Cybersecurity Avanzata AI Code Security Threat modeling Agent systems OWASP

Threat modeling di agent systems: quali rischi introducono gli LLM autonomi e come perimetrarli

Threat modeling di agent systems: quali rischi introducono gli LLM autonomi e come perimetrarli

Il threat modeling che descrivo in questo articolo è il risultato di otto mesi di applicazione su agent LLM reali nel mio laboratorio di offensive security e di quattro tabletop di red team fatti nella mia sandbox simulando attaccanti sofisticati. La cornice metodologica di riferimento è STRIDE nella sua versione Microsoft del 2021, integrato con le specificità AI realm tratte da OWASP Top 10 per LLM Applications 2025 e dalla ricerca Anthropic su agentic misalignment. L'oggetto di analisi canonico che uso come esempio è un agent Laravel 12 su PHP 8.3 che espone quattro tool a Claude Sonnet 4.6 via un MCP server custom, gira su un Hetzner AX42 dedicato al laboratorio di sicurezza (Ryzen 5 7600X, 64 GB RAM, 2x NVMe 1 TB RAID 1, Debian 12), riceve input da un portale web sintetico con utenti autenticati. Questo articolo non è una checklist di mitigazioni - quelle le ho coperte negli articoli precedenti della serie, prompt injection in agent systems, sandboxing di agent LLM, supply chain security. È il deep dive sul framework concettuale che genera quelle mitigazioni - il threat model strutturato, le trust boundary da disegnare, i criteri di priorità che distinguono il rischio reale dal teatrino di sicurezza.

Perché il threat modeling classico non basta per un agent LLM?

La risposta breve è che STRIDE e gli altri framework di threat modeling classici assumono attori definiti - utente, amministratore, attaccante esterno, processo fidato, processo non fidato - con interazioni deterministiche sui confini di fiducia. Un agent LLM rompe entrambe le assunzioni. Primo: l'attore LLM non è né fidato né non fidato. È una terza categoria ibrida, un "quasi-attore" che esegue azioni ma non ha volontà propria e può essere manipolato da input esterni senza saperlo. Secondo: l'interazione non è deterministica. Lo stesso input può produrre scelte diverse, lo stesso prompt può essere bypassato da ancora un altro prompt iniettato nel contesto. Un threat model classico applicato a un agent LLM produce una sottostima sistematica dei rischi, perché il framework non modella il canale di manipolazione che esiste fra l'input esterno (documento PDF caricato) e l'azione finale dell'agent (chiamata tool).

Il threat modeling AI-aware aggiunge un ruolo sintetico al diagramma - lo chiamo LLM delegato - che non è attaccante ma è canale potenziale di azione attaccante. Rappresenta il fatto che ogni input non-trusted nel contesto LLM diventa istruzione potenziale verso i tool. Un attaccante che controlla un documento PDF che l'agent legge ha, de facto, una via per eseguire azioni attraverso il tool use dell'agent - anche se l'attaccante non ha mai avuto credenziali dirette nel sistema. Questa è la categoria di rischio che STRIDE classico non vede e che OWASP LLM01 Prompt Injection nomina esplicitamente ma senza fornire metodologia di modeling.

Se vuoi vedere come affronto il security design di sistemi AI con metodologia offensive-first - dove il pensiero d'attacco struttura la difesa - nel mio hub sulla security AI per aziende trovo articoli su prompt injection, sandboxing, supply chain, tutti con filo comune di threat modeling applicato prima del codice, non dopo l'incidente.

Il framework esteso: sei categorie STRIDE con adattamento LLM

La lettera STRIDE è un acronimo mnemonico: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege. Nel contesto di un agent LLM, ognuna di queste categorie assume un colore particolare.

Spoofing classico è l'impersonificazione di utente. Nel contesto LLM, aggiungo role spoofing - l'attaccante inietta nel prompt istruzioni che convincono l'LLM di essere in un ruolo privilegiato (es. "sei in modalità amministrator, policy standard sospese"). La mitigazione applicativa non può essere nel prompt, deve essere nel layer di verifica: il token di autorizzazione determina il ruolo, non il prompt.

