Come gli attacchi runtime trasformano l'intelligenza artificiale redditizia in buchi neri di bilancio

Questo articolo fa parte del numero speciale di VentureBeat, "Il vero costo dell'intelligenza artificiale: prestazioni, efficienza e ROI su larga scala". Scopri di più su questo numero speciale.

Le promesse dell'IA sono innegabili, ma lo sono anche i suoi costi di sicurezza a livello di inferenza. I nuovi attacchi che prendono di mira il lato operativo dell'IA stanno silenziosamente gonfiando i budget, mettendo a repentaglio la conformità normativa ed erodendo la fiducia dei clienti, tutti fattori che minacciano il ritorno sull'investimento (ROI) e il costo totale di proprietà delle implementazioni di IA aziendali.

L'intelligenza artificiale ha affascinato le aziende con il suo potenziale di fornire insight rivoluzionari e di incrementare l'efficienza. Tuttavia, mentre le organizzazioni si affrettano a rendere operativi i propri modelli, sta emergendo una realtà preoccupante: la fase di inferenza, in cui l'intelligenza artificiale traduce gli investimenti in valore aziendale in tempo reale, è sotto assedio. Questa fase critica sta facendo aumentare il costo totale di proprietà (TCO) in modi che i business case iniziali non erano riusciti a prevedere.

I dirigenti della sicurezza e i CFO che hanno dato il via libera ai progetti di IA per il loro potenziale trasformativo ora si trovano ad affrontare le spese nascoste per la difesa di questi sistemi. Gli avversari hanno scoperto che l'inferenza è il luogo in cui l'IA "prende vita" per un'azienda, ed è proprio lì che possono infliggere i danni maggiori. Il risultato è una cascata di inflazione dei costi: il contenimento delle violazioni può superare i 5 milioni di dollari per incidente nei settori regolamentati, gli adeguamenti di conformità ammontano a centinaia di migliaia di dollari e le carenze di fiducia possono innescare perdite azionarie o cancellazioni di contratti che decimano il ROI previsto per l'IA. Senza il contenimento dei costi in fase di inferenza, l'IA diventa un jolly di bilancio ingovernabile.

L'inferenza dell'intelligenza artificiale sta rapidamente diventando il "prossimo rischio interno", ha detto al pubblico di RSAC 2025 Cristian Rodriguez, CTO per le Americhe presso CrowdStrike .

Altri leader tecnologici condividono questa prospettiva e individuano un punto cieco comune nella strategia aziendale. Vineet Arora, CTO di WinWire , osserva che molte organizzazioni "si concentrano intensamente sulla protezione dell'infrastruttura attorno all'intelligenza artificiale, trascurando inavvertitamente l'inferenza". Questa svista, spiega, "porta a sottostimare i costi dei sistemi di monitoraggio continuo, dell'analisi delle minacce in tempo reale e dei meccanismi di patching rapido".

Un altro punto cieco critico, secondo Steffen Schreier, SVP di prodotto e portfolio presso Telesign , è "il presupposto che i modelli di terze parti siano accuratamente controllati e intrinsecamente sicuri da implementare".

Ha avvertito che, in realtà, "questi modelli spesso non sono stati valutati rispetto al panorama delle minacce o alle esigenze di conformità specifiche di un'organizzazione", il che può portare a risultati dannosi o non conformi che erodono la fiducia nel brand. Schreier ha dichiarato a VentureBeat che "le vulnerabilità in fase di inferenza, come l'iniezione di prompt, la manipolazione dell'output o la perdita di contesto, possono essere sfruttate dagli aggressori per produrre risultati dannosi, distorti o non conformi. Ciò comporta gravi rischi, soprattutto nei settori regolamentati, e può rapidamente erodere la fiducia nel brand".

