Perdita di intelligenza artificiale multi-tenant: isolamento e sfide per la sicurezza

O Eshed Pubblicato - 21 ottobre 2025

Sommario

L'arma a doppio taglio del multi-tenancy nell'intelligenza artificiale
Decostruire l'anatomia di una fuga di notizie di GenAI
I difetti critici nell'isolamento del modello
L'imperativo dell'isolamento senza compromessi dei dati degli inquilini
Controlli di accesso: il guardiano trascurato
Il rischio profondo di un’allocazione sicura e difettosa delle risorse
Il browser come nuova frontiera della sicurezza per l'intelligenza artificiale
Difesa pratica con LayerX: dalla teoria alla pratica
Costruire una strategia di sicurezza AI resiliente

L'integrazione dell'IA generativa in azienda ha sbloccato una produttività senza precedenti, ma questo balzo in avanti tecnologico comporta un rischio architetturale significativo, spesso trascurato. Il modello di distribuzione predefinito per questi potenti strumenti è l'IA multi-tenant, un'infrastruttura in cui più clienti condividono le stesse risorse di calcolo, incluso il modello di IA stesso. Sebbene questo approccio sia economicamente efficiente, crea un ecosistema di sicurezza complesso e impegnativo. Come può un'organizzazione essere certa che i suoi dati riservati, immessi durante una sessione, non vengano divulgati in un'altra? Questo articolo illustra come l'infrastruttura del modello condiviso possa far trapelare contesto o dati tra le sessioni ed esamina le falle critiche nell'isolamento dei tenant che i responsabili della sicurezza devono affrontare.

La sfida fondamentale è che i confini logici che separano i tenant sono solidi quanto il software che li crea. Un difetto in questa partizione digitale può portare a una perdita di sessione GenAI, dove informazioni sensibili passano dalla sessione di un tenant a quella di un altro. Per i CISO e i responsabili IT, ciò rappresenta una perdita critica di controllo sui dati aziendali. Per mitigare questo rischio è necessaria una profonda comprensione delle vulnerabilità insite nei sistemi condivisi, dall'isolamento difettoso del modello e dal debole isolamento dei dati dei tenant ai controlli di accesso inadeguati. In definitiva, garantire l'uso dell'IA multi-tenant richiede un cambiamento strategico verso l'applicazione della sicurezza nel punto di interazione: il browser.

L'arma a doppio taglio del multi-tenancy nell'intelligenza artificiale

Perché l'intelligenza artificiale multi-tenant è diventata lo standard del settore? La risposta risiede nell'economicità e nella scalabilità. I modelli linguistici di grandi dimensioni (LLM) sono incredibilmente costosi da addestrare e gestire, richiedendo enormi cluster di hardware specializzato. Consentendo a migliaia di clienti di condividere un'unica, enorme istanza di un modello, i fornitori di intelligenza artificiale possono distribuire questi costi, rendendo le funzionalità di intelligenza artificiale avanzate accessibili a un mercato molto più ampio. Questo modello rispecchia il più ampio passaggio al SaaS e al cloud computing, dove l'infrastruttura condivisa è la norma.

Usiamo un'analogia: pensiamo a una piattaforma di intelligenza artificiale multi-inquilino come a un condominio all'avanguardia. Ogni inquilino ha il proprio appartamento sicuro (la sua sessione privata), ma tutti condividono l'infrastruttura principale dell'edificio, l'impianto idraulico, la rete elettrica e i sistemi di ventilazione. In teoria, ogni appartamento è perfettamente isolato. Ma cosa succede se un difetto nel sistema di ventilazione consente a una conversazione di un appartamento di essere ascoltata in un altro? O se un problema idraulico in un'unità allaga quella sottostante? Questo è l'equivalente digitale di una fuga di dati in un sistema multi-inquilino.

Per l'azienda, l'efficienza di questo modello si ottiene a scapito del controllo diretto. I team di sicurezza ripongono immensa fiducia nella capacità del fornitore di intelligenza artificiale di mantenere un perfetto isolamento tra i tenant. Quando si verifica una perdita di sessione GenAI, non si tratta solo di un guasto tecnico; si tratta di una violazione di tale fiducia, con conseguenze potenzialmente gravi per la riservatezza dei dati e la conformità normativa.

Decostruire l'anatomia di una fuga di notizie di GenAI

Quindi, cos'è esattamente una perdita di sessione GenAI? Si tratta di un tipo specifico di violazione dei dati in cui le informazioni fornite da un utente in una sessione diventano inavvertitamente visibili a un altro utente in una sessione separata. Non si tratta di un hacker che viola un database; si tratta di una violazione più subdola della separazione logica che dovrebbe mantenere distinte le interazioni tra i tenant.