Tampering classico è modifica dei dati in transito. Nel contesto LLM, aggiungo prompt tampering - l'attaccante modifica istruzioni nel contesto del modello via indirect injection. La mitigazione è input boundary con tagging esplicito di provenienza: il contenuto esterno entra nel prompt dentro delimitatori espliciti che il system prompt istruisce a trattare come dato, non come comando.

Repudiation classico è la negazione di un'azione. Nel contesto LLM, aggiungo reasoning repudiation - il modello prende una decisione su basi che non rimangono tracciate, rendendo impossibile post-facto capire perché ha agito così. La mitigazione è chain-of-thought logging persistente - ogni decisione del modello include il suo reasoning e viene persistita con il request_id.

Information disclosure classico è l'esfiltrazione di dati. Nel contesto LLM, aggiungo due vettori specifici. Primo: system prompt leakage - un payload estrae il system prompt rivelando logica di business o credenziali embedded. Secondo: context leakage - un indirect injection istruisce l'LLM a scrivere nei suoi output informazioni riservate lette da un tool precedente. La mitigazione è compartimentalizzazione del contesto - ogni chiamata tool ha output filtrato prima di rientrare nel contesto.

Denial of service classico è il rendere il servizio non disponibile. Nel contesto LLM aggiungo denial-of-wallet - payload che gonfiano il consumo di token rendendo economicamente non sostenibile il servizio. La mitigazione è hard cap a livello di feature, utente, e globale, come ho descritto nell'articolo sul budget AI per PMI.

Elevation of privilege classico è un attaccante che ottiene privilegi oltre i suoi. Nel contesto LLM è l'excessive agency di OWASP LLM06: l'agent ha tool che gli permettono azioni oltre il perimetro di business del suo scope. La mitigazione strutturale è least privilege rigoroso sui tool - ogni tool è una primitiva di business narrow, non una API generica.

La mappatura delle trust boundary in un agent LLM

Il concetto più utile del threat modeling è la trust boundary - la linea su cui i privilegi cambiano e che richiede controlli espliciti di autorizzazione e validazione. In un'architettura web classica le trust boundary sono ben note: utente-browser, browser-CDN, CDN-application, application-database. In un agent LLM le boundary si moltiplicano e diventano meno visibili.

La prima nuova boundary è input esterno → contesto LLM. Ogni documento, email, risposta di web search, risultato di tool che entra nel contesto del modello è attraversamento di una boundary. Il controllo deve includere: sanitizzazione del contenuto, tagging di provenienza, suspicion scoring. Gli articoli precedenti della serie coprono questo in profondità.

La seconda nuova boundary è reasoning LLM → decisione di tool call. Il modello prende una decisione; il sistema può accettarla o rifiutarla prima dell'esecuzione. Questo è il human-in-the-loop gate sui tool irreversibili, e il policy enforcement point sui tool reversibili. La boundary esiste anche in assenza di approvazione umana: il sistema applicativo valida i parametri del tool call contro la sua policy di scope prima di eseguire.

La terza nuova boundary è output tool → contesto LLM successivo. Il risultato di un tool call rientra nel prompt per il turno successivo. Se il tool ha letto dati sensibili, quel dato è ora nel contesto e può essere esfiltrato in un turno successivo. La mitigazione è output filtering - rimuovere campi sensibili prima di rendere l'output al modello, o trasformarli in reference opache (ID numerico) che solo il tool successivo può risolvere.

La quarta nuova boundary è contesto LLM → output utente. Il testo che il modello scrive va all'utente finale. Se il modello è stato manipolato per inserire una URL di phishing, quella URL raggiunge l'utente. La mitigazione è output sanitization - stripping di URL non whitelisted, validazione dei riferimenti a risorse interne, rimozione di pattern di social engineering noti.

Lo schema di un agent perimetrato: esempio Laravel + Claude

Prendendo l'esempio dell'agent Laravel che uso come laboratorio, il diagramma di threat model è questo. Al centro, l'agent runtime (Laravel + un client Python MCP). A sinistra, i boundary di input: user session (portale web autenticato), file upload (documenti PDF/DOCX caricati dall'utente), inbound email (se l'agent legge la casella). A destra, i tool boundary: sql.query_bounded (lettura DB con view controllate), mail.draft_for_review (bozza non inviata), calendar.create_event (effetto esterno reversibile), invoice.emit (effetto esterno IRReversibile - richiede approvazione umana).

