Personalizzazione degli agenti IA: il MCP acquisisce funzioni di sicurezza
La prossima versione del progetto Model Context Protocol (MCP) includerà un meccanismo fondamentale per autorizzare l'accesso degli agenti di intelligenza artificiale (IA) a strumenti e servizi back-end, operando per conto degli utenti. Questo sviluppo segna un'evoluzione significativa nella gestione della sicurezza e della personalizzazione degli agenti IA, affrontando sfide cruciali relative all'autorizzazione e alla protezione dei dati sensibili.
Nonostante abbia appena un anno, il protocollo MCP di Anthropic è già ampiamente utilizzato nel settore per consentire agli agenti IA di interagire con una vasta gamma di strumenti e servizi. La sua adozione è stata rapida e diffusa: praticamente tutti i principali fornitori ed editori di software offrono ormai un server MCP. Alcuni giganti tecnologici, come GitHub e Microsoft, non solo supportano il protocollo ma ospitano anche registri di server MCP e cataloghi di strumenti, evidenziando la sua importanza come infrastruttura di base. Il progetto MCP serve inoltre da fondamento per un'ampia varietà di prodotti gateway IA e progetti open source, che si occupano di estendere le sue capacità con funzionalità di sicurezza aggiuntive.
La versione "upstream" del progetto ha progressivamente incorporato i propri miglioramenti. Il più significativo tra questi è stato l'introduzione, a metà anno, del supporto per l'autorizzazione degli agenti IA tramite OAuth 2.1. Questa capacità ha rappresentato un salto di qualità nella sicurezza, sostituendo un sistema precedente meno robusto basato su chiavi API. Tuttavia, non tutti gli aspetti dell'autorizzazione degli agenti IA erano stati completamente risolti, come sottolineato da Alex Salazar, cofondatore e CEO di Arcade.dev.
«Qui si tratta di assicurarsi che l'utente sia autorizzato a comunicare con un altro servizio», ha spiegato Salazar, evidenziando la lacuna rimanente. Ha approfondito: «Fino ad ora, le discussioni su OAuth riguardavano il modo in cui il client comunica con il server MCP. Qui si tratta di assicurarsi che l'utente sia autorizzato a comunicare con un altro servizio. E io posso revocare le autorizzazioni per assicurarmi che sia generalmente abilitato a eseguire i diversi tipi di azioni che possono essere disponibili sul mio server MCP.» Questo aspetto, cruciale per la gestione fine delle autorizzazioni utente, necessitava di una soluzione dedicata.
Nel mese di luglio, gli ingegneri di Arcade.dev hanno risposto a questa esigenza proponendo un meccanismo innovativo per il flusso di autorizzazione. Questo meccanismo opera fuori banda, ovvero lontano dal client MCP, garantendo che i dati sensibili non vengano esposti a un grande modello linguistico (LLM) sottostante. La proposta di Arcade.dev ha ricevuto un'accoglienza positiva ed è stata integrata nella prossima versione principale di MCP, il cui rilascio è previsto per il 25 novembre, a riprova della sua importanza strategica.
«Ora è possibile creare agenti che possono essere adattati a un utente», afferma Alex Salazar, illustrando i benefici concreti di questa innovazione. «Prendiamo l'esempio di un assistente personale. Gli chiederete di leggere le vostre e-mail, di controllare il vostro calendario. Gli chiederete di fare ogni sorta di cose. Ora, non può consultare le vostre e-mail o il vostro calendario senza passare attraverso un processo di autorizzazione.» Questa funzionalità consente una personalizzazione profonda e sicura degli agenti IA, permettendo loro di gestire attività altamente sensibili per conto dell'utente.
Salazar ha poi spiegato le difficoltà precedenti: al di fuori del contesto MCP, i processi di autorizzazione di questo tipo vengono solitamente avviati tramite un URL. Tuttavia, nell'ambito di MCP, prima di questa innovazione, non esisteva un modo per restituire un URL senza che passasse attraverso il client MCP, con il rischio di esporre dati sensibili a un LLM. «La quantità di talenti e competenze ingegneristiche, così come le discussioni e negoziazioni tecniche necessarie per portare a termine questo progetto sono straordinarie, ma il risultato è piuttosto banale», constata Alex Salazar, riassumendo l'apparente semplicità di una soluzione tecnicamente complessa. «Abbiamo scoperto come restituire un URL in modo sicuro e confidenziale, senza coinvolgere un LLM.»