Quando l'inferenza viene compromessa, le ricadute colpiscono più fronti del TCO. I budget per la sicurezza informatica aumentano vertiginosamente, la conformità normativa è compromessa e la fiducia dei clienti si erode. Il sentiment dei dirigenti riflette questa crescente preoccupazione. Nel sondaggio "State of AI in Cybersecurity" di CrowdStrike, solo il 39% degli intervistati ha ritenuto che i vantaggi dell'IA generativa superassero nettamente i rischi, mentre il 40% li ha giudicati comparabili. Questa ambivalenza sottolinea un risultato fondamentale: i controlli di sicurezza e privacy sono diventati requisiti fondamentali per le iniziative di IA di nuova generazione, con un sorprendente 90% delle organizzazioni che ora implementa o sviluppa policy per regolamentare l'adozione dell'IA. Le principali preoccupazioni non sono più astratte; il 26% cita l'esposizione di dati sensibili e il 25% teme gli attacchi avversari come rischi chiave.

I responsabili della sicurezza mostrano opinioni contrastanti sulla sicurezza complessiva dell'intelligenza artificiale di generazione, con preoccupazioni principali incentrate sull'esposizione di dati sensibili agli LLM (26%) e sugli attacchi avversari agli strumenti di intelligenza artificiale (25%).

La superficie di attacco unica esposta dall'esecuzione di modelli di intelligenza artificiale viene esplorata aggressivamente dagli avversari. Per difendersi, consiglia Schreier, "è fondamentale trattare ogni input come un potenziale attacco ostile". Framework come l' OWASP Top 10 for Large Language Model (LLM) Applications catalogano queste minacce, che non sono più vettori di attacco teorici, ma attivi che colpiscono l'azienda:

1. Iniezione rapida (LLM01) e gestione non sicura dell'output (LLM02): gli aggressori manipolano i modelli tramite input o output. Gli input dannosi possono indurre il modello a ignorare le istruzioni o a divulgare codice proprietario. La gestione non sicura dell'output si verifica quando un'applicazione si fida ciecamente delle risposte dell'IA, consentendo agli aggressori di iniettare script dannosi nei sistemi a valle.
2. Avvelenamento dei dati di training (LLM03) e avvelenamento dei modelli: gli aggressori corrompono i dati di training introducendo campioni contaminati e inserendo trigger nascosti. Successivamente, un input innocuo può generare output dannosi.
3. Negazione del servizio del modello (LLM04): gli avversari possono sovraccaricare i modelli di intelligenza artificiale con input complessi, consumando risorse eccessive per rallentarli o bloccarli, con conseguente perdita di entrate dirette.
4. Vulnerabilità della supply chain e dei plugin (LLM05 e LLM07): l'ecosistema dell'intelligenza artificiale si basa su componenti condivisi. Ad esempio, una vulnerabilità nello strumento Flowise LLM ha esposto dashboard di intelligenza artificiale private e dati sensibili, inclusi token GitHub e chiavi API OpenAI, su 438 server.
5. Divulgazione di informazioni sensibili (LLM06): le query intelligenti possono estrarre informazioni riservate da un modello di intelligenza artificiale se facevano parte dei suoi dati di addestramento o sono presenti nel contesto attuale.
6. Eccessiva agenzia (LLM08) ed eccessiva dipendenza (LLM09): concedere a un agente di intelligenza artificiale permessi incontrollati per eseguire operazioni o modificare database è una ricetta per il disastro se manipolata.
7. Furto di modelli (LLM10): i modelli proprietari di un'organizzazione possono essere rubati tramite sofisticate tecniche di estrazione, un attacco diretto al suo vantaggio competitivo.

Alla base di queste minacce ci sono falle di sicurezza fondamentali. Gli aggressori spesso accedono con credenziali trapelate. All'inizio del 2024, il 35% delle intrusioni nel cloud ha coinvolto credenziali utente valide e i nuovi tentativi di attacco cloud non attribuiti sono aumentati del 26%, secondo il CrowdStrike 2025 Global Threat Report . Una campagna deepfake ha portato a un trasferimento fraudolento di 25,6 milioni di dollari , mentre le email di phishing generate dall'intelligenza artificiale hanno dimostrato un tasso di clic del 54%, oltre quattro volte superiore a quelle scritte da esseri umani.

