Il Model Context Protocol è diventato uno degli standard più discussi nel campo dell’intelligenza artificiale applicata. Consente ai modelli linguistici di interagire con sistemi esterni, ampliandone le capacità operative in modo significativo. Ma questa apertura verso l’esterno porta con sé rischi di sicurezza nuovi e ancora poco esplorati, che il CERT-AgID ha analizzato in un recente studio con implicazioni dirette per chi opera in contesti pubblici e critici.
Indice degli argomenti
Model Context Protocol: cos’è e perché preoccupa la sicurezza informatica
L’evoluzione dell’intelligenza artificiale ha prodotto un cambio di paradigma che va ben oltre la capacità di generare testo: i modelli linguistici di grandi dimensioni, noti come LLM, sono oggi sempre più impiegati non come semplici strumenti di consultazione, ma come agenti operativi in grado di interagire con sistemi esterni, eseguire azioni, interrogare database e inviare richieste in rete.
È in questo contesto che si inserisce il Model Context Protocol, comunemente abbreviato in MCP, uno standard sempre più diffuso che consente agli LLM di connettersi a servizi e risorse esterne attraverso un’interfaccia strutturata. Uno studio recentemente pubblicato dal CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, analizza in dettaglio i rischi di sicurezza che questa architettura introduce, con implicazioni dirette per chi sta integrando sistemi di intelligenza artificiale in contesti informativi, in particolare in ambiti pubblici e critici.
Dall’allucinazione all’azione: il nuovo rischio dell’IA agentica
Il punto di partenza dell’analisi è proprio il cambiamento di natura degli LLM: fino a poco tempo fa, la preoccupazione principale riguardava l’accuratezza delle risposte generate, il fenomeno delle cosiddette allucinazioni, ovvero la tendenza del modello a produrre informazioni false presentandole come veritiere.
Con l’avvento dell’IA agentica, però, il problema si sposta su un piano più concreto e potenzialmente più pericoloso. Non si tratta più soltanto di valutare cosa risponde il modello, ma di capire quali azioni è in grado di compiere e con quale autonomia. In questo scenario, la catena critica diventa quella che collega il prompt dell’utente all’uso di un tool esterno fino all’azione che ne deriva, una sequenza in cui ogni anello può diventare un punto di vulnerabilità.
Come funziona l’MCP e dove nascono le vulnerabilità
L’MCP funziona come un protocollo di intermediazione: permette all’LLM di invocare programmi o servizi esterni, i cosiddetti tool, che possono interrogare database, accedere a repository di codice, recuperare documentazione da fonti remote o inviare richieste ad altri sistemi online.
Il meccanismo, di per sé, è pensato per ampliare le capacità operative del modello in modo controllato e modulare. Il problema emerge quando ci si rende conto che i parametri con cui vengono effettuate le chiamate ai tool sono generati in modo dinamico dal modello e possono essere influenzati dal contesto o da prompt malevoli. Questo significa che il comportamento del sistema può variare in funzione di fattori non sempre prevedibili, e che l’assunzione di un uso sempre corretto e intenzionale dei tool da parte del modello non può essere considerata affidabile.
Server-Side Request Forgery via MCP: lo scenario di attacco descritto dal CERT-AgID
Uno degli scenari analizzati dal CERT-AgID illustra in modo particolarmente efficace questa classe di rischio. Un server MCP progettato con lo scopo specifico di acquisire documentazione tecnica da fonti remote può essere utilizzato in modo improprio per inviare richieste di rete verso indirizzi arbitrari, non previsti né autorizzati dal progettista. In questo caso, il server si comporta di fatto come un proxy non autorizzato, eseguendo operazioni che vanno ben oltre la sua funzione dichiarata. Il sistema, in sostanza, obbedisce ai parametri generati dal modello senza controllo preventivo.
Si tratta di una vulnerabilità riconducibile alla classe SSRF, acronimo di Server-Side Request Forgery, una tipologia di attacco già nota nel panorama della sicurezza informatica tradizionale, ma che in questo contesto acquisisce caratteristiche nuove proprio perché il vettore è determinato dalla dinamica di generazione dei parametri, influenzabile attraverso il contesto o prompt costruiti ad arte.
Perché l’assunzione di un uso corretto dei tool è strutturalmente sbagliata
È importante sottolineare che il rischio non deriva da una qualche capacità offensiva intrinseca degli LLM. La vulnerabilità emerge piuttosto da un assunto errato che spesso accompagna la progettazione di questi sistemi: l’idea che il modello utilizzi i tool sempre e soltanto secondo le intenzioni del progettista.
In realtà, i parametri delle chiamate MCP sono generati in modo dinamico e possono essere influenzati dal contesto o da prompt malevoli, rendendo questa assunzione strutturalmente inaffidabile. Il confine della sicurezza si sposta così lungo la catena che unisce prompt, tool e azione, un perimetro che richiede attenzione specifica e non può essere presidiato con le sole strategie difensive pensate per contesti applicativi tradizionali.
Le raccomandazioni del CERT-AgID: filtri, allowlist e controlli obbligatori
Le raccomandazioni elaborate dal CERT-AgID in risposta a questa analisi indicano alcune direzioni strategiche fondamentali. In primo luogo, si raccomanda l’adozione di controlli obbligatori prima dell’esecuzione di qualsiasi chiamata a un tool esterno: tutti i parametri devono essere verificati in anticipo, e i filtri di sicurezza devono essere configurati in modalità bloccante, eliminando qualsiasi meccanismo alternativo che possa aggirarli. In secondo luogo, per i tool che effettuano chiamate di rete, è necessario applicare allowlist restrittive che limitino gli accessi esclusivamente a domini, protocolli e formati pre-approvati. La logica è quella di non lasciare spazio a interpretazioni: il sistema deve poter comunicare solo con ciò che è stato esplicitamente autorizzato, e ogni eccezione a questa regola costituisce una potenziale superficie di attacco.
Minimo privilegio, autenticazione e logging
Un altro principio cardine indicato dallo studio è quello del minimo privilegio: ogni tool deve essere progettato per svolgere una sola operazione specifica e ben definita. Le funzioni generiche, per loro natura riutilizzabili in contesti diversi da quelli previsti, rappresentano un rischio perché ampliano la superficie di attacco disponibile. Infine, lo studio sottolinea l’importanza di un’infrastruttura robusta di autenticazione, monitoraggio e logging: le chiamate ai tool esterni devono richiedere autenticazione obbligatoria, essere soggette a meccanismi di rate limiting e registrate in modo da consentire il rilevamento di anomalie in tempo reale.
Sicurezza by design nell’IA agentica: una necessità, non un’opzione
Ciò che emerge dall’analisi del CERT-AgID è che i sistemi agentici basati su MCP introducono una classe di rischio che non è riconducibile alle tradizionali vulnerabilità applicative, né alle già note problematiche legate alle allucinazioni degli LLM. Si tratta di un rischio che nasce nel punto di integrazione tra il modello e l’infrastruttura su cui opera, e che richiede pertanto strategie di mitigazione specifiche. La sicurezza di questi sistemi non può fondarsi sull’assunzione di un uso corretto dei tool da parte del modello: deve essere garantita da controlli espliciti, rigorosi e verificabili nel server MCP. Mentre l’adozione dell’intelligenza artificiale agentica accelera anche in contesti pubblici e critici, è necessario che la progettazione di questi sistemi incorpori fin dall’inizio una visione della sicurezza commisurata alle sfide che essa introduce.