Un'integrazione a monte di funzionalità finora sviluppate su misura
Il nuovo meccanismo OAuth di MCP, ora integrato a monte nel protocollo, potrebbe avere un impatto significativo, rendendo ridondanti alcune funzionalità di gateway IA presenti in prodotti di fornitori, inclusi quelli di Arcade stessa. Tuttavia, un autorevole sviluppatore IA ritiene che l'integrazione diretta di queste funzionalità nel protocollo sia la strada migliore. «A condizione che questa normalizzazione possa essere ampiamente adottata, il fatto di concedere a un'IA la capacità di agire in modo limitato per vostro conto può essere sicuro e scalabile», dichiara Kyler Middleton, ingegnere software senior presso Veradigm, un'azienda specializzata in tecnologie sanitarie. «Esistono molte implementazioni mediocri e incomplete di questa funzionalità, e le discussioni approfondite e il consenso del team MCP ci aiutano tutti a progredire.»
Tuttavia, la discussione è proseguita all'interno della comunità "upstream" alla fine di settembre, concentrandosi sui potenziali svantaggi dell'approccio MCP OAuth proposto da Arcade. Le note di una riunione del gruppo di interesse sulla sicurezza MCP, tenutasi il 23 settembre, evidenziano un punto cruciale: «Consentire ai server di ottenere URL arbitrari può aumentare il rischio di phishing/ingegneria sociale». La discussione ha suggerito una possibile mitigazione: «C'è una discussione intorno ai server che potrebbero dichiarare domini approvati che possono inviare al client, e quest'ultimo può determinare la politica sugli URI [Uniform Resource Identifier, N.D.L.R.] che visualizzerà all'utente finale. Questo sarà probabilmente oggetto di esplorazione successiva.»
Kyler Middleton condivide queste preoccupazioni, approfondendo la questione della granularità delle autorizzazioni. «Per esempio, dispongo di diritti di amministrazione su diverse piattaforme dove sono memorizzati dati sensibili. Se interagisco con un bot e mi chiede un token, che approvo, otterrà automaticamente tutti i diritti di cui dispongo, o ci sarà un meccanismo messo in atto dall'agente o dal processo di concessione del token, grazie al quale potrò concedere solo alcuni diritti specifici?» si interroga. «Questo deve esistere, ma potrebbe facilmente essere restrittivo per gli utenti, quindi deve essere progettato con cura.» La bilancia tra sicurezza e usabilità è un equilibrio delicato che richiede attenzione.
La securizzazione degli agenti IA, un lavoro in corso
Il nuovo meccanismo MCP OAuth, sebbene promettente e rappresentando un significativo passo avanti, affronta solo uno strato della complessa architettura di sicurezza necessaria per gli agenti IA. Secondo Ian Beaver, chief data scientist presso Verint, un fornitore di centri di contatto su richiesta, utenti e sviluppatori devono ancora affrontare molti altri aspetti. Beaver osserva che in altri settori sono stati proposti controlli di esecuzione degli agenti IA basati sui principi del Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, e Verint ha già iniziato a implementarli.
«Si tratta di un'aggiunta importante, ma che non esime i progettisti di applicazioni agentiche dal registrare attentamente tutte le chiamate fatte agli strumenti e alle API a nome dell'utente», sottolinea Beaver a proposito dell'aggiornamento MCP OAuth, in un'e-mail indirizzata a Informa TechTarget [proprietario di LeMagIT]. L'importanza della tracciabilità e dell'auditabilità rimane fondamentale, indipendentemente dai miglioramenti a livello di protocollo.
«Anche con questa modifica, l'applicazione non saprà se i cambiamenti sono effettuati dall'utente o da un agente connesso dall'utente», aggiunge Beaver. «È quindi essenziale che gli sviluppatori adottino una mentalità incentrata sulla sicurezza, registrando tutte le azioni per facilitare l'audit in caso di modifica inaspettata dell'applicazione.» Questo richiamo alla responsabilità degli sviluppatori evidenzia che la sicurezza degli agenti IA è un processo continuo e multilivello, che richiede vigilanza e pratiche di sviluppo robuste oltre le implementazioni di protocollo.
Per approfondire su IA applicata, GenAI, IA infusa:
- Agenti IA: come gestire il rompicapo dell'interoperabilità (in attesa della standardizzazione)
- Atlassian assegna gli agenti IA ai collaboratori
- Le 8 principali previsioni in materia di cybersicurezza per il 2026
- Okta: rotta sulla protezione delle identità dell'IA agentica