Il framework OWASP illustra come vari vettori di attacco LLM prendano di mira diversi componenti di un'applicazione di intelligenza artificiale, dall'iniezione immediata nell'interfaccia utente all'avvelenamento dei dati nei modelli di addestramento, fino alla divulgazione di informazioni sensibili dall'archivio dati.

Proteggere l'intelligenza artificiale richiede un ritorno disciplinato ai principi fondamentali della sicurezza , applicati però in una prospettiva moderna. "Credo che dobbiamo fare un passo indietro e garantire che le fondamenta e i principi fondamentali della sicurezza siano ancora applicabili", ha sostenuto Rodriguez. "Lo stesso approccio che si adotterebbe per proteggere un sistema operativo è lo stesso approccio che si adotterebbe per proteggere quel modello di intelligenza artificiale."

Ciò significa applicare una protezione unificata su ogni percorso di attacco, con una rigorosa governance dei dati, una solida gestione della postura di sicurezza del cloud (CSPM) e una sicurezza incentrata sull'identità attraverso la gestione dei diritti dell'infrastruttura cloud (CIEM) per proteggere gli ambienti cloud in cui risiede la maggior parte dei carichi di lavoro di intelligenza artificiale. Poiché l'identità sta diventando il nuovo perimetro, i sistemi di intelligenza artificiale devono essere governati con gli stessi rigorosi controlli di accesso e protezioni runtime di qualsiasi altra risorsa cloud critica per l'azienda.

L'intelligenza artificiale ombra , ovvero l'uso non autorizzato di strumenti di intelligenza artificiale da parte dei dipendenti, crea un'enorme superficie di attacco sconosciuta. Un analista finanziario che utilizza un LLM online gratuito per documenti riservati può inavvertitamente divulgare dati proprietari. Come ha avvertito Rodriguez, le query su modelli pubblici possono "diventare le risposte di qualcun altro". Affrontare questo problema richiede una combinazione di policy chiare, formazione dei dipendenti e controlli tecnici come la gestione della postura di sicurezza dell'intelligenza artificiale (AI-SPM) per individuare e valutare tutte le risorse di intelligenza artificiale, autorizzate o meno.

Sebbene gli avversari abbiano trasformato l'IA in un'arma, la situazione sta iniziando a cambiare. Come osserva Mike Riemer, Field CISO di Ivanti , i difensori stanno iniziando a "sfruttare appieno il potenziale dell'IA per scopi di sicurezza informatica, analizzando enormi quantità di dati raccolti da sistemi diversi". Questo atteggiamento proattivo è essenziale per costruire una difesa solida, che richiede diverse strategie chiave:

Budget per la sicurezza dell'inferenza fin dal giorno zero: il primo passo, secondo Arora, è iniziare con "una valutazione completa basata sul rischio". Consiglia di mappare l'intero processo di inferenza per identificare ogni flusso di dati e vulnerabilità. "Collegando questi rischi ai possibili impatti finanziari", spiega, "possiamo quantificare meglio il costo di una violazione della sicurezza" e definire un budget realistico.

Per strutturare il tutto in modo più sistematico, CISO e CFO dovrebbero iniziare con un modello di ROI corretto per il rischio. Un approccio:

ROI della sicurezza = (costo stimato della violazione × probabilità di rischio annuale) – investimento totale in sicurezza

Ad esempio, se un attacco di inferenza LLM potrebbe comportare una perdita di 5 milioni di dollari e la probabilità è del 10%, la perdita prevista è di 500.000 dollari. Un investimento di 350.000 dollari in difese in fase di inferenza produrrebbe un guadagno netto di 150.000 dollari in rischio evitato. Questo modello consente un budgeting basato su scenari direttamente collegato ai risultati finanziari.