Una causa primaria è il "context window bleeding". I modelli di intelligenza artificiale mantengono una memoria a breve termine, o "finestra di contesto", per tenere traccia di una conversazione in corso. Immaginate che un team legale di un'azienda sanitaria utilizzi uno strumento GenAI per riassumere i dati sensibili dei pazienti per una causa in corso. La piattaforma dovrebbe cancellare completamente questo contesto al termine della sessione. Tuttavia, a causa di un bug nel sistema, frammenti di quei dati del paziente rimangono nella memoria attiva del modello. Pochi istanti dopo, un utente di un'azienda completamente diversa pone all'intelligenza artificiale una domanda generale sul diritto sanitario e riceve una risposta che include alcune delle informazioni riservate del paziente della sessione precedente.

Questo scenario ipotetico illustra il pericolo principale. La perdita non è il risultato di un attacco dannoso, ma di una falla nella gestione delle sessioni della piattaforma. I meccanismi di caching, progettati per accelerare le risposte riutilizzando i calcoli recenti, possono diventare un ulteriore vettore di perdite se i dati memorizzati nella cache non sono rigorosamente separati per tenant. Queste vulnerabilità sono incredibilmente difficili da rilevare per gli strumenti di sicurezza tradizionali come firewall o soluzioni di monitoraggio di rete, poiché la perdita di dati avviene all'interno dell'ambiente crittografato dell'applicazione di intelligenza artificiale stessa.

I difetti critici nell'isolamento del modello

Un efficace isolamento del modello è il principio che garantisce che l'interazione di ciascun tenant con un modello di intelligenza artificiale sia un evento computazionale completamente indipendente. Le risposte del modello per un tenant non dovrebbero mai essere influenzate dai dati o dalle attività di un altro tenant. Ottenere un perfetto isolamento del modello in un ambiente di intelligenza artificiale multi-tenant live e ad alto traffico rappresenta una sfida tecnica ardua.

Uno dei principali punti deboli è la gestione dello stato. Quando un modello di intelligenza artificiale elabora un prompt, entra in un certo "stato". Se tale stato non viene ripristinato correttamente tra le sessioni dei tenant, le informazioni possono diffondersi. Questa è una vulnerabilità sottile ma potente. Oltre all'esposizione accidentale dei dati, un isolamento difettoso del modello crea opportunità per avversari più determinati. Ad esempio, un malintenzionato che opera come un tenant potrebbe lanciare un attacco noto come "avvelenamento del modello". Inserendo ripetutamente nell'intelligenza artificiale input dannosi accuratamente elaborati, potrebbe tentare di corrompere il comportamento del modello per tutti i tenant, causando la generazione di informazioni false, parziali o dannose.

Un'altra preoccupazione è la contesa delle risorse. In un ambiente condiviso, i tenant competono per le stesse risorse di calcolo. Se un tenant avvia un'attività insolitamente impegnativa in termini di risorse, potrebbe creare stati di sistema inattesi che compromettono le garanzie di isolamento per gli altri tenant, causando comportamenti imprevedibili e potenziali lacune di sicurezza. Questo è direttamente collegato alla sfida dell'allocazione sicura delle risorse.

L'imperativo dell'isolamento senza compromessi dei dati degli inquilini

Mentre l'isolamento del modello si concentra sul livello di elaborazione, l'isolamento dei dati dei tenant affronta la sicurezza fondamentale dei dati stessi. Questo principio impone che i dati di ciascun tenant siano segregati in modo sicuro in ogni fase del loro ciclo di vita: quando vengono trasmessi in rete (in transito), quando vengono archiviati in database o file system (a riposo) e durante l'elaborazione attiva da parte dell'IA.

Un errore nell'isolamento dei dati dei tenant è spesso più diretto e catastrofico di una perdita di sessione. Si consideri una piattaforma di intelligenza artificiale che archivia i dati dei clienti in un ampio database condiviso, basandosi su un campo "tenant_id" in ogni riga per separare i dati. Se viene scoperta una vulnerabilità come un'iniezione SQL, un malintenzionato potrebbe potenzialmente aggirare questa separazione logica e interrogare i dati di ogni cliente sulla piattaforma. Allo stesso modo, se il provider utilizza una chiave di crittografia condivisa per più tenant, una compromissione di tale chiave esporrebbe i dati di tutti.

