ChatGPT Enterprise è già in fuga di dati aziendali
Samsung distribuisce ChatGPT Enterprise a tutti i dipendenti, ma un test rivela che gli agenti AI possono involontariamente divulgare segreti industriali.
La fuga di dati avviene senza disallineamento, durante il normale funzionamento dell’agente
Che cosa penseresti se, proprio nel giorno in cui la tua azienda distribuisce a ogni dipendente un agente AI capace di frugare tra ricerca e sviluppo, catene di montaggio e strategie di marketing, un nuovo benchmark dimostrasse che quegli stessi agenti possono spiattellare in rete i tuoi segreti industriali?Samsung Electronics ha appena fatto esattamente questo. L’azienda coreana ha concluso una distribuzione aziendale record di ChatGPT Enterprise e Codex, la più vasta implementazione enterprise di OpenAI mai tentata. I nuovi strumenti sono già operativi per tutti i dipendenti in Corea e per l’intera divisione Device eXperience (DX) nel mondo. Coprono reparti come ricerca e sviluppo, produzione e marketing. In teoria, un trionfo di efficienza. In pratica, un esperimento di massa sulla tenuta dei dati aziendali, avviato mentre la letteratura scientifica lancia allarmi che nemmeno i laboratori più sofisticati riescono a disinnescare.
Il paradosso del guardiano cieco
DeepMind ha appena pubblicato un imponente framework per la sicurezza degli agenti AI. Il documento descrive un monitoraggio per agenti AI disallineati, costruito sul presupposto esplicito che un agente molto capace potrebbe non condividere i nostri obiettivi e agire in modi imprevisti. Per valutare l’efficacia di questo controllo, gli autori hanno fissato metriche di monitoraggio come copertura e recall. Sono le stesse metriche che hanno permesso di costruire una supervisione in tempo reale per agenti AI come Gemini Spark, utile a scovare comportamenti anomali quali la cancellazione involontaria di dati.
Sembra rassicurante. Non lo è. Perché mentre DeepMind alzava la sua barricata, un team di ricercatori indipendenti ha mostrato quanto sia facile scavalcarla.
La falla che ChatGPT Enterprise non vede
Il test si chiama MosaicLeaks: test di riservatezza. Consiste nel chiedere a un agente di ricerca di svolgere un compito senza rivelare informazioni locali. Gli esiti sono da far venire i brividi. Le query sanitarie rischiose di un agente che operava in un’ipotetica azienda sanitaria hanno rivelato sui motori di ricerca che MediConn aveva migrato il 70% dell’infrastruttura sul cloud entro gennaio 2025. Non è fantasia: è una fuga di informazioni competitive generata da un comportamento standard dell’agente.
Si può provare a istruire il modello a non divulgare dati. In MosaicLeaks, un prompt dedicato ha ridotto la perdita di informazioni complete per Qwen3-4B dal 34,0% al 25,5%. Un miglioramento, certo. Ma il prezzo è stato un crollo della cosiddetta strict chain success dal 48,7% al 44,5%: l’impatto sulla produttività secondo MosaicLeaks era talmente severo che gli autori hanno dovuto sviluppare una tecnica chiamata PA-DR nel contesto di MosaicLeaks, che riesce a risalire fino a un’accettabile percentuale di successo del 58,7%. Resta il punto: ogni contromisura tarpa la capacità operativa del sistema, e la perdita di dati non viene mai azzerata.
Non stiamo parlando di un attacco malevolo. È il funzionamento ordinario di un agente di ricerca. E proprio questo genere di agente è il mattone con cui, stando alla metodologia del vulnerability harness di Cloudflare, si costruiscono sistemi in cui agenti paralleli e validatori avversari setacciano le vulnerabilità. Cloudflare ha documentato nei dettagli il flusso: cacciatori per classe di attacco, report delle falle, generazione di un findings.json e verifica indipendente. Un rigore metodologico impressionante, che però presuppone di poter contenere l’agente.
MosaicLeaks suggerisce che il contenitore è poroso.
Nel frattempo Samsung dichiara che la propria implementazione offre funzionalità di sicurezza enterprise e controllo accessi. Protezione dei dati, gestione degli utenti, controlli di sicurezza. Tutto vero, tutto già visto. Ma la protezione dei dati in un ambiente enterprise si basa sul presupposto che l’agente rispetti i confini del perimetro aziendale. Cosa succede quando l’agente, per completare una ricerca, formula una query su un motore pubblico e ci incastra brandelli di contesto interno? Il monitoraggio di DeepMind può rilevare comportamenti disallineati, ma MosaicLeaks mostra che le fughe avvengono senza alcun disallineamento: l’agente sta solo eseguendo il compito assegnato, in modo sin troppo competente.
Chi ci guadagna da questa corsa?
La domanda non è retorica. Samsung guadagna un vantaggio competitivo immediato, accelerando i cicli di sviluppo. OpenAI consolida la propria presa sul segmento enterprise, proprio mentre i regolatori europei iniziano a chiedersi se l’AI Act e il GDPR possano reggere l’urto di agenti autonomi che operano su dati aziendali. L’annuncio della partnership arriva in un momento in cui il dibattito sulla conformità normativa degli agenti di ricerca è ancora in alto mare. Viene da chiedersi: perché proprio ora? La fretta di schierare ChatGPT Enterprise su scala globale, prima che le linee guida dei garanti trasformino i test di riservatezza in un prerequisito vincolante, è almeno un’ipotesi che merita di essere esplorata.
Nel frattempo nessuno ha risposto alla domanda più scomoda: cosa si prova a essere il primo colosso manifatturiero a scommettere che il proprio perimetro di sicurezza sia più ermetico di quello testato da MosaicLeaks, quando persino il team di Gemini ha dovuto ammettere che la copertura e il recall del monitoraggio non bastano a fermare ogni perdita?