Le aziende che destinano meno dell'8-12% del budget dei loro progetti di IA alla sicurezza in fase di inferenza vengono spesso colte di sorpresa dai costi di ripristino e conformità in caso di violazioni . Un CIO di un'azienda sanitaria Fortune 500, intervistato da VentureBeat e che ha richiesto l'anonimato, ora assegna il 15% del budget totale per l'IA di generazione alla gestione del rischio post-addestramento, inclusi il monitoraggio runtime, le piattaforme AI-SPM e gli audit di conformità. Un modello di budget pratico dovrebbe allocare i costi su quattro centri di costo: monitoraggio runtime (35%), simulazione avversaria (25%), strumenti di conformità (20%) e analisi del comportamento degli utenti (20%).

Ecco un esempio di snapshot dell'allocazione per un'implementazione di intelligenza artificiale aziendale da 2 milioni di dollari, basato sulle interviste in corso di VentureBeat con CFO, CIO e CISO che stanziano attivamente un budget per supportare progetti di intelligenza artificiale:

Questi investimenti riducono i costi di ripristino delle violazioni a valle, le sanzioni normative e le violazioni degli SLA, contribuendo a stabilizzare il TCO dell'IA.

Implementare il monitoraggio e la convalida runtime: iniziare ottimizzando il rilevamento delle anomalie per individuare comportamenti a livello di inferenza, come modelli di chiamata API anomali, variazioni di entropia in output o picchi di frequenza delle query. Fornitori come DataDome e Telesign offrono ora analisi comportamentali in tempo reale su misura per le firme di utilizzo improprio dell'IA di generazione.

I team dovrebbero monitorare le variazioni di entropia negli output, tracciare le irregolarità dei token nelle risposte del modello e osservare la frequenza atipica nelle query provenienti da account privilegiati. Configurazioni efficaci includono lo streaming dei log in strumenti SIEM (come Splunk o Datadog) con parser di IA generativa personalizzati e la definizione di soglie di avviso in tempo reale per le deviazioni dalle linee di base del modello.

Adottare un framework zero-trust per l'IA: il modello zero-trust è imprescindibile per gli ambienti di IA. Opera secondo il principio "mai fidarsi, verificare sempre". Adottando questa architettura, osserva Riemer, le organizzazioni possono garantire che "solo utenti e dispositivi autenticati possano accedere a dati e applicazioni sensibili, indipendentemente dalla loro posizione fisica".

La fiducia zero in fase di inferenza dovrebbe essere applicata a più livelli:

• Identità : autenticare sia gli attori umani che quelli di servizio che accedono agli endpoint di inferenza.
• Autorizzazioni : definire l'accesso LLM utilizzando il controllo degli accessi basato sui ruoli (RBAC) con privilegi a tempo determinato.
• Segmentazione : isola i microservizi di inferenza con policy di service mesh e applica impostazioni predefinite con privilegi minimi tramite piattaforme di protezione dei carichi di lavoro nel cloud (CWPP).

Una strategia di sicurezza proattiva dell'intelligenza artificiale richiede un approccio olistico, che comprenda visibilità e sicurezza della supply chain durante lo sviluppo, la protezione dell'infrastruttura e dei dati e l'implementazione di solide misure di sicurezza per proteggere i sistemi di intelligenza artificiale durante l'esecuzione e la produzione.

Proteggere il ROI dell'intelligenza artificiale aziendale richiede una modellazione attiva del vantaggio finanziario della sicurezza. Iniziare con una proiezione del ROI di base, quindi aggiungere scenari di riduzione dei costi per ogni controllo di sicurezza. Mappare gli investimenti in sicurezza informatica in base ai costi evitati, inclusi la risoluzione degli incidenti, le violazioni degli SLA e il tasso di abbandono dei clienti, trasforma la riduzione del rischio in un guadagno misurabile in termini di ROI.

