Supply chain agentica: skill fasulla supera ogni scanner

Una skill malevola per agenti AI, costruita in meno di un’ora, ha superato ogni scanner messo alla prova sfruttando un link esterno modificato dopo la verifica. La dimostrazione di una società di sicurezza espone un punto cieco strutturale nella supply chain agentica, con il giusto distinguo sui numeri auto-riportati dal vendor.

La supply chain agentica mostra il suo primo punto cieco: una società di sicurezza ha costruito in meno di un’ora una skill malevola per agenti AI, l’ha diffusa attraverso un marketplace pubblico e un annuncio su Instagram e dichiara di aver raggiunto circa 26.000 agenti, alcuni su account aziendali. Ogni scanner per skill messo alla prova l’ha giudicata sicura. La dimostrazione, firmata dalla ricerca di AIR, espone un punto cieco strutturale nel modo in cui oggi si valuta la fiducia verso i componenti che gli agenti caricano nel proprio contesto.

Come è stata costruita

Una skill è un pacchetto di istruzioni che l’agente carica nel proprio contesto e segue con un’autorità paragonabile a quella di un prompt dell’utente. È proprio questa fiducia il problema. Il pacchetto, chiamato brand-landingpage, prometteva la creazione di una landing page tramite lo strumento di design Stitch di Google, rivolgendosi a un pubblico non tecnico di professionisti del marketing, delle vendite e della grafica.

Per apparire credibile, AIR ha lavorato su due segnali di fiducia. Il primo: le stelle di GitHub. Ha aperto una pull request verso il repository di un marketplace di componenti con circa 36.000 stelle e 156 skill; una volta accettata la modifica, la skill ha ereditato quel patrimonio di credibilità. Il secondo: un verdetto pulito degli scanner. Ha poi diffuso il pacchetto con un annuncio su Instagram, e gli utenti hanno iniziato a installarlo e a usarlo.

Perché gli scanner non hanno visto nulla

Gli scanner analizzano ciò che viene consegnato loro: il file di descrizione della skill e le risorse incluse nel pacchetto. AIR ha sfruttato esattamente ciò che resta fuori da quel perimetro. La skill non conteneva istruzioni di installazione proprie: rimandava l’agente a una documentazione esterna ospitata su stitch-design.ai, un dominio controllato da AIR e non da Google (il vero Stitch risiede su stitch.withgoogle.com).

Inizialmente quel link puntava alla documentazione autentica, così gli scanner di Cisco e NVIDIA e quelli integrati in skills.sh, vedendo un pacchetto pulito che rimandava a una pagina di setup plausibile, lo hanno approvato. Una volta diffusa l’installazione, AIR ha riscritto la pagina dietro quel link, istruendo l’agente a scaricare ed eseguire uno script. Nella dimostrazione il payload si limitava a inviare l’indirizzo email della vittima, ma un attore reale avrebbe potuto leggere file, spostare dati o raggiungere sistemi interni, nei limiti di ciò a cui l’agente poteva accedere.

Il difetto è di progettazione: la verifica avviene una volta sola, su un’istantanea del pacchetto, mentre la pagina a cui la skill rimanda può essere cambiata in qualunque momento dopo il controllo. Non è una scoperta isolata. Circa tre settimane prima, Trail of Bits aveva aggirato il rilevatore di ClawHub, lo scanner di Cisco e tutti quelli integrati in skills.sh; la stessa documentazione di Anthropic avverte da tempo che le skill che recuperano URL esterni sono rischiose, perché il contenuto può cambiare dopo la verifica.

Difendere la supply chain agentica

I numeri vanno letti con prudenza. La cifra dei 26.000 agenti, il dettaglio sugli account aziendali e l’affermazione di aver potuto assumere il controllo completo provengono da AIR, che chiude la ricerca presentando il proprio marketplace gestito di skill: c’è un interesse commerciale dichiarato e i dati non sono verificati in modo indipendente. Quel che regge, e che vale per ogni redazione tecnica e per ogni CISO, è il metodo: gli scanner citati giudicano solo il pacchetto consegnato, il punto cieco dei link esterni è reale ed è già stato dimostrato da terzi, e i segnali su cui l’ecosistema ancora si appoggia, stelle e scansione pulita, sono esattamente quelli che la dimostrazione ha piegato.

La lezione operativa è diretta: trattare le skill come software, non come testo. Verificare ciò a cui una skill rimanda, non solo ciò che contiene; instradare i componenti attraverso un’unica fonte controllata e ricontrollarli a ogni modifica; fissare le versioni, applicare il privilegio minimo e assumere che qualunque istruzione esterna recuperata da un agente venga eseguita con i suoi permessi. È la stessa logica di supply chain che il software tradizionale ha imparato a presidiare, ora da estendere all’agentic AI.

