input in query, gestione uniforme degli errori che leak info sensibili, assunzioni di sanitizzazione fatte dall'LLM senza dirlo - sono sfruttabili con PoC mirati. Ti racconto 5 classi di attacco osservate su codice reale, con exploit dimostrato e la strategia di difesa applicativa che uso in audit. 
Ho trovato un SSRF in un sistema di webhook di un SaaS Laravel durante un assessment. Il client HTTP di Laravel, senza validazione dell'URL di destinazione, permetteva di raggiungere i metadata AWS e l'intranet del cliente. Vi spiego il percorso di exploitation completo e le tre righe di codice che lo avrebbero impedito. 
In un engagement red team su un'azienda retail con tre VPS e un cluster Docker, siamo passati da un form upload con SSRF a root su tutti i server in 4 ore. Il percorso di attacco era banale ma invisibile dai tool di monitoring standard. Vi descrivo la catena di compromissione e le contromisure.