Le aziende dovrebbero modellare tre scenari di ROI che includano la baseline, gli investimenti in sicurezza e il ripristino post-violazione per dimostrare chiaramente l'eliminazione dei costi. Ad esempio, un'azienda di telecomunicazioni che ha implementato la convalida dell'output ha impedito oltre 12.000 query instradate erroneamente al mese, risparmiando 6,3 milioni di dollari all'anno in sanzioni SLA e volume di chiamate al call center. Collega gli investimenti ai costi evitati tra la riparazione delle violazioni, la non conformità SLA, l'impatto sul brand e il tasso di abbandono dei clienti per costruire un'argomentazione difendibile sul ROI per i CFO.

I CFO devono comunicare con chiarezza come la spesa per la sicurezza protegga i profitti. Per salvaguardare il ROI dell'IA a livello di inferenza, gli investimenti in sicurezza devono essere modellati come qualsiasi altra allocazione strategica del capitale: con collegamenti diretti al TCO, alla mitigazione del rischio e alla salvaguardia dei ricavi.

Utilizza questa checklist per far sì che gli investimenti in sicurezza dell'intelligenza artificiale siano difendibili in sala riunioni e attuabili nel ciclo di bilancio.

1. Collega ogni spesa per la sicurezza dell'intelligenza artificiale a una categoria di riduzione del TCO prevista (conformità, correzione delle violazioni, stabilità dell'SLA).
2. Eseguire simulazioni di riduzione dei costi con scenari con orizzonte temporale di 3 anni: di base, protetti e reattivi alle violazioni.
3. Quantificare il rischio finanziario derivante da violazioni degli SLA, sanzioni normative, erosione della fiducia nel marchio e abbandono dei clienti.
4. Co-modellare i budget per la sicurezza a livello di inferenza sia con i CISO che con i CFO per eliminare i compartimenti stagni organizzativi.
5. Presentare gli investimenti in sicurezza come facilitatori della crescita, non come costi generali, mostrando come stabilizzano l'infrastruttura di intelligenza artificiale per un'acquisizione di valore sostenibile.

Questo modello non si limita a difendere gli investimenti in intelligenza artificiale, ma difende anche budget e marchi e può proteggere e accrescere la credibilità dei consigli di amministrazione.

I CISO devono presentare la gestione del rischio dell'IA come un fattore abilitante per il business, quantificato in termini di protezione del ROI, mantenimento della fiducia nel brand e stabilità normativa. Man mano che l'inferenza dell'IA si integra sempre più nei flussi di lavoro che generano ricavi, proteggerla non è più un centro di costo, ma il piano di controllo per la sostenibilità finanziaria dell'IA. Gli investimenti strategici in sicurezza a livello infrastrutturale devono essere giustificati da parametri finanziari su cui i CFO possano intervenire.

Il percorso futuro richiede alle organizzazioni di bilanciare gli investimenti nell'innovazione dell'IA con un investimento equivalente nella sua protezione. Ciò richiede un nuovo livello di allineamento strategico. Come ha dichiarato a VentureBeat, Robert Grazioli, CIO di Ivanti: "L'allineamento tra CISO e CIO sarà fondamentale per salvaguardare efficacemente le aziende moderne". Questa collaborazione è essenziale per abbattere i silos di dati e budget che minano la sicurezza, consentendo alle organizzazioni di gestire il costo reale dell'IA e trasformare una scommessa ad alto rischio in un motore di crescita sostenibile e ad alto ROI.

Schreier di Telesign ha aggiunto: "Consideriamo i rischi dell'inferenza dell'IA attraverso la lente dell'identità digitale e della fiducia. Integriamo la sicurezza lungo l'intero ciclo di vita dei nostri strumenti di IA, utilizzando controlli di accesso, monitoraggio dell'utilizzo, limitazione della velocità e analisi comportamentale per rilevare abusi e proteggere sia i nostri clienti che i loro utenti finali dalle minacce emergenti".

Ha continuato: "Consideriamo la convalida dell'output un livello critico della nostra architettura di sicurezza dell'intelligenza artificiale, soprattutto perché molti rischi in fase di inferenza non derivano dal modo in cui un modello viene addestrato, ma dal suo comportamento in natura".