Condividi sui Social Network:

Ultimi Articoli

Cisco Unified CM: la falla SSRF CVE-2026-20230 è ora sfruttata in rete
A cura di:Redazione Pubblicato il24 Giugno 202624 Giugno 2026

La vulnerabilità SSRF CVE-2026-20230 in Cisco Unified Communications Manager è passata dalla teoria alla pratica: nel weekend osservati i primi tentativi di sfruttamento in rete. Rischio escalation a root, patch dal 3 giugno e write-up tecnico ora pubblico: per le comunicazioni unificate conta la velocità di applicazione.

Leggi di più Cisco Unified CM: la falla SSRF CVE-2026-20230 è ora sfruttata in rete
Dalla teoria alla trincea: perché i test di intrusione automatizzati non sostituiranno mai l’Ethical Hacker
A cura di:Francesco Pandiscia Pubblicato il24 Giugno 20265 Giugno 2026

Nel mondo della cybersecurity aziendale si parla sempre più spesso di automazione, eppure è la figura dell’Ethical Hacker a fare la differenza quando si tratta di capire se una vulnerabilità rilevata da un tool rappresenta davvero un rischio concreto. Scanner di vulnerabilità, piattaforme di exposure management, tool di penetration testing automatizzato, dashboard di rischio, controlli…

Leggi di più Dalla teoria alla trincea: perché i test di intrusione automatizzati non sostituiranno mai l’Ethical Hacker
Sicurezza AI: boom dell’IA vs perdita di controllo: dove l’entusiasmo si scontra con la realtà
A cura di:Redazione Pubblicato il24 Giugno 202624 Giugno 2026

Meno di un’organizzazione su dieci riesce a fermare i rischi legati all’AI prima che sia troppo tardi Per la maggior parte delle organizzazioni, il 2026 sarà ricordato come l’anno in cui l’intelligenza artificiale è passata definitivamente dall’essere una novità a diventare un’infrastruttura fondamentale e indispensabile. Siamo entrati in un’era in cui gli agenti AI eseguono…

Leggi di più Sicurezza AI: boom dell’IA vs perdita di controllo: dove l’entusiasmo si scontra con la realtà
Crittografia post-quantum: l’ordine esecutivo USA fissa le scadenze 2030 e 2031 e fa partire il conto alla rovescia
A cura di:Redazione Pubblicato il24 Giugno 202624 Giugno 2026

Il 22 giugno la Casa Bianca ha firmato l’Executive Order 14409 sulla migrazione alla crittografia post-quantum: scadenze vincolanti al 2030 e 2031 per le agenzie federali, obblighi in arrivo per i fornitori e ricadute lungo l’intera catena tecnologica, anche per CISO e infrastrutture critiche europee.

Leggi di più Crittografia post-quantum: l’ordine esecutivo USA fissa le scadenze 2030 e 2031 e fa partire il conto alla rovescia
sigstore: la firma del software senza la chiave da custodire
A cura di:Redazione Pubblicato il23 Giugno 20269 Giugno 2026

sigstore rende la firma del software keyless: niente chiave da custodire, identità via OIDC e un registro pubblico a prova di manomissione. Cosign, Fulcio, Rekor e l’adozione.

Leggi di più sigstore: la firma del software senza la chiave da custodire
Human in the loop: il controllo finto e la responsabilità vera
A cura di:Redazione Pubblicato il22 Giugno 202611 Giugno 2026

Human in the loop pare controllo. Ma quando il ciclo supera l’uomo gli resta solo la colpa: il controllo sta prima dell’atto, il giudizio sparisce.

Leggi di più Human in the loop: il controllo finto e la responsabilità vera

Supply chain agentica: una skill fasulla supera ogni scanner e raggiunge 26.000 agenti

Come è stata costruita

Perché gli scanner non hanno visto nulla

Difendere la supply chain agentica

Cisco Unified CM: la falla SSRF CVE-2026-20230 è ora sfruttata in rete

Dalla teoria alla trincea: perché i test di intrusione automatizzati non sostituiranno mai l’Ethical Hacker

Sicurezza AI: boom dell’IA vs perdita di controllo: dove l’entusiasmo si scontra con la realtà

Crittografia post-quantum: l’ordine esecutivo USA fissa le scadenze 2030 e 2031 e fa partire il conto alla rovescia

sigstore: la firma del software senza la chiave da custodire

Human in the loop: il controllo finto e la responsabilità vera

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Come è stata costruita

Perché gli scanner non hanno visto nulla

Difendere la supply chain agentica

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE