ai agentica

L’AI che pensa e agisce: guida critica all’approccio ReAct



Indirizzo copiato

L’AI agentica basata su ReAct supera i modelli puramente deduttivi interagendo con API e strumenti esterni. Vantaggi reali in accuracy e versatilità si contrappongono a rischi di sicurezza, costi elevati e immaturità normativa ancora diffusa

Pubblicato il 18 giu 2026

Ernesto Damiani

Università degli Studi di Milano



Cognitive injection
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


L’approccio agentico sta ridisegnando i confini di ciò che un sistema di intelligenza artificiale può fare — non più rispondere, ma agire. Al centro di questa trasformazione c’è ReAct, un paradigma che alterna ragionamento ed esecuzione in cicli iterativi, consentendo agli LLM di interrogare API, verificare fatti e correggere i propri errori in tempo reale.

Prima di cedere all’entusiasmo del marketing, però, vale la pena capire come funziona davvero — e dove può fare male.


Dal prompt all’agente autonomo

ReAct non è soltanto una tecnica di prompting: è un paradigma agentico che integra in modo sinergico due capacità fondamentali degli LLM – il ragionamento esplicito e l’azione concreta – in un ciclo iterativo dinamico. A differenza degli approcci puramente deduttivi come il Chain-of-Thought (CoT), ReAct permette al modello LLM di interagire con l’ambiente esterno (tool, API, database, motori di ricerca), verificando fatti, correggendo errori e adattando il risultato in tempo reale.

Questo articolo ha l’obiettivo di fornire una guida equilibrata e pragmatica all’adozione di ReAct, in un momento in cui l’entusiasmo per l’IA “agentica” rischia di oscurare i vantaggi e, soprattutto, gli svantaggi concreti.


L’evoluzione del prompting: da GPT-3 a Chain-of-Thought

Per comprendere l’approccio agentico ai sistemi di IA è necessario ripercorrere brevemente l’evoluzione dei metodi di prompting. I primi LLM, come GPT-3, basati sull’inferenza a singolo passo fallivano – anche clamorosamente – nei ragionamenti complessi a causa di errori di propagazione e allucinazioni difficili da prevedere. Ben presto si capì che era meglio spezzare l’inferenza in passi più corti e verificare l’esito di ciascuno. Nel 2022 alcuni ricercatori [Wei et al., 2022] hanno introdotto la tecnica Chain-of-Thought (CoT), in cui il modello LLM genera esplicitamente tutti i passaggi intermedi di ragionamento prima di fornire la risposta finale. CoT ha migliorato le prestazioni degli LLM su compiti tradizionalmente ostici per la loro architettura, come l’aritmetica e la deduzione simbolica.

Tuttavia, presenta alcuni limiti strutturali. Anzitutto, è autoreferenziale: il modello ragiona solo sui propri parametri di addestramento, senza accesso a dati aggiornati né a verifiche esterne. Poi, la catena priva di revisioni favorisce la propagazione degli errori: un pensiero iniziale errato (ad esempio, basato su un fatto obsoleto) compromette l’intera catena, generando conclusioni false (seppur plausibili) con alta confidenza.

Il paradigma ReAct nasce proprio per superare questi limiti. Invece di separare deduzione e azione, le alterna in un ciclo: Deduzione → Azione → Osservazione → Deduzione, fino al raggiungimento dell’obiettivo o alla generazione della risposta finale. ReAct è alla base di tutte le librerie moderne per l’orchestrazione di modelli LLM multipli, come LangChain, LangGraph e LlamaIndex, e del funzionamento interno delle piattaforme LLM come OpenAI, Grok, Anthropic e Google.


ReAct: architettura e meccanismo operativo

Il ciclo ReAct è semplice. Dal prompt iniziale, detto few-shot (con eventuale contesto), il primo agente deduce un pensiero, che può contenere azioni da eseguire (che vengono passate a strumenti esterni), ma anche sottopensieri da scrivere perché gli altri agenti li sviluppino, facendo partire nuovi cicli. Consideriamo il seguente prompt:

“Qual è l’hardware per AI-ML in grado di competere con le GPU entro 3 anni?”

Il ciclo parte da un prompt few-shot fornito all’LLM nelle vesti di Analyst (con eventuale contesto RAG sul mercato hardware AI aggiornato a maggio 2026). Ecco un estratto semplificato del prompt:

Tu sei un Analyst esperto di hardware AI/ML che opera su cicli. In ogni ciclo, scrivi un Thought che contiene ragionamento, azioni di tool e/o sottopensieri. Puoi delegare un Thought con la dicitura esatta:

  • “Action per Analyst: …”
  • “Sub-thought per Copywriter: …”
  • “Sub-thought per Assessor: …” Questi sottopensieri avviano automaticamente nuovi cicli ReAct paralleli o sequenziali per gli altri agenti. Ora rispondi alla query utente. [Segue il prompt utente]

Il primo ciclo ReAct dell’Analyst

Vediamo l’output del primo ciclo ReAct dell’Analyst:

Thought: La query richiede un’analisi realistica delle alternative hardware alle GPU (NVIDIA/AMD) per i workload AI/ML (training e inference) che possano essere effettivamente competitive o disponibili sul mercato nei prossimi 3 anni (da maggio 2026 a fine agosto 2029). Devo focalizzarmi su: performance (TFLOPS, bandwidth), efficienza energetica, costo, ecosistema software maturo, disponibilità sul mercato e annunci imminenti. Non considero soluzioni ancora in fase di ricerca (es. quantum o fotonica a scala commerciale).

Action per Analyst (da eseguire con tool esterni):

  • web_search query: “AI hardware alternatives to NVIDIA GPU 2026 announcements”
  • web_search query: “AMD Instinct MI400 vs NVIDIA Blackwell performance”
  • web_search query: “Google TPU v6 / AWS Trainium2 / Intel Gaudi3 availability before 2029”
  • web_search query: “Groq LPU, Cerebras WSE-3, Tenstorrent Wormhole latest benchmarks”

Sub-thought per Analyst: Una volta ottenuti i risultati delle ricerche, compila una tabella comparativa con almeno 4-5 soluzioni (es. ASIC dedicati, FPGA riconfigurabili, accelerator cloud-native). Per ciascuna evidenzia: pro/contro vs GPU, metriche chiave (performance/watt, prezzo/TFLOPS), ecosistema (alternative a CUDA o compatibilità), e livello di maturità nel periodo di 3 mesi. Identifica le 2-3 opzioni più promettenti per il training di un large model e per l’inferenza ad alta velocità.

Sub-thought per Copywriter (avvia nuovo ciclo ReAct per il Copywriter): Una volta che l’Analyst avrà completato la ricerca e la tabella comparativa, trasforma tutto in un report professionale completo in italiano.

Sub-thought per Assessor (avvia nuovo ciclo ReAct per l’Assessor): Prendi tutti i fatti, claim di performance, date di disponibilità e confronti prodotti dall’Analyst. Verifica l’accuratezza incrociando con fonti web primarie e recenti (siti ufficiali dei produttori, annunci di conferenze, articoli di SemiAnalysis, The Register, AnandTech, whitepaper). Assegna a ogni alternativa un punteggio di affidabilità (Alto / Medio / Basso) e indica eventuali dati mancanti che richiederebbero ulteriore ricerca.

Scalabilità e riduzione delle allucinazioni

Il ciclo dell’Analyst continua in parallelo con gli altri due eseguendo le Action (tool calls) e sviluppando il proprio sub-thought. Una volta completati tutti i cicli, il sistema può combinare i risultati (ad esempio l’Assessor corregge il report del Copywriter prima della consegna finale). Il prompt few-shot istruisce l’LLM a generare pensieri espliciti (“Devo verificare…”) prima delle azioni formattate. ReAct supporta tool personalizzati: API di Wikipedia, ricerca web, calcolatrici, ambiente di esecuzione del codice, ecc. Il meccanismo è scalabile: nel nostro esempio si possono aggiungere altri agenti (Researcher, Visualizer, ecc.) semplicemente aggiungendo nuovi “Sub-thought per [Ruolo]”.

Questa tecnica consente una riduzione drastica delle allucinazioni, poiché l’interazione con strumenti software esterni fornisce un supporto fattuale ai pensieri dell’LLM. Il modello non “inventa”, ma verifica. In sintesi, ReAct trasforma gli LLM da “oracoli” a agenti capaci di agire nel mondo, e costituisce la base per i workflow agentici multimodello che si possono progettare usando gli ambienti LangGraph, CrewAI e AutoGen.


Un’analisi critica: dove ReAct mostra i suoi limiti

Nonostante i vantaggi, ReAct non è una panacea. Le debolezze sono sia tecniche sia operative, e meritano attenzione. Anzitutto, il modello può ripetere cicli inutili (stesso Thought/Action) senza progressione. Gli studi ablativi mostrano che, senza un buon prompt few-shot, il ciclo si “impantana”. C’è poi il problema del consumo di token. Ogni ciclo genera nuovi prompt e, di conseguenza, token aggiuntivi. Un task medio può richiedere 5-20 chiamate all’LLM, portando la latenza da secondi a minuti e un consumo di token da 3 a 5 volte superiore rispetto al semplice CoT. In cloud (es. GPT-4o, Claude 3.5), il costo per task complesso può essere proibitivo, così come il consumo energetico.


Rischi di sicurezza: l’espansione della superficie d’attacco

L’espansione della superficie d’attacco è la debolezza più critica. In CoT l’iniezione di prompt ostili produce solo testo errato. In ReAct può far eseguire tool potenzialmente pericolosi (ad esempio cancellare database, inviare email, eseguire codice). La data injection indiretta tramite dati esterni è particolarmente insidiosa. Inoltre, se diamo a un agente l’accesso a tool con privilegi elevati (shell_exec, file write, chiamate alle API di sistema), l’agente che riceve un prompt ostile esegue RCE (Remote Code Execution) per conto dell’attaccante che ha sottomesso il prompt.

Mentre per gli LLM puri esistono componenti guardrail (come Llama Guard e Prompt Guard, di cui abbiamo parlato anche su queste pagine), per l’agentic AI le buone pratiche di sicurezza sono ancora immature. Sandboxing delle azioni e controllo degli accessi ai tool – ma soprattutto, il monitoring runtime – sono indispensabili anche se aumentano complessità e costi. In breve, ReAct introduce complessità che CoT non ha: da sistema “black-box” a sistema “grey-box” con parti esterne esposte.


Valutare l’adozione dell’approccio agentico: un framework decisionale

Gli sviluppatori (product team, architetti, esperti di sicurezza) devono adottare un framework decisionale rigoroso.

Criteri tecnici e architetturali: Adottare ReAct solo se l’obiettivo del sistema richiede tool di interazione esterna (ricerca, API, esecuzione di codice). Altrimenti il CoT con RAG puro è sufficiente.

Criteri di affidabilità: In contesti critici ad alto rischio, come previsto dalla normativa AI Act (finanza, sanità), valutare se il tracciato ReAct giustifica il costo aggiuntivo di sicurezza. Usare linguaggi per la definizione esplicita dei cicli (LangGraph o simili) invece dei prompt, soprattutto per gestire casi eccezionali, e human approval.

Criteri di sicurezza by design: Imporre il sandboxing obbligatorio delle azioni, il logging immutabile dei pensieri (ad esempio su un ledger) e guardrail specifici per ogni tool call. Adottare una metodologia di modellazione del rischio specifica per l’agentic AI: il laboratorio SESAR dell’Università di Milano ha sviluppato la metodologia STRIDE-AI per la modellazione di minacce rivolte alle orchestrazioni di pipeline di IA e ai workflow agentici [Mauri e Damiani, 2023], che è stata estesa agli OWASP Agentic AI risk.


Un messaggio a utenti finali e organizzazioni

Per evitare che l’adozione di massa dell’IA agentica si trasformi in un cambiamento al ribasso della postura di sicurezza collettiva, occorre introdurla cum grano salis, solo dove il valore aggiunto è misurabile tramite KPI (tempo risparmiato, accuracy, customer satisfaction).

È fondamentale eseguire una valutazione rischi/benefici che includa l’analisi quantitativa dei costi (token e infrastruttura) rispetto ai ricavi previsti. Vanno considerati anche i rischi legali, reputazionali e di conformità normativa (GDPR, AI Act UE). Le organizzazioni devono domandarsi anche se hanno la maturità organizzativa per passare all’AI agentico, compresa la qualità del dato e la capacità di supervisione umana.

L’adozione di ReAct (o di qualsiasi paradigma agentico) non deve essere una reazione al marketing dei fornitori o alla paura di restare indietro. Troppe organizzazioni hanno sperimentato la cosiddetta “fatica del pilota” per aver adottato GenAI privo di valore reale. I guadagni di produttività sono reali, ma i rischi di sicurezza e di costo (soprattutto la token inflation di cui abbiamo parlato) sono spesso sottostimati.


Conclusioni e prospettive

ReAct ha segnato il passaggio dagli LLM “oracolo” agli agenti autonomi, superando i limiti del CoT grazie alla sinergia tra pensiero e azione. I suoi punti di forza – interpretabilità, riduzione degli errori, versatilità – lo rendono un passo avanti importante. Tuttavia, le debolezze che abbiamo descritto (costo, latenza, espansione dell’attack surface, immaturità delle metodologie di sicurezza) impongono cautela. L’adozione deve essere guidata da criteri chiari, e saldamente ancorata a una valutazione ponderata di valore, rischio e contesto.

Nel prossimo futuro vedremo ibridi (ReAct + hierarchical planning, multi-agent, memory avanzata, ottimizzazioni dell’inference), integrazioni con il reinforcement learning e con framework di sicurezza nativi. Ma il successo dipenderà dalla capacità delle organizzazioni di trattare gli agenti non come “magia tecnologica”, bensì come sistemi socio-tecnici da governare con rigore.


Riferimenti

Wei, J., Wang, X., Schuurmans, D., Bosma, M., Ichter, B., Xia, F., Chi, E., Le, Q., & Zhou, D. (2022). Chain-of-thought prompting elicits reasoning in large language models. Advances in Neural Information Processing Systems, 35, 24824–24837. https://arxiv.org/abs/2201.11903

Mauri, L., & Damiani, E. (2022). Modeling threats to AI-ML systems using STRIDE. Sensors, 22(17), Article 6662. https://doi.org/10.3390/s22176662

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x