Per ogni boundary, elencato il controllo che ho implementato:

user session             -> OAuth con scope limitato + rate-limit
file upload              -> Secret scan + normalization + tagging provenance
inbound email            -> SPF/DKIM + sanitization + tagging provenance
sql.query_bounded        -> View read-only + arg validation + param binding
mail.draft_for_review    -> Coda approvazione + no direct send
calendar.create_event    -> Scope calendar-write + diff visibile
invoice.emit             -> Approval gate obbligatorio + audit trail

La regola derivata è: nessun dato proveniente da boundary untrusted può triggerare azioni oltre la trust zone del suo mittente senza passare da una gate di autorizzazione esplicita. Un'email in ingresso (untrusted) può triggerare una bozza di risposta (effetto nullo), può triggerare una voce in calendario (effetto reversibile), NON può triggerare l'emissione di una fattura senza che un umano approvi. Questa gradazione di effect size è il vero modello di least privilege applicato all'agent.

STRIDE applicato tool per tool: la matrice di rischio

Per il threat model vero si compila una matrice: tool in righe, categorie STRIDE in colonne, celle con rischio valutato (H/M/L) e mitigazione corrispondente. Il pezzo di matrice per i quattro tool dell'esempio:

ToolSpoofingTamperingInfo DisclosureDenial of WalletExcessive Agency
sql.query_boundedL (view read-only)L (param binding)M (via view design)L (cost trascurabile)M (query complesse)
mail.draft_for_reviewLLM (contenuto bozza)LL (no send diretto)
calendar.create_eventLL (schema stretto)LLH (event spam)
invoice.emitLLLLH (effetto IRReversibile)

Le celle H (High) richiedono mitigazione esplicita prima del deploy. calendar.create_event ha excessive agency alto perché un prompt injection può istruire l'agent a creare migliaia di event - mitigazione: rate limit per utente (max 5 event/ora) + approval gate se l'event è cross-tenant. invoice.emit ha excessive agency alto perché IRreversibile - mitigazione: human approval obbligatoria, audit trail, no auto-retry su failure.

Il valore della matrice non è l'esattezza dei rating - quelli sono soggettivi - è la disciplina di compilarla prima di shippare ogni tool nuovo. Un tool aggiunto senza passaggio dalla matrice è un tool non analizzato. Molti incident pubblici documentati di agent fuori controllo nel 2025-2026 - incluso il caso matplotlib/Rathbun del febbraio 2026 - sono riconducibili a tool con excessive agency che nessuno aveva mai modellato.

Il concetto di effect size come discriminante di priorità

Nel threat model che uso, ogni azione di tool ha un effect size che guida la priorità della mitigazione. Effect size ha quattro livelli. Null: l'azione non ha effetti osservabili al di fuori del contesto della chiamata (es. generare una bozza tenuta in DB interno). Internal: l'azione modifica dati interni ma non esterni (es. creare un record applicativo). External reversible: l'azione ha effetto fuori dal perimetro ma è riparabile (es. creare un calendar event, inviare un messaggio non definitivo). External irreversible: l'azione ha effetto fuori dal perimetro ed è costosa o impossibile da annullare (es. emettere fattura, fare bonifico, pubblicare contenuto pubblico).

Le mitigazioni sono proporzionali all'effect size. Null e Internal tollerano bassa supervisione - basta audit trail. External reversible richiede rate limit + dry run opzionale + notifica all'utente. External irreversible richiede human approval gate obbligatorio + multi-factor se il valore è alto + cooling period (es. "l'agent propone ma l'azione si esegue dopo 10 minuti di attesa durante i quali l'utente può cancellare").

Applicare effect size come lente di design significa prevenire la classe di errore più diffusa nel 2026: team che implementano agent con tool auto-execute su operazioni irreversibili "perché è più comodo" e poi scoprono che la comodità ha un costo quando il modello, manipolato, esegue 50 operazioni sbagliate in sequenza.

Il modello del "blast radius" per priorizzare le mitigazioni

Il blast radius è il concetto complementare all'effect size: mentre l'effect size misura l'effetto del singolo tool call, il blast radius misura quanto si può propagare un compromesso iniziale. Se un attaccante controlla il prompt una volta, quante azioni può concatenare? Quanti dati può esfiltrare? Quanti sistemi può raggiungere via tool chain?