Per le organizzazioni che operano in rigorosi quadri normativi come GDPR, HIPAA o CCPA, una violazione dell'isolamento dei dati dei tenant è uno scenario da incubo. L'azienda, in qualità di titolare del trattamento dei dati, rimane legalmente responsabile della violazione, anche se si è verificata su una piattaforma di terze parti. Questo sottolinea un punto cruciale: è possibile esternalizzare il servizio, ma non la responsabilità della protezione dei dati. Per questo motivo, solide pratiche di sicurezza SaaS sono assolutamente necessarie.

Controlli di accesso: il guardiano trascurato

La sicurezza di qualsiasi piattaforma di intelligenza artificiale multi-tenant dipende in larga misura anche dalla granularità dei controlli di accesso. Sono queste le regole che stabiliscono chi può fare cosa. Sfortunatamente, molte piattaforme offrono solo controlli grossolani e inadeguati che non riflettono le complesse esigenze di sicurezza di un'azienda.

La vera sicurezza richiede più della semplice autenticazione di un utente. Richiede l'applicazione di policy sulle azioni che l'utente può intraprendere all'interno dell'applicazione. Ad esempio, un'organizzazione potrebbe voler consentire al proprio team di marketing di utilizzare uno strumento GenAI per il brainstorming dei testi pubblicitari, ma vietargli severamente di caricare un foglio di calcolo contenente i dati personali di tutti i propri clienti. La piattaforma di intelligenza artificiale può applicare questa policy specifica? Nella maggior parte dei casi, la risposta è no. La piattaforma rileva un utente autenticato come cliente pagante e consente l'azione.

È qui che il principio di fiducia zero diventa fondamentale. Ogni azione all'interno di una sessione di intelligenza artificiale, ogni richiesta, ogni query, ogni caricamento di file, dovrebbe essere soggetto a verifica. Applicare controlli di accesso così granulari è quasi impossibile dall'esterno dell'applicazione. La policy deve essere applicata nel punto di azione, che per qualsiasi strumento di intelligenza artificiale basato sul web è il browser dell'utente.

Il rischio profondo di un’allocazione sicura e difettosa delle risorse

Al livello più profondo dello stack tecnologico risiede la sfida dell'allocazione sicura delle risorse. Questa si riferisce al processo di partizionamento delle risorse hardware fisiche, dei cicli di CPU, degli indirizzi di memoria e delle unità di elaborazione GPU tra i vari tenant. In un ambiente cloud virtualizzato, questo partizionamento è gestito da un hypervisor. Se si verificano difetti nel modo in cui l'hypervisor applica questa separazione, può aprire la porta a sofisticati attacchi side-channel.

Un attacco side-channel è un attacco in cui un aggressore ottiene informazioni non violando direttamente un algoritmo di crittografia, ma osservando gli effetti collaterali della sua esecuzione. Ad esempio, un tenant malintenzionato potrebbe monitorare attentamente i modelli di accesso alla memoria o le fluttuazioni del consumo energetico su un server fisico condiviso. Analizzando questi segnali sottili, potrebbe potenzialmente dedurre l'elaborazione di dati sensibili da parte di un altro tenant in esecuzione sullo stesso hardware. Questi attacchi, simili nel concetto alle note vulnerabilità Spectre e Meltdown, sono notoriamente difficili da rilevare e prevenire.

Il rischio di un'allocazione errata delle risorse in sicurezza evidenzia il problema di fiducia fondamentale del modello multi-tenant. Indipendentemente dal numero di funzionalità di sicurezza che il fornitore di intelligenza artificiale integra nella propria applicazione, la sicurezza dell'hardware sottostante e del livello di virtualizzazione è in gran parte una scatola nera per il cliente. Questa intrinseca incertezza è il motivo per cui una strategia di difesa approfondita, che non riponga una fiducia cieca nel fornitore, è così vitale.

Il browser come nuova frontiera della sicurezza per l'intelligenza artificiale

Considerati questi rischi complessi e profondamente radicati, come può un'azienda riprendere il controllo? La risposta sta nello spostare l'attenzione sulla sicurezza dal perimetro della rete all'endpoint in cui i dati vengono effettivamente gestiti: il browser. Gli strumenti di sicurezza tradizionali come firewall e CASB non sono in grado di riconoscere il contenuto e il contesto specifici delle interazioni degli utenti all'interno di una sessione web crittografata. Possono vedere che un utente è connesso a una piattaforma GenAI, ma non possono vedere quali informazioni vengono inserite in un prompt.

Il browser è il gateway per tutti i dati che fluiscono da e verso le applicazioni SaaS e di intelligenza artificiale. È l'ultimo punto di controllo prima che i dati aziendali sensibili vengano trasferiti a una piattaforma di terze parti. Questo rende il browser il luogo ideale per applicare le policy di sicurezza. Questo è il principio fondamentale alla base del Browser Detection and Response (BDR).

