Gli agenti AI più efficienti sono anche i meno sicuri

La soluzione arriva separando l’intelligenza operativa dai controlli di sicurezza invalicabili

Il vero compromesso nello sviluppo di agenti AI autonomi non è tra creatività e obbedienza, ma emerge quando si misura la loro performance su due assi ortogonali: il completamento del compito e la sicurezza dell’esecuzione. Mentre i benchmark tradizionali faticano a cogliere questa dualità, nuovi framework ci stanno costringendo a guardare sotto il cofano.

Il trade-off non è un bug, è una feature dell’architettura

Prendiamo la valutazione degli assistenti vocali. A New Framework for Evaluating Voice Agents (EVA) introduce una metrica doppia: EVA-A per l’accuratezza e EVA-X per l’esperienza utente. La scoperta fondamentale di EVA è un anticorrelazione sistematica.

Agenti performanti sul completamento del compito forniscono spesso esperienze peggiori. Questo avviene perché un agente iper-efficiente ottimizza per la sequenza di azioni più corta verso il goal, tralasciando niceties conversazionali. È un compromesso accettabile finché l’agente opera in un sandbox chiuso.

Il panorama cambia radicalmente quando l’agente deve interagire con il mondo reale – database aziendali, API di pagamento, strumenti di produzione. Qui, la massimizzazione dell’accuratezza del task, senza vincoli, può diventare un pericolo. Un agente che trova la strada più rapida per completare un ordine potrebbe aggirare i controlli di approvazione. La domanda tecnica quindi si sposta: come si impone un confine invalicabile senza distruggere l’efficacia operativa?

La sicurezza diventa una proprietà del runtime, non del modello

La risposta non sta nel prompt engineering o in un addestramento più cauto del LLM. Questi sono approcci software-defined che il modello stesso può eludere. Serve un confine hardware-enforced. OpenShell di NVIDIA propone un’architettura da security-first: un runtime open source e sicuro per progettazione che esegue l’agente in un ambiente isolato. La chiave è la separazione delle responsabilità. OpenShell separa il comportamento dell’agente dall’applicazione delle politiche.

In pratica, il nucleo decisionale dell’agente (il modello) genera una intenzione di azione. Questa viene passata a un motore di policy, esterno e inattaccabile dal modello, che la autorizza, modifica o nega. L’agente non può ignorare le politiche. Il compromesso tra potenza e sicurezza viene quindi risolto a livello di sistema: il modello può essere ottimizzato per l’accuratezza, sapendo che un meccanismo esterno aggiunge controlli di privacy e sicurezza. Anche se compromesso, non potrebbe perdere credenziali o dati privati.

Due pipeline di sviluppo, un unico sistema

Questa architettura modifica lo stack di sviluppo. Emergono due flussi di lavoro paralleli. Il primo è il fine-tuning del modello per il dominio specifico, dove si spinge l’accuratezza. Come dimostrato, il fine-tuning di modelli di embedding su dataset verticali offre miglioramenti drastici: Atlassian ha aumentato la Recall@60 del 26% sui suoi ticket JIRA. Questa ottimizzazione può procedere libera, puntando alla massima performance sul compito.

Il secondo flusso è l’ingegneria delle policy per il runtime sicuro. Qui si definiscono i guardrail, si modellano le risorse accessibili e si tracciano i confini di azione. È un lavoro su un sistema dichiarativo, verificabile e indipendente dagli update del modello.

L’implicazione per chi costruisce è netta. Il trade-off non si elimina, ma si sposta e si rende gestionale. Non è più una lotta interna ai pesi del modello, ma una negoziazione tra due componenti: l’intelligenza dell’agente e le policy del suo carcasse sicuro. La prossima frontiera non sarà scrivere prompt migliori, ma progettare linguaggi di policy che siano sia inattaccabili sia sufficientemente granulari da non soffocare l’utilità operativa. La sicurezza, quando è by design, non limita la potenza: la canalizza.