Intelligenza Artificiale: il nuovo perimetro aziendale
Lakera, società di Check Point, ha dimostrato che l’iniezione indiretta di prompt consente agli attaccanti di prendere di mira i dati acquisiti dall’IA, non i prompt digitati dagli utenti. Gemini 3 moltiplica questo rischio estraendo informazioni a livello aziendale, come per esempio
- documenti
- link
- contenuti condivisi
Quando Google ha presentato Gemini 3 lo scorso 18 novembre, ci si è principalmente soffermati sui suoi progressi in termini di ragionamento, multimodalità e prestazioni, non osservando con attenzione oltre i confronti tra i modelli. Il vero significato di Gemini 3 è, infatti, strutturale.
Gli assistenti AI hanno già iniziato a muoversi all’interno dei flussi di lavoro aziendali. Microsoft Copilot, per esempio, ha integrato da tempo i modelli OpenAI nell’ecosistema Microsoft, consentendo agli utenti di interrogare i documenti da office.com, riassumere le caselle di posta in arrivo, agire sui contenuti di Teams e automatizzare le attività in Office 365.
Una singola pagina web compromessa, un blocco di firma o un elemento PDF incorporato possono reindirizzare silenziosamente il comportamento del modello. Gli strumenti di sicurezza tradizionali non sono in grado di rilevare questa nuova classe di manipolazione.
Le capacità multimodali di Gemini 3 offrono enormi vantaggi in termini di produttività, ma comportano anche nuove forme di rischio.
Lakera ha rilevato attacchi multimodali pratici, tra cui jailbreak basati sull’audio in cui le trascrizioni appaiono pulite anche se il modello è stato manipolato. Con Gemini 3, bisogna tenere conto di:
- audio antagonista e conflittuale
- immagini melavole
- media incorporati o manipolati
- screenshot ingannevoli
Ciascuno di questi elementi introduce vettori che non sono coperti dagli attuali controlli di sicurezza delle e-mail, degli endpoint o dei contenuti.
Il GenAI Security Readiness Report di Lakera mostra che le organizzazioni stanno adottando l’IA molto più rapidamente di quanto non stiano provvedendo alla sua sicurezza. La maggior parte di esse è, infatti, ancora priva di:
- Governance dell’IA
- Barriere protettive
- Monitoraggio degli agent
- Protezioni multimodali
- Pipeline di test avversari
Gemini 3 amplifica questo divario. La potenza del modello accelera la creazione di valore, ma accelera anche l’esposizione. I primi risultati interni della valutazione di sicurezza b³ di Lakera, che misura la facilità con cui i modelli possono essere manipolati per divulgare contenuti o aggirare le misure di sicurezza, offrono una visione importante.
Il modello di anteprima gemini-3-pro-preview si colloca tra i sistemi più potenti, leggermente migliore di Claude 4.5 Haiku di Anthropic, in particolare per quanto riguarda gli scenari di estrazione diretta dei contenuti e di override delle istruzioni. I maggiori vantaggi si ottengono quando Gemini riceve istruzioni esplicite di dare priorità alla sicurezza e quando le risposte vengono instradate attraverso un ulteriore livello di “autovalutazione”. Questa configurazione rafforzata offre una protezione notevolmente più forte nei compiti più impegnativi.
Questa maggiore robustezza richiede però un ragionamento interno significativamente più complesso, rendendo Gemini 3 Pro molto più costoso dal punto di vista computazionale, mentre modelli come Claude 4.5 Haiku offrono una sicurezza elevata a un costo inferiore.
il modello non è la strategia di sicurezza. La configurazione, i prompt e i sistemi di protezione a più livelli sono importanti tanto quanto il modello di base stesso.
La vera trasformazione di Gemini 3 non è ciò che il modello conosce, ma ciò a cui il modello può accedere. L’IA ora ha a che fare con documenti, caselle di posta, API, flussi di lavoro e sistemi in tutto l’ambiente aziendale. La domanda che ci si pone oggi è: “Cosa è autorizzato a fare il modello e chi garantisce che agisca in modo sicuro quando lo fa?”.
Questo è il nuovo perimetro aziendale: garantirne la sicurezza è ora una responsabilità a livello dirigenziale e definirà la strategia di sicurezza informatica del prossimo decennio.
Dotato nativamente di un’ampia serie di integrazioni Workspace e di funzionalità agentiche iniziali, Gemini 3 spinge Google verso una rete IA aziendale più unificata, in cui l’IA media le interazioni tra e-mail, documenti, archiviazione, strumenti di collaborazione e automazione.
Oggi l’IA non è più qualcosa che l’azienda utilizza, ma sta diventando qualcosa su cui l’azienda si basa, cambiando radicalmente il paradigma della sicurezza.
L’intelligenza artificiale è diventata la colonna portante delle operazioni
Ciò che rende Gemini 3 rivoluzionario non sono le sue funzionalità, ma la sua capacità di operare all’interno di ecosistemi produttivi con un contesto e un’autonomia senza precedenti. Il modello ora è in grado di:
- riscrivere e instradare documenti
- riassumere e agire su lunghe catene di e-mail
- richiamare API
- attivare automazioni del flusso di lavoro
Gemini 3 integra queste funzionalità in modo nativo all’interno di Google Workspace, conferendo al modello una portata operativa che le tradizionali implementazioni LLM non avevano. Man mano che l’IA diventa parte del livello di esecuzione, la superficie di attacco si espande e gran parte di questa espansione è invisibile ai controlli di sicurezza esistenti.
L’IA agentica porta in primo piano il rischio operativo
Gemini 3 introduce anche i primi comportamenti agentici, ovvero la capacità di intraprendere azioni, non solo di fornire risposte. Le sue operazioni di richiamo di strumenti, automazione e a livello di API conferiscono all’IA una reale autorità all’interno dei sistemi aziendali.
Microsoft Copilot svolge già compiti simili tramite Skills e connettori, ma l’approccio di Gemini 3 è più strettamente legato alle superfici native di Workspace.
L’analisi di Lakera sul Model Context Protocol (MCP) mostra quanto velocemente tali sistemi di agenti diventino rischiosi quando:
- le autorizzazioni sono eccessivamente ampie
- gli ambiti non sono chiari
- le azioni non sono monitorate
- gli output non sono convalidati
Un agente configurato in modo errato può aumentare i privilegi, attivare azioni non intenzionali o interagire in modo imprevedibile con sistemi critici.
Si tratta di un rischio operativo, e la maggior parte delle aziende non è pronta.