Una soluzione come l'estensione per browser aziendale di LayerX opera direttamente all'interno del browser, offrendo visibilità e controllo granulari su tutte le attività degli utenti. Può analizzare il contenuto dei moduli web, monitorare le azioni di copia-incolla e ispezionare i caricamenti di file in tempo reale, prima che i dati lascino l'endpoint. Come dimostrato dagli audit di sicurezza GenAI di LayerX, questa visibilità lato client è essenziale per affrontare i rischi della protezione shadow IT e garantire una sicurezza SaaS completa. Consente ai team di sicurezza di applicare i controlli di accesso granulari di cui le piattaforme di intelligenza artificiale sono prive.

Difesa pratica con LayerX: dalla teoria alla pratica

Traduciamo questa strategia in azioni concrete. Come può un'estensione del browser aziendale difendersi dai rischi dell'intelligenza artificiale multi-tenant?

Alla scoperta dell'intelligenza artificiale ombra: la prima sfida è la visibilità. I dipendenti adottano costantemente nuovi strumenti di intelligenza artificiale senza l'approvazione dell'IT, creando un vasto ecosistema "SaaS ombra". LayerX fornisce un audit completo di tutte le applicazioni SaaS, inclusi questi strumenti di intelligenza artificiale non autorizzati, offrendo ai team di sicurezza un quadro completo dell'utilizzo dell'intelligenza artificiale nella loro organizzazione e dei rischi associati.
Applicazione della prevenzione granulare della perdita di dati (DLP): con la visibilità consolidata, LayerX consente ai team di sicurezza di creare e applicare policy DLP basate sul contesto. Immagina uno scenario in cui uno sviluppatore tenta di incollare un frammento di codice sorgente proprietario in uno strumento GenAI pubblico. LayerX può rilevare questa azione in tempo reale e bloccarla completamente, oscurare il codice sensibile prima che venga inviato o visualizzare un avviso all'utente, informandolo sulle policy aziendali.
Prevenire l'esfiltrazione basata sulla GenAI: le stesse funzionalità possono essere utilizzate per contrastare le minacce interne. Un dipendente malintenzionato potrebbe tentare di esfiltrare un elenco clienti incollandolo in una chat di intelligenza artificiale e chiedendo all'IA di "riformattarlo". LayerX può identificare i dati sensibili e bloccare l'azione, registrando l'evento per le indagini. Ciò fornisce una salvaguardia cruciale contro l'uso dell'IA come strumento per il furto di dati.
Protezione dei trasferimenti di file: molti strumenti GenAI ora accettano il caricamento di file. Questo rappresenta un potenziale canale di fuga di dati. LayerX può monitorare tutti i caricamenti di file sulle piattaforme di intelligenza artificiale, bloccando i trasferimenti di file che contengono informazioni sensibili in base all'analisi del contenuto, al tipo di file o ad altri fattori di rischio.

Costruire una strategia di sicurezza AI resiliente

L'adozione diffusa dell'intelligenza artificiale multi-tenant è una realtà dell'impresa moderna. Sebbene i provider continuino a migliorare le proprie misure di sicurezza, le organizzazioni non possono permettersi un approccio passivo. La responsabilità della protezione dei dati aziendali, da una fuga di dati di una sessione GenAI a una violazione dell'isolamento dei dati dei tenant, ricade in ultima analisi sull'impresa.

Una strategia di sicurezza resiliente per l'era dell'IA deve essere proattiva e incentrata sul browser. Implementando un'estensione del browser aziendale, i responsabili della sicurezza possono superare i limiti degli strumenti tradizionali e ottenere la visibilità e il controllo granulari necessari per consentire un utilizzo sicuro e produttivo della GenAI. Non si tratta di bloccare l'accesso a questi potenti strumenti; si tratta di gestirne l'utilizzo in modo intelligente. Proteggendo il browser, le organizzazioni possono esplorare con sicurezza i vantaggi dell'IA, sapendo di disporre di una solida linea di difesa finale a protezione del loro bene più prezioso: i dati.

O Eshed

Or Eshed è il co-fondatore e CEO della piattaforma di sicurezza del browser LayerX, con oltre un decennio di esperienza nella sicurezza informatica, nell'intelligenza artificiale e nella guerra dell'informazione.

Sicurezza nell'utilizzo dell'IA

Sicurezza del browser aziendale

Rapporto sulla sicurezza di LayerX Enterprise GenAI 2025

Partner

Chi siamo

Rapporto sulla sicurezza di LayerX Enterprise GenAI 2025

Risorse

Database delle estensioni

Blog e podcast

Browser aziendale

Sicurezza AI

LayerX contro i concorrenti

Risorse correlate