Protocollo MCP: funzioni di sicurezza avanzate per gli agenti IA personalizzabili

Il Model Context Protocol (MCP) di Anthropic, sebbene abbia appena un anno, è già ampiamente utilizzato per consentire agli agenti IA di accedere a strumenti e servizi. Praticamente tutti i fornitori ed editori di software offrono ormai un server MCP, e alcuni, come GitHub e Microsoft, ospitano registri di server MCP e cataloghi di strumenti. Questo progetto funge anche da base per una vasta gamma di prodotti gateway IA e progetti open source che aggiungono funzionalità di sicurezza.

La prossima versione del progetto, il cui rilascio è previsto per il 25 novembre, includerà un meccanismo fondamentale per autorizzare l'accesso degli agenti IA agli strumenti e servizi back-end per conto degli utenti, segnando un passo significativo verso una maggiore personalizzazione e sicurezza nell'interazione con l'intelligenza artificiale.

La Nuova Era della Sicurezza per gli Agenti IA Personalizzabili

La versione upstream del progetto MCP ha progressivamente aggiunto i propri miglioramenti. Il più importante di questi è stato il supporto all'autorizzazione degli agenti IA tramite OAuth 2.1 a metà anno. Questa capacità ha sostituito un sistema meno sicuro basato su chiavi API, aumentando notevolmente la robustezza del protocollo nella gestione delle autorizzazioni delegate.

Il Protocollo MCP e la Sfida dell'Autorizzazione Utente

Tuttavia, secondo Alex Salazar, cofondatore e CEO di Arcade.dev, c'era ancora un aspetto importante da affrontare riguardo all'autorizzazione degli agenti IA. "Si tratta di assicurarsi che l'utente sia autorizzato a comunicare con un altro servizio", spiega Salazar. "Fino ad ora, le discussioni su OAuth riguardavano come il client comunica con il server MCP. Qui, invece, si tratta di garantire che l'utente sia autorizzato a comunicare con un altro servizio. E posso revocare le autorizzazioni per assicurarmi che sia generalmente abilitato a eseguire i diversi tipi di azioni che possono essere disponibili sul mio server MCP."

La Soluzione di Arcade.dev: Autorizzazione Fuori Banda

A luglio, gli ingegneri di Arcade.dev hanno proposto un meccanismo per questo flusso di autorizzazione che funziona fuori banda, lontano dal client MCP. Questo è cruciale perché il client non deve esporre dati sensibili a un grande modello di linguaggio (LLM). Questa proposta è stata integrata nella prossima versione maggiore di MCP, la cui uscita è prevista per il 25 novembre. Questa innovazione mira a risolvere il problema della delega di autorizzazioni in modo sicuro e confidenziale, minimizzando il rischio di esposizione di informazioni sensibili.

Implicazioni per gli Agenti IA Personalizzati

Grazie a questa implementazione, "ora è possibile creare agenti che possono essere adattati a un utente", afferma Alex Salazar. "Prendiamo l'esempio di un assistente personale. Gli chiederai di leggere le tue e-mail, di controllare il tuo calendario. Gli chiederai di fare ogni sorta di cose. Ora, non può consultare le tue e-mail o il tuo calendario senza passare attraverso un processo di autorizzazione." Fuori dal contesto MCP, questo tipo di processo di autorizzazione viene generalmente avviato tramite un URL. Ma all'interno di MCP, prima non esisteva un modo per restituire un URL senza passare attraverso il client MCP, il che avrebbe potuto esporre dati sensibili a un LLM sottostante. "La quantità di talenti e competenze ingegneristiche, così come le discussioni e le negoziazioni tecniche necessarie per portare a termine questo progetto sono straordinarie, ma il risultato è piuttosto banale", constata Alex Salazar. "Abbiamo scoperto come restituire un URL in modo sicuro e confidenziale, senza fare appello a un LLM". Questo apparente paradosso sottolinea l'importanza di un'ingegneria complessa per ottenere soluzioni che, una volta implementate, sembrano semplici ma sono fondamentali per la sicurezza e l'usabilità.

Normalizzazione e Benefici dell'Integrazione Upstream

Il nuovo meccanismo OAuth di MCP, integrato a monte, potrebbe rendere ridondanti alcune funzionalità dei gateway IA in determinati prodotti di fornitori, inclusi quelli di Arcade. Ma uno sviluppatore IA considera preferibile integrare direttamente questo tipo di funzionalità nel protocollo. "A condizione che questa normalizzazione possa essere ampiamente adottata, il fatto di concedere a un'IA la capacità di agire in modo limitato a vostro nome può essere sicuro e scalabile", dichiara Kyler Middleton, ingegnere software principale presso Veradigm, un'azienda specializzata in tecnologie sanitarie. "Esistono molte implementazioni mediocri e incomplete di questa funzionalità, e le discussioni approfondite e il consenso del team MCP ci aiutano tutti a progredire".

Preoccupazioni e Sfide Future

Tuttavia, la discussione è proseguita all'interno della comunità upstream alla fine di settembre sui potenziali svantaggi dell'approccio OAuth di Arcade per MCP. "Permettere ai server di ottenere URL arbitrari può aumentare il rischio di phishing/ingegneria sociale", si legge nelle note di una riunione del gruppo di interesse sulla sicurezza MCP tenutasi il 23 settembre. "C'è una discussione sui server che potrebbero dichiarare domini approvati che possono inviare al client, e quest'ultimo può determinare la politica sugli URI [Uniform Resource Identifier, N.D.L.R.] che mostrerà all'utente finale. Questo sarà probabilmente oggetto di ulteriori esplorazioni".

Kyler Middleton condivide queste preoccupazioni. "Ad esempio, dispongo di diritti di amministrazione su diverse piattaforme dove sono archiviati dati sensibili. Se interagisco con un bot e mi chiede un token, che io approvo, otterrà automaticamente tutti i diritti di cui dispongo, oppure ci sarà un meccanismo messo in atto dall'agente o dal processo di concessione del token, grazie al quale potrò concedere solo alcuni diritti specifici?", si interroga. "Questo deve esistere, ma potrebbe facilmente essere vincolante per gli utenti, quindi deve essere progettato con attenzione". La sfida è bilanciare la sicurezza granulare con un'esperienza utente fluida e intuitiva, fornendo agli utenti un controllo sufficiente senza sovraccaricarli di decisioni complesse.

La Sicurezza degli Agenti IA: Un Lavoro in Corso

Il nuovo meccanismo MCP OAuth, sebbene promettente, affronta solo uno strato di sicurezza per gli agenti IA. Ma utenti e sviluppatori devono ancora affrontare diversi altri aspetti, secondo Ian Beaver, chief data scientist di Verint, un fornitore di centri di contatto on-demand. Altrove nell'industria, sono stati proposti altri controlli di esecuzione degli agenti IA basati sui principi del regolamento generale sulla protezione dei dati (GDPR) dell'UE, e Ian Beaver indica che Verint ha iniziato a implementarli.

La Responsabilità degli Sviluppatori per la Sicurezza

"Si tratta di un'aggiunta importante, ma che non dispensa i progettisti di applicazioni agentiche dal registrare attentamente tutte le chiamate effettuate agli strumenti e alle API a nome dell'utente", sottolinea Beaver riguardo all'aggiornamento MCP OAuth, in un'e-mail indirizzata a Informa TechTarget. "Anche con questa modifica, l'applicazione non saprà se le modifiche sono effettuate dall'utente o da un agente collegato dall'utente", aggiunge. "È quindi essenziale che gli sviluppatori adottino una mentalità orientata alla sicurezza, registrando tutte le azioni per facilitare l'audit in caso di modifica inaspettata dell'applicazione". Questo approccio proattivo è fondamentale per mantenere l'integrità e la fiducia nei sistemi basati su agenti IA, garantendo trasparenza e responsabilità nelle loro operazioni.

Per Approfondire

Per approfondire ulteriormente le tematiche legate all'IA applicata, alla GenAI e all'IA infusa, ecco alcuni articoli correlati:

• TDX 2026: Salesforce rafforza il determinismo e la governance dei suoi agenti IA
• Agenti IA: come gestire il rompicapo dell'interoperabilità (in attesa della standardizzazione)
• Atlassian assegna gli agenti IA ai collaboratori
• Le 8 principali previsioni sulla cybersicurezza per il 2026