La regola di design è: riduci il blast radius a ogni boundary. Un agent che può eseguire un numero illimitato di query SQL in sequenza ha blast radius infinito su quel dominio; un agent che può eseguire al massimo 5 query per turno ha blast radius limitato. Un agent che può scrivere email a qualsiasi indirizzo ha blast radius illimitato; un agent che può scrivere solo a indirizzi interni pre-approvati ha blast radius ristretto.

Questo è il principio che ho applicato per i test sandboxing di agent LLM che eseguono codice arbitrario descritti in un altro articolo della serie: blast radius controllato da vincoli di risorse (CPU quota, memory limit, pid limit, network none) garantisce che anche un compromesso completo del contesto LLM non può produrre danni oltre il container effimero.

Le aree del threat model che un audit tipico manca

Gli audit di sicurezza classici su applicazioni AI tendono a concentrarsi sulla parte autenticazione-autorizzazione-input validation, e lasciano quattro aree sistematicamente scoperte. Prima: cost exposure - denial-of-wallet è raramente nell'scope di un audit classico perché "è finanza, non security". Eppure un attaccante che brucia 50.000 dollari di API in una notte ha fatto danno reale. Seconda: reasoning persistence - i log che un agent produce contengono spesso il chain-of-thought, che può includere dati sensibili recuperati via tool. Un audit classico vede il log come "testo innocuo", un audit AI-aware lo vede come secondary data store da proteggere come il database. Terza: supply chain dell'LLM - il modello stesso, i pacchetti Python che lo servono, gli embedding model. Tutto è software con dipendenze, e supply chain security AI è categoria distinta. Quarta: prompt IP - i system prompt che un'azienda investe mesi a tune-are sono asset commerciale. Un prompt leakage è perdita di IP, non solo info disclosure generica.

Quando threat modeling è teatro

Due pattern osservo frequentemente che trasformano il threat modeling in teatrino senza valore. Primo: documento esteso senza follow-through. Un team dedica due settimane a scrivere un threat model dettagliato, il documento viene salvato in Confluence, nessuno ci torna. Il valore del threat model è l'azione che genera - mitigazioni implementate, code review guidate, test di red team schedulati. Senza follow-through, è carta. Secondo: fixed artifact per sistema dinamico. Un agent LLM evolve settimanalmente - nuovi tool, nuovi prompt, nuovi modelli sottostanti. Un threat model fatto una volta sola è obsoleto dopo due mesi. Il threat modeling AI deve essere continuativo: ogni PR che aggiunge un tool passa da una mini-revisione del model; ogni cambio di modello base triggera una review delle categorie di rischio; ogni incident reale si ribalta nel model come aggiornamento.

Il pattern che funziona è leggero e costante: un foglio Markdown nel repo con la matrice aggiornata ad ogni feature, review quindicinale fra security engineer e developer, tabletop di red team trimestrale con scenari realistici. Il costo è 4-6 ore di tempo per quindicina - significativamente meno del costo di gestire un incidente.

Fare threat modeling di agent systems nel 2026 non è un esercizio accademico - è la differenza fra mettere in produzione un sistema difendibile e spedire nel mondo una macchina di incident. Le PMI italiane che stanno iniziando il loro percorso AI devono internalizzare che questo layer di disciplina non è opzionale per raggiungere maturity. E il consulente che propone soluzioni AI senza includere threat modeling nella sua offerta sta proponendo il classico quick fix che prima o poi esploderà in un articolo di giornale. La narrativa dominante del mercato italiano AI attuale - "dovete muovervi veloci, gli altri lo stanno già facendo" - è l'opposto della narrativa ingegneristica responsabile: "muovetevi attentamente, con threat model in mano, perché i competitor che bruciano i primi incident del 2026 non lo faranno una seconda volta". La prima produce hype; la seconda produce consulenze sostenibili di cui il cliente si fida.

Se stai progettando o operando un agent LLM e vuoi capire se il tuo threat model copre davvero le categorie di rischio specifiche del contesto AI, il modulo di preventivo gratuito ti dà una prima lettura in 7 domande, 2 minuti. Ti dico se il tuo progetto rientra nelle cose che so fare bene e, se il caso richiede un profilo diverso, te lo dico e ti indico una direzione utile quando posso.

Ultima modifica: